Get best of the week

Protección y piratería de la Xbox 360 (Parte 2)



La última vez que dejamos la escena de Xbox 360 en un momento en que los desarrolladores dejaron en claro que la protección de DVD-ROM es fácil de hacer, y definitivamente debes hacer algo al respecto. Los intentos de rectificar la situación actualizando el software del decodificador no tuvieron éxito, y Philips & Lite-On ingresaron al campo de batalla, cuyas unidades de DVD con cada nuevo modelo se hicieron cada vez más avanzadas en términos de protección. Pero los métodos de pirateo cada vez se volvieron más y más sofisticados. En esta parte, le contaré cómo Microsoft trató de solucionar la situación con discos sin licencia, y qué métodos puede obtener para flashear una unidad de DVD cuando literalmente todo está cerrado.

Meet - PLDS DG-16D2S 74850c


El disco Philips & LiteOn DG-16D2S comenzó a instalarse en consolas de juegos en 2008, y lo puso en marcha hasta 2011, cuando salió una nueva versión "delgada" de la consola. Aquí está nuestro héroe:


Por supuesto, los investigadores tomaron inmediatamente y descubrieron:

  • la unidad es muy similar al modelo anterior, Philips y Benq VAD6038
  • el firmware se almacena dentro del controlador, no considere al programador
  • no ingresa al modo de servicio, incluso en los conjuntos de chips VIA

Incluso el controlador MT1319 en el tablero está inundado con un compuesto:


Parecía que Microsoft finalmente había hecho un disco "irrompible" y todos tendrían dificultades.
Sin embargo, después de un tiempo, el desarrollador de firmware modificado para Xbox 360 c4eva informó que la unidad es compatible y que el desarrollo de firmware personalizado ya está en marcha:
c4eva: he encontrado algunas cosas que aún no se conocen sobre el lite-on, ¡se hará!

¡No quiero esperar, cambiar!


Mientras se desarrollaba el firmware personalizado (y se desarrollaba durante casi seis meses), la gente quería mostrar "aquí y ahora". Y a fines de agosto de 2008, los investigadores encontraron un truco interesante :

  • Activa el prefijo
  • Abra la bandeja de la unidad de DVD.
  • Sacamos el poder de la unidad de DVD
  • Empuje la bandeja en el medio
  • Inserte la potencia de accionamiento

¡Después de estas acciones mágicas, el disco escupe su clave secreta en UART! Quedaba por montar el adaptador COM-UART más simple en un transistor y pincharlo en un punto de la placa en el momento del encendido:

(reconstrucción históricamente confiable usando un adaptador de aquellos tiempos)

Según mis suposiciones, esta "característica" se dejó para los centros de servicio para que fuera fácil reemplazar el disco por uno nuevo en caso de avería. Es difícil encontrar otra explicación para la presencia de dicha funcionalidad.

Tan pronto como se reciba la clave, puede escribirla en el firmware usado, cambiar su nombre a "PLDS DG-16D2S" y jugar como si nada hubiera pasado. (Las primeras revisiones de la Xbox 360 no fueron famosas por su confiabilidad, porque había muchas unidades TS-H943 usadas en el mercado, tomadas desde consolas medio muertas). Este paso ha regresado fuertemente en el futuro, pero en ese momento los jugadores estaban felices.


Hubo un problema en todo este idilio, y vino de donde no esperaban. Cuál es el problema: la unidad Xbox 360 tiene un cable de alimentación no estándar y corto:


Hay pequeñas pestañas en el enchufe para una orientación adecuada en el conector:


La operación de lectura de teclas se realiza convenientemente "en la parte posterior" cuando la unidad está al revés. Pero se olvidaron de girar el cable de alimentación no demasiado flexible, la longitud de los limitadores en el enchufe no era suficiente, como resultado, 12 voltios se dirigieron a los contactos incorrectos y una neblina mágica salió del tablero ...


Se aconsejó a quienes tuvieron la suerte de quemar el disco que ensamblaran cuidadosamente el prefijo y no entregaran nada a la tienda bajo garantía. A menudo, la tienda no funcionaba en absoluto y aceptaba tales consolas sin siquiera verificar el sello de garantía.

¡Hurra, firmware!


Entonces, después de casi seis meses de espera, para las vacaciones de Navidad, c4eva lanzó el lanzamiento del firmware iXtreme 1.5, del cual aprendimos:

  • c4eva y su equipo consideraron la disolución del firmware del cuerpo del chip
  • La clave aún se lee mediante el método de bandeja semi-retraída
  • Para ingresar al modo de servicio y grabar el firmware, ¡debe borrar el disco!

