Get best of the week

Protection et piratage de la Xbox 360 (partie 2)



La dernière fois que nous avons quitté la scène Xbox 360 à un moment où il est devenu clair pour les développeurs que la protection des DVD-ROM est facile à faire, et vous devez absolument faire quelque chose. Les tentatives pour rectifier la situation en mettant à jour le logiciel du décodeur lui-même ont échoué, et Philips & Lite-On est entré sur le champ de bataille, dont les lecteurs de DVD avec chaque nouveau modèle sont devenus de plus en plus avancés en termes de protection. Mais les méthodes de piratage sont devenues à chaque fois de plus en plus sophistiquées. Dans cette partie, je vais vous expliquer comment Microsoft a essayé de résoudre le problème des disques sans licence et quelles méthodes pour flasher un lecteur de DVD peuvent arriver lorsque littéralement tout est fermé.

Rencontrez - PLDS DG-16D2S 74850c


Le lecteur Philips & LiteOn DG-16D2S a commencé à être installé dans les consoles de jeux en 2008 et l'a mis à jour jusqu'en 2011, lorsqu'une nouvelle version «mince» de la console est sortie. Voici notre héros:


Bien sûr, les chercheurs ont immédiatement repris et découvert:

  • le lecteur est très similaire au modèle précédent, Philips & Benq VAD6038
  • le firmware est stocké à l'intérieur du contrôleur, ne considérez pas le programmeur
  • ne passe pas en mode service, même sur les chipsets VIA

Même le contrôleur MT1319 de la carte est inondé d'un composé:


Il semblait que Microsoft avait finalement créé un disque «incassable» et que tout le monde aurait du mal.
Cependant, après un certain temps, le développeur du micrologiciel modifié pour la Xbox 360 c4eva a indiqué que le lecteur était compatible et que le développement d'un micrologiciel personnalisé était déjà en cours:
c4eva: j'ai trouvé des choses qui ne sont pas encore connues sur le lite-on, ce sera fait!

Je ne veux pas attendre, changez!


Pendant que le firmware personnalisé était en cours de développement (et il était en cours de développement pendant près de six mois), les gens voulaient flasher "ici et maintenant". Et fin août 2008, les chercheurs ont trouvé une astuce intéressante :

  • Activez le préfixe
  • Ouvrez le plateau du lecteur de DVD
  • Nous retirons la puissance du lecteur de DVD
  • Poussez le plateau au milieu
  • Insérez l'alimentation du lecteur

Après ces actions magiques, le lecteur crache sa clé secrète dans UART! Il restait à assembler l'adaptateur COM-UART le plus simple sur un transistor et à le piquer à un point de la carte au moment de la mise sous tension:

(reconstruction historiquement fiable à l'aide d'un adaptateur de l'époque)

Selon mes hypothèses, cette «fonctionnalité» a été laissée aux centres de service afin qu'il soit facile de remplacer le variateur par un nouveau en cas de panne. Il est difficile de trouver une autre explication à la présence d'une telle fonctionnalité.

Dès que la clé est reçue, vous pouvez l'écrire dans le firmware utilisé, changer son nom en «PLDS DG-16D2S» et jouer comme si de rien n'était! (Les premières révisions de la Xbox 360 n'étaient pas réputées pour leur fiabilité, car il y avait de nombreux lecteurs TS-H943 utilisés sur le marché, tirés de consoles à moitié mortes). Cette étape est fortement revenue à l'avenir, mais à cette époque, les joueurs étaient heureux.


Il y avait un problème dans toute cette idylle, et cela venait d'où ils ne s'y attendaient pas. Quel est le problème - le lecteur Xbox 360 a un câble d'alimentation non standard et court:


Il y a de petits onglets sur la fiche pour une orientation correcte dans le connecteur:


L'opération de lecture des touches s'effectue commodément «à l'arrière» lorsque le lecteur est à l'envers. Mais ils ont oublié de tourner le câble d'alimentation pas trop flexible, la longueur des limiteurs sur la fiche n'était pas suffisante, en conséquence, 12 volts sont allés aux mauvais contacts du tout, et une brume magique s'est envolée de la carte ...


