Get best of the week

保护和黑客Xbox 360(第2部分)



最后的时间,我们离开了Xbox 360的情景的时候,清楚地认识到了开发者DVD-ROM的保护是很容易做到的,你一定要做点什么。通过更新机顶盒本身的软件来纠正这种情况的尝试失败了,Philips&Lite-On进入了战场,其每种新型号的DVD驱动器在保护方面都变得越来越先进。但是每次黑客方法变得越来越复杂。在这一部分中,我将告诉您Microsoft如何尝试使用未许可的光盘来解决这种情况,以及在关闭所有内容后可以使用哪种方法来刷新DVD驱动器。

见面-PLDS DG-16D2S 74850c


Philips&LiteOn DG-16D2S驱动器从2008年开始安装在游戏机中,直到2011年,当新的“超薄”版本的游戏机问世时,才将其安装到游戏机中。这是我们的英雄:


当然,研究人员立即着手发现:

  • 该驱动器与以前的型号Philips&Benq VAD6038非常相似
  • 固件存储在控制器内部,不考虑编程器
  • 即使在威盛芯片组上也无法进入服务模式

甚至板上MT1319控制器都充满了化合物:


看起来微软终于做出了“坚不可摧”的努力,每个人都会很难过。
但是,一段时间后,用于Xbox 360 c4eva的修改固件的开发人员报告说该驱动器是合格的,并且自定义固件的开发已经在进行中:
c4eva:我发现一些关于lite-on尚不了解的事情,它将完成!

我不想等待,改变!


在开发定制固件时(已经开发了将近六个月),人们希望“在此处和现在”进行刷新。在2008年8月,研究人员发现了一个有趣的技巧

  • 打开前缀
  • 打开DVD驱动器托盘
  • 我们拔出DVD驱动器的电源
  • 将纸盘推入中间
  • 插入驱动器电源

完成这些神奇的动作后,驱动器会在UART中吐出其密钥!剩下的工作是在一个晶体管上组装最简单的COM-UART适配器,并在加电时在板上的某个点戳它:

(从那时起,使用适配器就可以进行历史上可靠的重建)

根据我的假设,此“功能”留给服务中心使用,这样在发生故障时很容易用新驱动器替换驱动器。对于这种功能的存在很难给出另一种解释。

收到密钥后,您可以将其写入使用过的固件,将其名称更改为“ PLDS DG-16D2S”,然后进行播放,就好像什么都没发生一样!(Xbox 360的第一版并不以可靠性着称,因为市场上有很多二手TS-H943驱动器是从半死角控制台拍摄的)。此步骤在将来会很强地重新出现,但那时游戏玩家很高兴。


所有这些田园诗都有一个问题,它来自他们没有想到的地方。发生了什么事-Xbox 360驱动器具有非标准且短电源线:


插头上有小的卡舌,用于在连接器中正确定位:


当驱动器上下颠倒时,可以方便地在“背面”进行按键读取操作。但是他们忘了转动不太灵活的电源线,插头上的限制器长度不够,结果是12伏电压完全到达错误的触点,魔术雾霾从板上飞出...


建议那些“很幸运”地刻录驱动器的人小心地装回前缀,并在保修范围内将任何东西不交给商店。通常情况下,商店根本没有蒸蒸日上,甚至在没有检查保修印章的情况下也接受了这种控制台。

万岁,固件!


因此,经过近六个月的等待,在圣诞节期间,c4eva发布了iXtreme 1.5固件版本,从中我们了解到:

  • c4eva和他的团队考虑了芯片主体的固件分解
  • 半缩回托盘方法仍可读取密钥
  • 要进入服务模式并记录固件,您需要擦除驱动器!

我确定我有一张溶解了一半的MT1319与程序员连接的照片,但是我找不到它。一旦找到它,我就会在这里添加它(如果有人拥有,请发送它)。

“录制前擦除”功能给人们造成了问题-计算机可能会冻结,并转到BSOD。即使一切“以这种方式进行”,擦除驱动器后,当然也不是由系统决定的,必须“盲目”进入服务模式。总的来说,人们非常伤脑筋。

有一些实验者只是出于好奇而按下了“擦除”按钮,即使有警告也没有读过密钥:


但是主要目标得以实现-“不可闪存” LiteOn终于被闪存了,伸直双臂的工匠可以自己闪存驱动器。

DG-16D2S 83850c


当然,Microsoft意识到了这一点,并开始安装具有新固件版本83850的驱动器,其中的UART密钥读取功能不再起作用。

令人惊讶的是,事实证明,LiteOn 83850c通过SATA提供了钥匙,并且使用了同样的巫术,并带有一个半开式托盘!Foundmy.com发布了LO83info实用程序,该实用程序读取密钥,但以加密形式发布。有人提议通过邮件将密钥发送给作者,并以42美元的价格收到解密版本。


该程序持续了四天,此后Maximus和Geremia发布了一个免费的密钥解密器:)这些天设法赚多少作者是未知数。



DG-16D2S 93450c


易于阅读键的免费赠品不会持续很长时间-LiteOn 83850c v2并没有屈服于LO83Info的技巧,不久便开始陷入困境,然后LiteOn 93450c完全投入了游戏机。所有读取密钥的方法都是封闭的,没有密钥就不能在密钥前加上

前缀... 他们已经很久没有悲伤了,发烧友发现了这个硬件错误:

  • 切断部分补给路
  • 通过开关焊接一个22欧姆的电阻
  • 通过22欧姆将电源短路到GND!