Estaba seguro de que tenía una foto con un MT1319 medio disuelto conectado al programador, pero no pude encontrarlo. Tan pronto como lo encuentre, lo agregaré aquí mismo (si alguien lo tiene, envíelo, por favor).

La función "borrar antes de grabar" causó problemas a las personas: la computadora se podía congelar, ir a BSOD. Incluso si todo "fue así", después de borrar el disco, por supuesto, el sistema no lo determinó y tuvo que ingresar al modo de servicio "a ciegas". En general, la gente golpea bastante sus nervios.

Hubo experimentadores que presionaron el botón "borrar" simplemente por curiosidad, sin haber leído la tecla antes, incluso a pesar de las advertencias:


Pero el objetivo principal se logró: el LiteOn "no flasheable" finalmente se iluminó, y los artesanos con los brazos rectos podían flashear la unidad por sí mismos.

DG-16D2S 83850c


Por supuesto, Microsoft volvió a sus sentidos y comenzó a instalar una unidad con una nueva versión de firmware, 83850s, en la que la funcionalidad de lectura de clave UART ya no funcionaba.

Sorprendentemente, resultó que LiteOn 83850c le dio la llave a través de SATA, ¡y con la misma brujería con una bandeja entreabierta! Foundmy.com lanzó la utilidad LO83info que leyó la clave, pero la emitió en forma cifrada. Se propuso enviar la clave a los autores por correo y por $ 42 recibir una versión descifrada.


El programa duró cuatro días, después de lo cual Maximus y Geremia lanzaron un descifrador de clave gratuito :) Se desconoce cuántos autores lograron ganar estos días.



DG-16D2S 93450c


Un obsequio con una fácil lectura de teclas no podía durar mucho: LiteOn 83850c v2, que no cedió a los trucos de LO83Info, pronto comenzó a caer, y luego LiteOn 93450c fue completamente puesto en consolas. Todos los métodos de lectura de la clave están cerrados, la clave no puede ser

prefijada sin la clave ... No estuvieron tristes por mucho tiempo, los entusiastas encontraron este error de hardware:

  • cortar parte de los caminos de suministro
  • suelde una resistencia de 22 ohmios a través del interruptor
  • ¡Cortocircuito a 22 ohmios a GND!

Como resultado, el voltaje en la unidad flash USB dentro del procesador disminuyó tanto que solo se leyó 0xFF en lugar de los datos, ¡la unidad estaba segura de que el firmware ya se había borrado y entró en el modo de servicio! Bueno, después de ingresar al modo de servicio, solo quedaba abrir la resistencia y leer toda la unidad flash USB:


Este método "intermitente" mató incluso más unidades que UART. ¿Imagina lo que un niño de escuela puede hacer con un soldador soviético en un intento de soldar dos cables de acuerdo con el esquema? Así es como debería ser:


Pero esto se puede ver en los foros:




Bueno, y dado que la vulnerabilidad es el hardware, ya no pudieron solucionarlo con la actualización del firmware de Microsoft, LiteOn DG-16D2S finalmente entró en la categoría de unidades flash.

Dejaron de sentirse completamente tristes cuando descubrieron un truco aún más interesante:

  • encienda el disco
  • apague la línea de alimentación de 3.3v (la línea de 1.8v permanece activa)
  • punto de tierra MPX01
  • encienda 3.3v
  • ¡Entramos en el servicio y leemos la clave de la RAM!


El punto MPX01 en la unidad es responsable de si el firmware se descifrará al inicio. Cerrándolo a GND, forzamos a la unidad a omitir la etapa de descifrado, por lo que intenta iniciar la basura y entra en error. Y ya desde este estado, ¡él le permite ingresar al modo de servicio limitado y leer RAM! Y debido al hecho de que no limpiamos 1.8v, la RAM no se reinició y nuestra clave aún se encuentra allí. Eso es.

Nuevo - PLDS DG-16D4S 9504


Junto con la versión Slim de la consola en la Xbox 360, la unidad de DVD también se ha actualizado. Incluso el diseño de la unidad cambió, sus piernas desaparecieron y se volvió aún más como un ladrillo:


El controlador de la unidad también ha cambiado, ahora todos fueron manejados por el chip MT1335


Sorprendentemente, el nuevo modelo, a diferencia de su predecesor, podría leerse y escribirse sin ningún problema. El equipo de Maximus se ocupó rápidamente de esto . Delante del planeta, lanzaron una utilidad para leer / escribir una clave / firmware llamada "Tarablinda":


Por cierto, el firmware Liteon D4S para investigación también se obtuvo disolviendo el chip:

Y mientras c4eva se está desarrollando ... ¡la gente está volviendo a empujar los viejos auriculares usados ​​de nuevo! Después de cortar las piernas y deformar el cuerpo:

¡Pero tómalo y bloquéalo!