Ceux qui ont eu la «chance» de graver le lecteur ont été invités à remonter soigneusement le préfixe et à ne rien remettre au magasin sous garantie. Souvent, le magasin ne fumait pas du tout et acceptait de telles consoles sans même vérifier le sceau de garantie.

Hourra, firmware!


Donc, après presque six mois d'attente, pour les vacances de Noël, c4eva a publié la version du firmware iXtreme 1.5, dont nous avons appris:

  • c4eva et son équipe ont envisagé la dissolution du firmware du corps de la puce
  • La clé est toujours lue par la méthode du bac semi-rétracté
  • Pour entrer en mode service et enregistrer le firmware, vous devez effacer le lecteur!

J'étais sûr que j'avais une photo avec un MT1319 à moitié dissous connecté au programmateur, mais je ne l'ai pas trouvée. Dès que je le trouverai, je l'ajouterai ici (si quelqu'un l'a, envoyez-le, s'il vous plaît).

La fonction «effacer avant l'enregistrement» a causé des problèmes aux gens - l'ordinateur pourrait se figer, passer à BSOD. Même si tout «s'est passé comme ça», après avoir effacé le variateur, bien sûr, il n'a pas été déterminé par le système et a dû passer «aveuglément» en mode service. En général, les gens lui frappent assez mal les nerfs.

Il y a eu des expérimentateurs qui ont appuyé sur le bouton «effacer» simplement par curiosité, sans avoir lu la clé avant, malgré les avertissements:


Mais l'objectif principal a été atteint - le LiteOn «non flashable» a finalement été flashé, et les artisans aux bras droits pouvaient flasher le lecteur par eux-mêmes.

DG-16D2S 83850c


Bien sûr, Microsoft a repris ses esprits et a commencé à installer un lecteur avec une nouvelle version de firmware, 83850s, dans laquelle la fonctionnalité de lecture de clé UART ne fonctionnait plus.

Étonnamment, il s'est avéré que LiteOn 83850c a donné la clé via SATA, et avec la même sorcellerie avec un plateau semi-ouvert! Foundmy.com a publié l'utilitaire LO83info qui lit la clé, mais l'a émis sous forme cryptée. Il a été proposé d'envoyer la clé aux auteurs par courrier et pour 42 $ de recevoir une version décryptée.


Le programme a duré quatre jours, après quoi Maximus et Geremia ont publié un décrypteur de clés gratuit :) Le nombre d'auteurs qui ont réussi à gagner ces jours-ci est inconnu.



DG-16D2S 93450c


Un billet de faveur avec une lecture facile des clés ne pouvait pas durer longtemps - LiteOn 83850c v2, qui n'a pas cédé aux astuces de LO83Info, a rapidement commencé à tomber, puis LiteOn 93450c a été complètement mis dans les consoles. Toutes les méthodes de lecture de la clé sont fermées, la clé ne peut pas être

préfixée sans la clé ... Ils n'étaient pas tristes depuis longtemps, les passionnés ont trouvé ce bug matériel:

  • couper une partie des routes d'approvisionnement
  • souder une résistance de 22 ohms à travers l'interrupteur
  • puissance de court-circuit à travers 22 ohms à GND!

En conséquence, la tension sur le lecteur flash USB à l'intérieur du processeur a tellement baissé que seul 0xFF a été lu au lieu des données, le lecteur était sûr que le firmware avait déjà été effacé et était entré en mode service! Eh bien, après être entré en mode service, il ne restait plus qu'à ouvrir la résistance et lire l'intégralité du lecteur flash USB:


Cette méthode de «clignotement» a tué encore plus de lecteurs que l'UART. Imaginez ce qu'un écolier peut faire avec un fer à souder soviétique pour tenter de souder deux fils selon le schéma? Ça devrait être comme cela:


Mais cela pouvait être vu sur les forums:




Eh bien, et comme la vulnérabilité est matérielle, ils ne pouvaient plus résoudre ce problème avec la mise à jour du micrologiciel Microsoft, LiteOn DG-16D2S est finalement entré dans la catégorie des lecteurs flash.

