Get best of the week

Protegendo e invadindo o Xbox 360 (parte 2)



A última vez que deixamos a cena do Xbox 360 em um momento em que ficou claro para os desenvolvedores que a proteção de DVD-ROM é fácil de fazer, e você definitivamente precisa fazer algo a respeito. As tentativas de corrigir a situação atualizando o software do decodificador não tiveram êxito e a Philips & Lite-On entrou no campo de batalha, cujas unidades de DVD a cada novo modelo se tornaram cada vez mais avançadas em termos de proteção. Mas os métodos de hackers cada vez se tornaram cada vez mais sofisticados. Nesta parte, mostrarei como a Microsoft tentou corrigir a situação com discos não licenciados e quais métodos para a exibição de uma unidade de DVD podem ser alcançados quando, literalmente, tudo está fechado.

Conheça - PLDS DG-16D2S 74850c


O drive Philips & LiteOn DG-16D2S começou a ser instalado nos consoles de jogos em 2008 e o colocou em funcionamento até 2011, quando uma nova versão "slim" do console foi lançada. Aqui está o nosso herói:


Obviamente, os pesquisadores imediatamente retomaram e descobriram:

  • a unidade é muito semelhante ao modelo anterior, Philips e Benq VAD6038
  • o firmware está armazenado dentro do controlador, não considere o programador
  • não entra no modo de serviço, mesmo em chipsets VIA

Até o controlador MT1319 na placa é inundado com um composto:


Parecia que a Microsoft finalmente havia feito uma unidade "inquebrável" e todos teriam dificuldade.
No entanto, após algum tempo, o desenvolvedor do firmware modificado para o Xbox 360 c4eva informou que a unidade é viável e o desenvolvimento de firmware personalizado já está em andamento:
c4eva: Eu encontrei algumas coisas que ainda não são conhecidas sobre o lite-on, isso será feito!

Eu não quero esperar, mudar!


Enquanto o firmware personalizado estava sendo desenvolvido (e estava sendo desenvolvido por quase seis meses), as pessoas queriam piscar "aqui e agora". E no final de agosto de 2008, os pesquisadores descobriram um truque interessante :

  • Ativar o prefixo
  • Abra a bandeja da unidade de DVD
  • Retiramos o poder da unidade de DVD
  • Empurre a bandeja para o meio
  • Inserir potência da unidade

Após essas ações mágicas, a unidade cospe sua chave secreta no UART! Restava montar o adaptador COM-UART mais simples em um transistor e empurrá-lo em um ponto do quadro no momento da inicialização:

(reconstrução historicamente confiável usando um adaptador daqueles tempos)

De acordo com minhas suposições, esse "recurso" foi deixado para os centros de serviços, para que fosse fácil substituir a unidade por uma nova em caso de falha. É difícil encontrar outra explicação para a presença de tal funcionalidade.

Assim que a chave for recebida, você poderá gravá-la no firmware usado, mudar seu nome para “PLDS DG-16D2S” e tocar como se nada tivesse acontecido! (As primeiras revisões do Xbox 360 não eram famosas pela confiabilidade, porque havia muitas unidades TS-H943 usadas no mercado, filmadas em consoles meio mortos). Este passo voltou fortemente no futuro, mas naquela época os jogadores estavam felizes.


Havia um problema em todo esse idílio, e vinha de onde eles não esperavam. Qual é o problema - a unidade Xbox 360 possui um cabo de alimentação curto e não padrão:


Existem pequenas abas no plugue para orientação adequada no conector:


A operação de leitura das teclas é realizada convenientemente “na parte de trás” quando o inversor está de cabeça para baixo. Mas eles se esqueceram de girar o cabo de alimentação não muito flexível, o comprimento dos limitadores no plugue não foi suficiente, como resultado, 12 volts foram para os contatos errados e uma névoa mágica voou para fora da placa ...


Aqueles que tiveram "sorte" de gravar a unidade foram aconselhados a montar cuidadosamente o prefixo de volta e a entregar nada à loja sob garantia. Freqüentemente, a loja não usava vapor e aceitava esses consoles sem mesmo verificar o selo de garantia.

Viva, firmware!


Então, após quase seis meses de espera, nas férias de Natal, a c4eva lançou a versão do firmware iXtreme 1.5, com a qual aprendemos:

  • c4eva e sua equipe consideraram a dissolução do firmware do corpo do chip
  • A chave ainda é lida pelo método da bandeja semi-retraída
  • Para entrar no modo de serviço e gravar o firmware, você precisa apagar a unidade!