Esta vez, Microsoft decidió acercarse desde el otro lado. Como la gente todavía encuentra formas de leer la clave, ¡prohíbamos sobrescribirla! En las nuevas consolas, comenzaron a detectar unidades DG-16D4S de las versiones 0225, 0401 y 1071, ¡en las que la memoria flash interna SPI estaba bloqueada!

El bloqueo se realizó utilizando el registro de estado y las patas de la memoria flash WP:


Pero aquí se les ocurrió un método muy similar a cómo se superó LiteOn 93450c:

  • cortar el camino del poder
  • encienda el disco, vaya al servicio
  • empujar una resistencia de 18 ohmios al corte
  • dar el comando de desbloqueo!


Exactamente de la misma manera, el voltaje de suministro de la memoria flash SPI disminuyó, algo hizo clic en sus cerebros electrónicos y el desbloqueo se completó con éxito. Esto funcionó solo en unidades flash de la compañía MXIC:


Para Winbond, se les ocurrió un método de desbloqueo aún más loco.

El hecho es que el procesador de la unidad de DVD no era integral. Además, se pegó un chip de la misma memoria flash con un emparedado, conectado al cristal principal por cables delgados. Y el cableado de protección contra escritura (WP) que necesitábamos, a pesar del hecho de que estaba firmemente enrollado a tierra, fue bastante exitoso por encima de todos los demás:


Hubo una idea para cortarlo de alguna manera, y luego dar el comando de desbloqueo. ¡Y sí, fue aquí donde la gente fue a perforar con precisión un chip con un taladro milimétrico!



De hecho, si se marca con precisión y se actúa con precisión, puede lograr una gran posibilidad de éxito. Naturalmente, los movimientos sin experiencia se hicieron así:


más o menos:


Pero no fue tan malo: los chips MT1335WE después (o en lugar de) el desbloqueo fallido podrían resolverse a MT1339E compatible con una unidad flash USB externa eliminada de las unidades chinas:


El resultado: una vez más, la victoria no está del lado de Microsoft, los discos se escriben, las unidades se flashean.

AP 2.5, XGD3, ...


Microsoft no solo mejoró el firmware de las unidades, sino que también finalizó la protección de los discos del juego. Y aquí salieron por completo:

primero, se cambió el formato del disco . El antiguo formato XGD2 contenía, como un DVD normal de dos capas, alrededor de 7,5 GB de datos. El nuevo XGD3 utilizó un área de disco ligeramente más grande, casi hasta el borde, debido a que ya cabían 8,5 GB de datos. Los medios habituales de "disco" no se pueden escribir.


En segundo lugar, el archivo dae.bin se agregó al sistema en sí , que contiene comprobaciones adicionales para juegos específicos. El prefijo preguntó a la unidad en qué sector físico del disco se ubican los datos específicos y se comparan con las muestras. A diferencia de las licencias estampadas de acuerdo con una plantilla, la ubicación de los datos en los discos grabados podría diferir.


Es interesante que solo unos pocos juegos populares estuvieran protegidos de esta manera

. En tercer lugar, para admitir todas las innovaciones, ¡ todas las unidades de DVD en todas las consolas se actualizaron con la próxima actualización del sistema!

  • LiteOn D2S actualiza y cierra métodos de lectura de clave simple
  • LiteOn D4S 9504 actualizado y bloqueado en el registro
  • Aquellos con prefijos "parpadearon" normalmente - tuvieron que "parpadear" nuevamente
  • Quién cambió la unidad a otro modelo: obtuvo un error y un prefijo que no funciona


En las unidades de DVD Samsung TS-H943 muy antiguas no era posible implementar comprobaciones AP 2.5, por lo que solo se agregó compatibilidad con el formato XGD3 en su actualización. Los más desafortunados fueron los jugadores que fueron reemplazados por Samsung con el firmware LiteOn: tuvieron que buscar un nuevo disco y volver a cambiarlo. Los propietarios de LiteOn D4S 9504 estaban muy decepcionados, tuvieron que desbloquear el chip para volver a firmware.