Ils ont cessé de se sentir complètement tristes lorsqu'ils ont découvert un hack encore plus intéressant:

  • allumez le lecteur
  • couper la ligne d'alimentation 3,3 V (la ligne 1,8 V reste active)
  • point de masse MPX01
  • allumer 3.3v
  • Nous entrons dans le service et lisons la clé de la RAM! ??


Le point MPX01 dans le lecteur est responsable du décryptage du micrologiciel au démarrage. En le fermant à GND, nous forçons le lecteur à ignorer l'étape de déchiffrement, à cause de laquelle il essaie de démarrer la poubelle et passe en erreur. Et déjà à partir de cet état, il vous permet de passer en mode service limité et de lire la RAM! Et du fait que nous n'avons pas nettoyé 1.8v, la RAM n'a pas été réinitialisée et notre clé est toujours là. C'est ça.

Nouveau - PLDS DG-16D4S 9504


Avec la version Slim de la console de la Xbox 360, le lecteur de DVD a également été mis à jour. Même le design du lecteur a changé, ses jambes ont disparu et il est devenu encore plus comme une brique:


Le contrôleur d'entraînement a également changé, maintenant tout le monde était entraîné par la puce MT1335


Étonnamment, le nouveau modèle, contrairement à son prédécesseur, pouvait être lu et écrit sans aucun problème. L'équipe Maximus a rapidement réglé ce problème . Devant la planète, ils ont sorti un utilitaire pour lire / écrire une clé / firmware appelé "Tarablinda":


Soit dit en passant, le firmware Liteon D4S pour la recherche a également été obtenu en dissolvant la puce:

Et pendant que c4eva se développe ... les gens poussent à nouveau les oreillettes usagées à l' ancienne ! Ayant coupé les jambes et déformé le corps:

Mais prenez-le et bloquez-le!


Cette fois, Microsoft a décidé d'approcher de l'autre côté. Puisque les gens trouvent toujours des moyens de lire la clé, interdisons de l'écraser! Dans les nouvelles consoles, ils ont commencé à détecter les lecteurs DG-16D4S des versions 0225, 0401 et 1071, dans lesquels la mémoire flash SPI interne était verrouillée!

Le verrouillage a été effectué à l'aide du registre d'état et des pattes de la mémoire flash WP:


Mais ici, ils ont trouvé une méthode très similaire à la façon dont LiteOn 93450c a été surmonté:

  • couper la route du pouvoir
  • allumez le lecteur, allez au service
  • pousser une résistance de 18 ohms à la coupure
  • donnez la commande de déverrouillage!


De la même manière, la tension d'alimentation de la mémoire flash SPI s'est affaissée, quelque chose a cliqué dans son cerveau électronique et le déverrouillage a réussi. Cela ne fonctionnait que sur les lecteurs flash de la société MXIC:


Pour Winbond, ils ont proposé une méthode de déverrouillage encore plus folle.

Le fait est que le processeur du lecteur de DVD n'était pas intégré. En plus, une puce de la même mémoire flash était collée dessus avec un sandwich, reliée au cristal principal par des fils fins. Et le câblage Write Protect (WP) dont nous avions besoin, malgré le fait qu'il était étroitement enroulé à la terre, était plutôt réussi que tous les autres:


Il y avait une idée de le couper en quelque sorte, puis de donner la commande de déverrouillage. Et oui, c'est ici que les gens sont allés percer une puce avec précision et précision avec un foret millimétrique!



En fait, si vous le marquez avec précision et si vous agissez correctement, vous pouvez avoir de grandes chances de succès. Naturellement, des mouvements inexpérimentés ont été effectués comme ceci:


ou alors:


Mais ce n'était pas si mal - les puces MT1335WE après (ou au lieu de) un déverrouillage infructueux pouvaient être résolues en MT1339E compatible avec un lecteur flash USB externe retiré des lecteurs chinois:


Le résultat - encore une fois, la victoire n'est pas du côté de Microsoft, les disques sont écrits, les lecteurs sont flashés.