Eu tinha certeza de que tinha uma foto com um MT1319 meio dissolvido conectado ao programador, mas não consegui encontrá-la. Assim que o encontrar, vou adicioná-lo aqui (se houver, envie-o, por favor).

O recurso "apagar antes de gravar" causou problemas para as pessoas - o computador pode congelar, vá para BSOD. Mesmo que tudo "desse jeito", depois de apagar a unidade, é claro, não tenha sido determinado pelo sistema e tenha que entrar no modo de serviço "às cegas". Em geral, as pessoas atingem seus nervos bastante.

Houve experimentadores que pressionaram o botão "apagar" simplesmente por curiosidade, sem ter lido a tecla antes, mesmo apesar dos avisos:


Mas o objetivo principal foi alcançado - o LiteOn “não-lavável” finalmente ficou piscando, e os artesãos de braços retos podiam piscar o disco por conta própria.

DG-16D2S 83850c


Obviamente, a Microsoft recuperou a razão e começou a instalar uma unidade com uma nova versão de firmware, 83850s, na qual a funcionalidade de leitura de teclas UART não funcionava mais.

Surpreendentemente, o LiteOn 83850c deu a chave via SATA, e com a mesma bruxaria com uma bandeja entreaberta! A Foundmy.com lançou o utilitário LO83info que leu a chave, mas a emitiu de forma criptografada. Foi proposto enviar a chave aos autores por correio e, por US $ 42, receber uma versão descriptografada.


O programa durou quatro dias, após os quais Maximus e Geremia lançaram um decodificador de chaves gratuito :) Quantos autores conseguiram ganhar hoje em dia é desconhecido.



DG-16D2S 93450c


Um brinde com leitura fácil das chaves não durou muito - o LiteOn 83850c v2, que não cedeu aos truques do LO83Info, logo começou a cair, e o LiteOn 93450c foi completamente colocado nos consoles. Todos os métodos de leitura da chave estão fechados, a chave não pode ser

prefixada sem a chave ... Eles não ficaram tristes por muito tempo, os entusiastas encontraram este bug de hardware:

  • cortar parte das estradas de abastecimento
  • soldar um resistor de 22 ohm através do interruptor
  • curto-circuito através de 22 ohms para GND!

Como resultado, a tensão na unidade flash USB no interior do processador diminuiu tanto que apenas 0xFF foi lido em vez dos dados, a unidade teve certeza de que o firmware já havia sido apagado e entrou no modo de serviço! Bem, depois de entrar no modo de serviço, restava apenas abrir o resistor e ler toda a unidade flash USB:


Esse método "intermitente" matou ainda mais unidades do que o UART. Imagine o que um estudante pode fazer com um ferro de soldar soviético na tentativa de soldar dois fios de acordo com o esquema? Assim é como deve ser:


Mas isso pode ser visto nos fóruns:




Bem, e como a vulnerabilidade é de hardware, eles não puderam mais corrigir isso com a atualização de firmware da Microsoft, o LiteOn DG-16D2S finalmente entrou na categoria de drives flash.

Eles pararam de se sentir completamente tristes quando descobriram um truque ainda mais interessante:

  • ligue a unidade
  • desligue a linha de energia de 3.3v (a linha de 1.8v permanece ativa)
  • ponto de aterramento MPX01
  • ligue 3.3v
  • Entramos no serviço e lemos a chave da RAM! ??


O ponto MPX01 na unidade é responsável por se o firmware será descriptografado na inicialização. Fechando-o no GND, forçamos a unidade a pular o estágio de descriptografia, por causa do qual ele tenta iniciar o lixo e entra em erro. E já desse estado, ele permite que você entre no modo de serviço limitado e leia RAM! E devido ao fato de não termos limpado 1,8v, a RAM não foi redefinida e nossa chave ainda está lá. É isso aí.

Novo - PLDS DG-16D4S 9504


Juntamente com a versão Slim do console no Xbox 360, a unidade de DVD também foi atualizada. Até o design da unidade mudou, suas pernas desapareceram e ele se tornou ainda mais como um tijolo:


O controlador da unidade também mudou, agora todos foram conduzidos pelo chip MT1335


Surpreendentemente, o novo modelo, ao contrário de seu antecessor, pode ser lido e escrito sem problemas. A equipe Maximus rapidamente lidou com isso . À frente do planeta, eles lançaram um utilitário para leitura / gravação de uma chave / firmware chamada "Tarablinda":


A propósito, o firmware Liteon D4S para pesquisa também foi obtido dissolvendo o chip:

E enquanto o c4eva está em desenvolvimento ... as pessoas estão empurrando os antiquados discos usados ​​novamente! Tendo cortado as pernas e deformado o corpo:

Mas pegue e bloqueie!