结果,处理器内部闪存驱动器上的电压下降太多,以致仅读取0xFF而不是读取数据,该驱动器确定固件已被擦除并进入服务模式!好了,进入维修模式后,只需打开电阻并读取整个USB闪存驱动器即可:


这种“闪存”方法比UART杀死了更多的驱动器。想象一下,一个小学生可以用苏联的烙铁做​​什么,以按照该计划焊接两根电线?这应该是这样的:


但这可以在论坛上看到:




好吧,由于该漏洞是硬件,因此他们无法再通过Microsoft固件更新来解决此问题,因此LiteOn DG-16D2S最终进入了闪存驱动器类别。

当发现更有趣的骇客时,他们不再感到完全难过:

  • 打开驱动器
  • 关闭3.3v电源线(1.8v电源线保持活动状态)
  • 接地点MPX01
  • 开启3.3v
  • 我们进入服务并从RAM中读取密钥!


驱动器中的MPX01点负责启动时是否将固件解密。将其关闭到GND时,我们强制驱动器跳过解密阶段,因此它会尝试启动垃圾并导致错误。从此状态开始,他已经允许您进入受限服务模式并读取RAM!由于我们没有清理1.8v,因此RAM并未重置,而我们的钥匙仍然在那儿。而已。

全新-PLDS DG-16D4S 9504


与Xbox 360中的控制台的Slim版本一起,DVD驱动器也已更新。即使驱动器的设计发生了变化,他的腿也消失了,他变得更像一块砖头:


驱动控制器也发生了变化,现在每个人都由MT1335芯片驱动


令人惊讶的是,与以前的模型不同,新模型可以毫无问题地进行读写。Maximus团队迅速解决了这一问题在地球之前,他们发布了一个实用程序,用于读取/写入称为“ Tarablinda”的密钥/固件:


顺便说一句,通过分解芯片,还获得了用于研究的Liteon D4S固件:

而且,在c4eva开发过程中……人们再次推挤老式的旧式耳驱动器!割断腿并使身体变形:

但是,采取并阻止它!


这次,Microsoft决定从另一侧采取方法。由于人们仍然找到读取密钥的方法,因此我们禁止覆盖它!在新的控制台中,他们开始检测0225、0401和1071版的DG-16D4S驱动器,其中内部SPI闪存已锁定!

锁定是通过状态寄存器和WP闪存的支脚执行的:


但是在这里,他们想出了一种与克服LiteOn 93450c非常相似的方法:

  • 切断动力之路
  • 打开驱动器,转到服务
  • 戳一个18欧姆的电阻到截止点
  • 发出解锁命令!


以完全相同的方式,SPI闪存的电源电压下降,电子大脑发出咔嗒声,解锁成功完成。这仅适用于MXIC公司的闪存驱动器:


对于Winbond,他们想出了一种甚至更疯狂的解锁方法。

事实是DVD驱动器处理器不是必需的。在它的顶部,将一个具有相同闪存的芯片用一个三明治夹在上面,并通过细线连接到主晶体。尽管实际上它已经紧紧缠绕在地上,但我们仍然需要的写保护(WP)布线在所有其他方面都非常成功:


有一个想法可以以某种方式削减它,然后发出解锁命令。是的,正是在这里,人们去用毫米钻来精确地钻出芯片!



实际上,如果准确地标记并采取整齐的行动,您将有很大的机会获得成功。自然地,没有经验的动作是这样完成的:


或者:


但这还算不错-解锁失败后(或代替解锁失败)的MT1335WE芯片可以解决与兼容MT1339E的问题,并从中国驱动器中移除了外部USB闪存驱动器:


结果-再次,胜利不在微软的一边,光盘被写入,驱动器被刷新。

AP 2.5,XGD3,...


微软不仅改善了驱动器的固件,而且还完成了对游戏光盘本身的保护。在这里,它们完全消失了:

首先,磁盘本身的格式已更改像常规的两层DVD一样,旧的XGD2格式包含大约7.5 GB的数据。新的XGD3使用了稍大的磁盘区域,几乎达到了极限,因为已经可以容纳8.5 GB的数据。无法写出“光盘”的通常含义。


其次,将dae.bin文件添加到系统本身,其中包含针对特定游戏的其他检查。前缀询问驱动器,特定数据位于磁盘的哪个物理扇区上,并与样本进行比较。与根据一个模板盖章的许可证不同,记录光盘上的数据放置可能有所不同。


有趣的是,只有少数流行的游戏是在这样的保护

。第三,支持所有的创新,所有DVD驱动器上的所有主机进行了更新与系统的下一次更新!