AP 2.5, XGD3, ...


Microsoft a non seulement amélioré le micrologiciel des lecteurs, mais a également finalisé la protection des disques de jeu eux-mêmes. Et ici, ils se sont détachés:

Tout d'abord, le format du disque lui-même a été modifié . L'ancien format XGD2 contenait, comme un DVD ordinaire à deux couches, environ 7,5 Go de données. Le nouveau XGD3 utilise une zone de disque légèrement plus grande, presque à l'extrême, grâce à laquelle 8,5 Go de données sont déjà intégrés. Les moyens habituels de "disque" ne peuvent pas être écrits.


Deuxièmement, le fichier dae.bin a été ajouté au système lui - même , contenant des vérifications supplémentaires pour des jeux spécifiques. Le préfixe a demandé au lecteur sur quel secteur physique du disque les données spécifiques sont situées et comparées aux échantillons. Contrairement aux licences tamponnées selon un modèle, le placement des données sur les disques enregistrés peut différer.


Il est intéressant de noter que seuls quelques jeux populaires ont été protégés de cette manière

. Troisièmement, pour prendre en charge toutes les innovations, tous les lecteurs de DVD sur toutes les consoles ont été mis à jour avec la prochaine mise à jour du système!

  • LiteOn D2S a mis à jour et fermé les méthodes de lecture de clés simples
  • Clignotant précédemment LiteOn D4S 9504 mis à jour et verrouillé sur l'enregistrement
  • Ceux avec des préfixes "flashaient" normalement - devaient à nouveau "flasher"
  • Qui a changé le lecteur pour un autre modèle - a obtenu une erreur et un préfixe qui ne fonctionne pas


Dans les très vieux lecteurs DVD Samsung TS-H943, il n'était pas possible d'implémenter des vérifications AP 2.5, donc seule la prise en charge du format XGD3 a été ajoutée dans leur mise à jour. Les joueurs les plus malchanceux ont été remplacés par Samsung avec le firmware LiteOn - ils ont dû chercher un nouveau lecteur et le changer. Les propriétaires de LiteOn D4S 9504 ont été très déçus, ils ont dû déverrouiller la puce pour un nouveau firmware.

Mais ici, tout a tourné. Il s'est avéré que 7,5 Go n'est pas la limite, et sur les disques ordinaires à deux couches, il est tout à fait possible d'enregistrer 8 Go ou plus, ce qui était nécessaire pour les jeux XGD3. Sur les lecteurs d'écriture ordinaires, l'enregistrement n'a pas atteint la fin (de 97%), tant qu'il y avait suffisamment d'espace - ces disques fonctionnaient également, bien qu'il y ait une menace de détection et d'interdiction ultérieure. Plus c4eva a publié un programme prenant en charge certains découpeurs de DVD informatiques, qui a trompé le lecteur, supprimé les restrictions et l'a forcé à écrire toute la surface du disque:


c4eva a également créé un micrologiciel pour les lecteurs Xbox 360 - iXtreme LT + pour contourner les nouvelles protections - des réponses toutes faites directement à partir du fichier dae.bin ont été écrites sur le disque du jeu, le micrologiciel a répondu «par modèle», tout le monde est content. Mais Microsoft a également agi de manière assez évidente - dans la prochaine mise à jour du système, ils ont changé dae.bin , les pirates ont cessé de fonctionner, les disques ont dû être corrigés et brûlés à nouveau:


Après un certain temps, c4eva est devenu réfléchi et a dit qu'il avait trouvé une façon de résoudre AP 2.5 une fois pour toutes, en disant qu'il attendait iXtreme LT + 3.0. Par ailleurs, à ce moment-là, le nombre de questions "eh bien, quand est le nouveau firmware ??" dans les canaux IRC où c4eva était assis si augmenté que quelqu'un a fait un site entier c4evaspeaks.com, où toutes ses citations (littéralement tout!) et les nouvelles sur le sujet du firmware ont été enregistrées:



Dans iXtreme LT + 3.0, au lieu de la réponse «pattern matching», des données spéciales sur la géométrie du disque ont été utilisées. En fait, le disque sous licence a été scanné, généré et enregistré sur le disque de jeu avec une «carte» spéciale, par laquelle le micrologiciel a calculé et répondu correctement à toutes les demandes AP 2.5.