Desta vez, a Microsoft decidiu se aproximar do outro lado. Como as pessoas ainda encontram maneiras de ler a chave, proibimos substituí-la! Nos novos consoles, eles começaram a detectar unidades DG-16D4S das versões 0225, 0401 e 1071, nas quais a memória flash SPI interna estava bloqueada!

O bloqueio foi realizado usando o registro de status e as pernas da memória flash WP:


Mas aqui eles criaram um método muito semelhante ao modo como o LiteOn 93450c foi superado:

  • cortar a estrada do poder
  • ligue a unidade, vá para o serviço
  • cutucar um resistor de 18 ohms para o corte
  • dê o comando de desbloqueio!


Exatamente da mesma maneira, a tensão de alimentação da memória flash SPI cedeu, algo estalou em seus cérebros eletrônicos e o desbloqueio foi concluído com êxito. Isso funcionou apenas em unidades flash da empresa MXIC:


Para o Winbond, eles criaram um método de desbloqueio ainda mais louco.

O fato é que o processador da unidade de DVD não era integral. Sobre ele, um chip da mesma memória flash foi colado a ele com um sanduíche, conectado ao cristal principal por fios finos. E a fiação de proteção contra gravação (WP) de que precisávamos, apesar de estar firmemente enrolada no chão, foi bastante bem-sucedida acima de todas as outras:


Havia uma idéia de alguma forma cortá-lo e, em seguida, dar o comando de desbloqueio. E sim, foi aqui que as pessoas perfuraram com precisão e precisão um chip com uma broca milimétrica!



De fato, se marcado com precisão e agido com precisão, você pode obter uma grande chance de sucesso. Naturalmente, movimentos inexperientes foram feitos assim:


ou então:


Mas não foi tão ruim - os chips MT1335WE após (ou em vez de) o desbloqueio sem êxito poderiam ser resolvidos para o MT1339E compatível com uma unidade flash USB externa removida das unidades chinesas:


O resultado - novamente, a vitória não está do lado da Microsoft, os discos são gravados, as unidades são exibidas.

AP 2.5, XGD3, ...


A Microsoft não apenas melhorou o firmware das unidades, mas também finalizou a proteção dos próprios discos do jogo. E aqui eles saíram na íntegra:

primeiro, o formato do próprio disco foi alterado . O antigo formato XGD2 continha, como um DVD comum de duas camadas, cerca de 7,5 GB de dados. O novo XGD3 usou uma área de disco um pouco maior, quase até o limite, devido à qual 8,5 GB de dados já se encaixam. Os meios usuais de "disco" não podem ser gravados.


Em segundo lugar, o arquivo dae.bin foi adicionado ao próprio sistema , contendo verificações adicionais para jogos específicos. O prefixo perguntou à unidade em qual setor físico do disco os dados específicos estão localizados e comparados com as amostras. Diferentemente das licenças estampadas de acordo com um modelo, a localização dos dados nos discos gravados pode ser diferente.


É interessante que apenas alguns jogos populares tenham sido protegidos dessa maneira.Em

terceiro lugar, para suportar todas as inovações, todas as unidades de DVD em todos os consoles foram atualizadas com a próxima atualização do sistema!

  • LiteOn D2S atualizou e fechou métodos simples de leitura de teclas
  • LiteOn D4S 9504 anteriormente piscando atualizado e bloqueado em registro
  • Aqueles com prefixos "piscavam" normalmente - tinham que "piscar" novamente
  • Quem mudou a unidade para outro modelo - obteve um erro e um prefixo que não funcionava


Nas unidades de DVD Samsung TS-H943 muito antigas, não era possível implementar as verificações do AP 2.5; portanto, apenas o suporte ao formato XGD3 foi adicionado à atualização. Os azarados foram os jogadores que foram substituídos pela Samsung pelo firmware LiteOn - eles tiveram que procurar uma nova unidade e trocá-la novamente. Os proprietários do LiteOn D4S 9504 ficaram muito desapontados, pois tiveram que desbloquear o chip para re-firmware.