Pero aquí todo dio la vuelta. Resultó que 7,5 GB no es el límite, y en los discos de dos capas normales es muy posible grabar 8 GB o más, lo cual era necesario para los juegos XGD3. En las unidades de escritura normales, la grabación no llegó al final (en un 97%), siempre y cuando hubiera suficiente espacio, tales discos también funcionaron, aunque existía una amenaza de detección y posterior prohibición. C4eva adicional lanzó un programa con soporte para algunas cortadoras de DVD de computadora, que engañó a la unidad, eliminó las restricciones y la obligó a escribir toda la superficie del disco:


c4eva también hizo firmware para unidades Xbox 360 - iXtreme LT + para evitar nuevas protecciones - las respuestas preparadas directamente desde el archivo dae.bin se escribieron en el disco del juego, el firmware respondió "por plantilla", todos están contentos. Pero Microsoft también actuó de una manera bastante obvia: en la próxima actualización del sistema cambiaron dae.bin , los piratas dejaron de funcionar, los discos tuvieron que ser reparados y quemados nuevamente:


Después de un tiempo, c4eva se puso pensativo y dijo que se le ocurrió cómo resolver AP 2.5 de una vez por todas, diciendo que espera a iXtreme LT + 3.0. Por cierto, para ese momento la cantidad de preguntas "bueno, ¿cuándo es el nuevo firmware?" en los canales de IRC donde c4eva estaba tan incrementado que alguien creó un sitio completo c4evaspeaks.com, donde se guardaron todas sus citas (¡literalmente todo!) y noticias sobre el tema del firmware:



En iXtreme LT + 3.0, en lugar de la respuesta de "coincidencia de patrones", se utilizaron datos especiales sobre la geometría del disco. De hecho, el disco con licencia se escaneó, generó y grabó en el disco del juego con una "tarjeta" especial, mediante la cual el firmware calculó y respondió correctamente cualquier solicitud AP 2.5.

En esto, la saga con AP 2.5 terminó con la victoria de c4eva y su firmware. Hubo intentos de prohibir a los jugadores cuyas comprobaciones AP 2.5 funcionaron, pero las prohibiciones engancharon a los jugadores honestos o no pudieron demostrar el hecho de la piratería y el 100% de fiabilidad de las comprobaciones, pero las prohibiciones también se detuvieron.

Leyenda - PLDS DG-16D5S 1175


El punto final en la lucha por las unidades pone LiteOn DG-16D5S:


Contenía el controlador MT1332E, que no ingresó al modo de servicio por métodos conocidos y, según los rumores, la clave no estaba almacenada en la ROM:


Hubo intentos de leer la ROM disolviendo el caso y soldando con cableado:


Sí, dentro también había un sándwich de proca y unidad flash:


Hay información de que también había métodos de software para leer el firmware; personalmente descargué los volcados presentados en uno de los foros. En cualquier caso, esta vez en el dominio público no hay herramientas para leer la clave desde el disco.

En cambio, c4eva desarrolló el firmware iXtreme LTU (Lite Touch Ultimate), que utilizaba datos extraídos de la consola en sí (mediante el pirateo del sistema) y requería reemplazar la placa de circuito del variador. La placa de circuito impreso personalizada era exactamente la misma que la del 16D5S, pero el procesador que se encontraba en ella podía actualizarse:


Los "asistentes de firmware" más aventureros acudieron de forma independiente a los proveedores del MT1332 desbloqueado y simplemente soldaron el chip en la placa. Estos chips fueron filmados desde reproductores de DVD chinos en el mismo chip:


¡Pronto, el cursi de chips MT1332 terminó! Luego, el equipo de Maximus desarrolló una cosa inusual: Cryptocop:


Este chip, conectado a un lado de la placa, hizo lo mágico: al inicio cargó un nuevo bootrom en MT1335 / MT1339, después de lo cual el firmware LTU diseñado para MT1332 se inició y funcionó perfectamente. Pero había suficientes chips: el MT1335 se eliminó de las unidades usadas del modelo anterior, 16D 4 S, MT1339, de las unidades chinas o de los proveedores. La versión normal de LTU para MT1339 c4eva se negó a compilar (de lo contrario, la gente simplemente instalaría unidades viejas y no compraría sus placas).

Pero cuando ya se agotaron las reservas de placas LTU, c4eva hizo una finta excelente con sus oídos: compiló el firmware iXtreme LTU2 para el chip MT1319 . Este procesador estaba en el primer LiteOn con consolas "gruesas". Y sí, comenzaron a remachar y vender nuevas placas LTU2:


Bueno, finalmente, los chinos se unieron al feriado, que comenzaron a hacer tableros basados ​​en MT1309, el hermano MT1319 más común con una unidad flash externa:


La era del firmware de Xbox 360 terminó cuando salió una nueva revisión de la consola, en la que no puede obtener la clave ni del sistema ni de la unidad de DVD. ¡Pero más sobre eso en la siguiente parte!

Protección y piratería Xbox 360, Parte 1
Protección y piratería Xbox 360, Parte 2
Protección y piratería Xbox 360, Parte 3
Cualquier detalle, detalles, matices: ¡pregunte en los comentarios!

More articles:


All Articles