  • LiteOn D2S更新并关闭了简单的按键读取方法
  • 先前闪烁的LiteOn D4S 9504已更新并已记录在案
  • 那些前缀通常为“闪烁”的用户-必须再次“闪烁”
  • 谁将驱动器更改为另一种型号-出现错误和前缀不起作用


在非常旧的Samsung TS-H943 DVD驱动器中,无法执行AP 2.5检查,因此在其更新中仅添加了XGD3格式支持。最不幸的是那些被LiteOn固件替换为三星的播放器-他们不得不寻找新驱动器并将其改回。LiteOn D4S 9504的所有者非常失望,他们必须解锁芯片才能重新固件。

但是这里一切都变了。事实证明,7.5 GB不是限制,在普通的两层光盘上,有可能记录8 GB或更多,这是XGD3游戏所必需的。在普通的写入驱动器上,只要有足够的空间,记录就不会结束(减少97%)-这种光盘也可以工作,尽管存在被发现和随后被禁止的威胁。进一步的c4eva 发布了一个支持某些计算机DVD切割器的程序,该程序欺骗了该驱动器,取消了限制,并强制其写入光盘的整个表面:


c4eva还为Xbox 360驱动器制作了固件-iXtreme LT +绕过了新的保护-直接将dae.bin文件中的现成答案写入了游戏光盘,固件“按模板”响应,每个人都很高兴。但是微软也采取了相当明显的行动-在下一次系统更新中,他们更改了dae.bin,海盗停止了工作,必须对磁盘进行修补并再次刻录:


一段时间后,c4eva变得深思熟虑,并说他想出了一劳永逸的解决AP 2.5的方法,并说要等iXtreme LT + 3.0。顺便说一下,到那个时候,问题的数量“好,什么时候是新固件?”在c4eva坐着的IRC频道中,如此之多以致有人在整个站点c4evaspeaks.com上进行了保存,他的所有报价(实际上是所有内容!)和有关固件主题的新闻都保存在那里:



在iXtreme LT + 3.0中,代替了“模式匹配”答案,而是使用了有关磁盘几何形状的特殊数据。实际上,已使用特殊的“卡”对许可的光盘进行扫描,生成并将其记录在游戏光盘上,由此固件计算并正确回答了任何AP 2.5请求。

在此基础上,AP 2.5的传奇以c4eva及其固件的胜利而告终曾尝试禁止AP 2.5检查有效的玩家,但禁令吸引了诚实的玩家,或者他们未能证明盗版和检查的100%可靠性这一事实,但禁令也停止了。

图例-PLDS DG-16D5S 1175


在驱动器斗争中的最后一点是LiteOn DG-16D5S:


它包含MT1332E控制器,该控制器未通过已知方法进入服务模式,并且有传言称该密钥未存储在ROM中:


试图通过溶解外壳并用导线焊接来读取ROM:


是的,它的内部也是proca和闪存驱动器的三明治:


有信息表明,还有从中读取固件的软件方法;我个人在其中一个论坛上下载了规划好的转储。无论如何,这次是在公共领域,没有工具可以从驱动器本身读取密钥。

相反,c4eva开发了iXtreme LTU(Lite Touch Ultimate)固件,该固件使用从控制台本身提取的数据(通过对系统本身进行黑客攻击),并需要更换驱动电路板。定制的印刷电路板与16D5S的完全相同,但是可以重新刷新其上的处理器:


更具冒险精神的“固件向导”独立地去了解锁MT1332的供应商,只需将芯片焊接在板上。这些芯片是从中国DVD播放器在同一芯片上拍摄的:


很快,MT1332芯片的劣势结束了!然后Maximus团队开发了一种不寻常的东西-Cryptocop:


安装在主板侧面的该芯片起到了神奇的作用-在启动时将新的bootrom加载到MT1335 / MT1339中,然后为MT1332设计的LTU固件启动并运行良好。但是,有足够的芯片- 从中国驱动器或供应商那里从以前型号的旧驱动器16D 4 S,MT1339中删除了MT1335。用于MT1339 c4eva的LTU的常规版本拒绝编译(否则,人们只会安装旧驱动器而不会购买板子)。

但是当LTU板的储备已经用完时,c4eva的耳朵就发出了极大的伪装 -他为MT1319芯片编译了iXtreme LTU2固件!该处理器是第一个带有“厚”控制台的LiteOn。是的,他们开始铆钉和销售新的LTU2板:


好吧,最后,中国人加入了假期,他们开始基于MT1309(更常见的带有外部闪存驱动器的MT1319兄弟)制造电路板:


当新版本的控制台问世时,Xbox 360固件时代就结束了,在该版本上,您既无法从系统中也无法从DVD驱动器中获取密钥。但是在下一部分中会更多地介绍这一点!

保护和黑客Xbox 360,第1部分
保护和黑客Xbox 360,第2部分
保护和黑客Xbox 360,第3部分
任何详细信息,细节,细微差别-请在评论中提问!

More articles:


All Articles