Sur ce point, la saga avec AP 2.5 s'est terminée par la victoire de c4eva et de son firmware. Il y a eu des tentatives d'interdire les joueurs dont les contrôles AP 2.5 ont fonctionné, mais soit les interdictions ont accroché les joueurs honnêtes, soit elles n'ont pas prouvé le piratage et la fiabilité à 100% des contrôles, mais les interdictions ont également cessé.

Légende - PLDS DG-16D5S 1175


Le dernier point de la lutte pour les lecteurs a mis LiteOn DG-16D5S:


Il contenait le contrôleur MT1332E, qui n'était pas entré en mode service par des méthodes connues, et, selon les rumeurs, la clé n'était pas stockée dans la ROM:


Il y a eu des tentatives de lecture de la ROM en dissolvant le boîtier et en soudant avec le câblage:


Oui, à l'intérieur, il y avait aussi un sandwich de Proca et de lecteur flash:


Il y a des informations selon lesquelles il y avait aussi des méthodes logicielles pour lire le firmware à partir de celui-ci; J'ai personnellement téléchargé les vidages présentés sur l'un des forums. En tout cas, cette fois dans le domaine public, il n'y a pas d'outils pour lire la clé depuis le disque lui-même.

Au lieu de cela, c4eva a développé le micrologiciel iXtreme LTU (Lite Touch Ultimate), qui utilisait des données extraites de la console elle-même (via le piratage du système lui-même) et nécessitait le remplacement de la carte de circuit imprimé du lecteur. La carte de circuit imprimé personnalisée était exactement la même que la 16D5S, mais le processeur qui s'y trouvait pouvait être reflasher:


Des «assistants de micrologiciel» plus aventureux sont allés indépendamment aux fournisseurs de MT1332 déverrouillé et ont simplement soudé la puce sur la carte. Ces puces ont été tirées de lecteurs de DVD chinois sur la même puce:


Bientôt, les puces MT1332 ringard ont pris fin! Ensuite, l'équipe Maximus a développé une chose inhabituelle - Cryptocop:


Cette puce, attachée sur le côté de la carte, a fait la chose magique - au démarrage, elle a chargé un nouveau bootrom dans MT1335 / MT1339, après quoi le firmware LTU conçu pour MT1332 a démarré et a fonctionné parfaitement. Mais il y avait suffisamment de puces - le MT1335 a été retiré des disques utilisés du modèle précédent, 16D 4 S, MT1339 - des disques chinois ou des fournisseurs. La version normale de LTU pour MT1339 c4eva a refusé de compiler (sinon les gens installeraient simplement de vieux disques et n'achèteraient pas leurs cartes).

Mais alors que les réserves de cartes LTU étaient déjà épuisées, c4eva a fait une formidable feinte avec ses oreilles - il a compilé le firmware iXtreme LTU2 pour la puce MT1319 ! Ce processeur était dans le tout premier LiteOn avec des consoles "épaisses". Et oui, ils ont commencé à riveter et à vendre de nouvelles cartes LTU2:


Eh bien, enfin, les Chinois ont rejoint les vacances, qui ont commencé à fabriquer des cartes basées sur MT1309, le frère le plus courant de MT1319 avec un lecteur flash externe:


L'ère du micrologiciel Xbox 360 s'est terminée avec la sortie d'une nouvelle révision de la console, sur laquelle vous ne pouvez pas obtenir la clé du système ou du lecteur de DVD. Mais plus à ce sujet dans la prochaine partie!

Protection et piratage Xbox 360, partie 1
Protection et piratage Xbox 360, partie 2
Protection et piratage Xbox 360, partie 3
Tous les détails, détails, nuances - demandez dans les commentaires!

More articles:


All Articles