Mas aqui tudo deu a volta. Verificou-se que 7,5 GB não é o limite e, em discos comuns de duas camadas, é possível gravar 8 GB ou mais, o que era necessário para jogos XGD3. Em unidades de gravação comuns, a gravação não chegava ao fim (em 97%), desde que houvesse espaço suficiente - esses discos também funcionavam, embora houvesse uma ameaça de detecção e subsequente proibição. C4eva adicional lançou um programa com suporte para alguns cortadores de DVD de computador, que enganaram a unidade, removeram restrições e forçaram-na a gravar toda a superfície do disco:


O c4eva também criou o firmware para as unidades Xbox 360 - iXtreme LT + para ignorar novas proteções - respostas prontas diretamente do arquivo dae.bin foram gravadas no disco do jogo, o firmware respondeu “por modelo”, todo mundo está feliz. Mas a Microsoft também agiu de maneira bastante óbvia - na próxima atualização do sistema, eles mudaram dae.bin , os piratas pararam de funcionar, os discos tiveram que ser corrigidos e queimados novamente:


Depois de algum tempo, c4eva ficou pensativo e disse que tinha pensado em como resolver o AP 2.5 de uma vez por todas, dizendo que espera pelo iXtreme LT + 3.0. A propósito, nessa época o número de perguntas "bem, quando é o novo firmware ??" nos canais de IRC onde c4eva estava sentado , aumentou tanto que alguém criou um site inteiro c4evaspeaks.com, onde foram salvas todas as suas citações (literalmente tudo!) e notícias sobre o tópico do firmware:



No iXtreme LT + 3.0, em vez da resposta de "correspondência de padrões", foram usados ​​dados especiais na geometria do disco. De fato, o disco licenciado foi digitalizado, gerado e gravado no disco do jogo com uma “placa” especial, pela qual o firmware calculou e respondeu corretamente a quaisquer solicitações do AP 2.5.

Sobre isso, a saga com AP 2.5 terminou com a vitória do c4eva e seu firmware. Houve tentativas de banir jogadores cujas checagens no AP 2.5 funcionaram, mas as proibições atraíram jogadores honestos ou não conseguiram provar o fato de pirataria e 100% de confiabilidade nas checagens, mas as proibições também pararam.

Legenda - PLDS DG-16D5S 1175


O ponto final na luta por drives coloca o LiteOn DG-16D5S:


Ele continha o controlador MT1332E, que não entrou no modo de serviço por métodos conhecidos e, de acordo com os rumores, a chave não foi armazenada na ROM:


Houve tentativas de ler a ROM dissolvendo o gabinete e soldando com a fiação:


Sim, também havia um sanduíche do proca e do flash drive:


Há informações de que também havia métodos de software para a leitura do firmware, e eu baixei pessoalmente os dumps definidos em um dos fóruns. De qualquer forma, desta vez em domínio público, não há ferramentas para ler a chave na própria unidade.

Em vez disso, a c4eva desenvolveu o firmware do iXtreme LTU (Lite Touch Ultimate), que usava dados extraídos do próprio console (por meio de hackers no próprio sistema) e exigia a substituição da placa de circuito da unidade. A placa de circuito impresso personalizada era exatamente igual à da 16D5S, mas o processador nela podia sofrer um reflash:


"Assistentes de firmware" mais aventureiros foram independentemente aos fornecedores do MT1332 desbloqueado e simplesmente soldaram o chip na placa. Esses chips foram gravados em aparelhos de DVD chineses no mesmo chip:


Em breve, o chips MT1332 brega terminou! Então a equipe Maximus desenvolveu uma coisa incomum - Cryptocop:


Esse chip, preso na lateral da placa, fez a coisa mágica - na inicialização, ele carregou um novo bootrom no MT1335 / MT1339, após o qual o firmware LTU projetado para o MT1332 foi iniciado e funcionou perfeitamente. Mas havia chips suficientes - o MT1335 foi removido das unidades usadas do modelo anterior, 16D 4 S, MT1339 - das unidades chinesas ou de fornecedores. A versão normal do LTU para MT1339 c4eva se recusava a compilar (caso contrário, as pessoas apenas instalariam discos antigos e não comprariam suas placas).

Mas quando as reservas das placas LTU já estavam acabando , c4eva fez uma simulação fantástica com os ouvidos - ele compilou o firmware iXtreme LTU2 para o chip MT1319 ! Este processador foi o primeiro LiteOn com consoles "grossos". E sim, eles começaram a rebitar e vender novas placas LTU2:


Bem, finalmente, os chineses se juntaram ao feriado, que começou a fazer placas baseadas no MT1309, o irmão MT1319 mais comum com um flash drive externo:


A era do firmware do Xbox 360 terminou quando saiu uma nova revisão do console, na qual você não pode obter a chave do sistema ou da unidade de DVD. Mas mais sobre isso na próxima parte!

Proteção e hackers do Xbox 360, Parte 1
Proteção e hackers do Xbox 360, Parte 2
Proteção e hackers do Xbox 360, Parte 3
Quaisquer detalhes, detalhes e nuances - pergunte nos comentários!

More articles:


All Articles