Есть практические идеи или это красивый набор слов?

Yokel, Xbox 360 slim

Для одних это красивые слова а для других один самых популярных методов взлома

Boryan
Глупо с точки зрения безопасности хранить ключи или алгоритм в самой
батарейке. При таком подходе прошивку могут украсть еще на этапе
производства самой батарейки.

Я конечно извеняюсь, но почему не связаться с тем же максимум и не попросить их сделать декап и слив прошивки ? конечно это будет стоит денег, но не в них же трабл? Сливомский привод он же ломанул из максимуса. Декапил микроконтроллер и сливал прошивку с него.

Wesbam, вообще-то, абсолютно любую прошивку могут украсть в процессе производства. Специально для этого у производителей есть служба безопасности, которая следит чтобы такого не происходило.

И как ты себе представляешь переполнение буфера в сисконе? Ты владеешь хотя бы небольшим объемом знаний о работе железок..?

Денег нам не надо собирать через форум. У нас их у самих хватает.
Вот если бы кто-то бы сделал бы сервисную батарею на 3000, то не жалко было бы отдать свою однокомнатную квартиру в Москве, чтобы через 3 месяца купить трёхкомнатную.

Думаю Вы не теми извилинами думали, когда писали этот бред.

Откуда у вас столько брикнутых 3008 ? Вот у нас в городе их вообще нету!

Yokel, брикнутых та может и не много, а вот с прошивкой выше 5.03 их везде полно.
Хотя в свете хена 6.20-6.35(если релиз всё-таки состоится) это может быть неактуально какое-то время.

Процесс представляю себе так же как и в случае с обычной программой.
Контроллер питания ведь довольно плотно обменивается данными с батарейкой. Здесь только две проблемы. В syscon'e нет операционной системы, только прошивка, хоть он и связан с cpu. Не известно по какой архитектуре он построен.
Ну в последнем случае не все так глухо, врят ли инженеры сони изобретали что то новое.
Я хотел сказать что нужно пробовать все способы, а не зацикливаться
только на батарейках. К не счастью в этой теме серьезно работает только Борян.

Методы для обычных программ с железками обычно не работают по одной простой причине... железка просто не позволит вам выйти за пределы диапазона адресов просто потому, что это физически не возможно... память ограничена количеством ячеек. А ПЗУ контроллера обычно физически совершенно отдельная от оперативки область защищенная со всех сторон.
А вот программе совершенно все равно какой адрес вы ей подсунете, т.к. оперативка у компа в любом случае больше, чем исполняемый файл программы. Поэтому дырявая программа вполне может перекинуть вас в раздел оперативки, где хранится она сама, а не только переменные.

А работает сейчас, по-большому счету, только Борян потому, что только у него на данный момент есть необходимые инструменты и/или связи.
Я уже говорил, что могу помочь с ковырянием дампа, а также своими знаниями и идеями...

ждём ребята дамп..осталось ещё чуть чуть..потерпите ..Всё оказалось гораздо сложнее...Я начал уважать котроллеры NEC :) По защите им нет равных ...все остальные маститые производителе котроллеров нервно курят в сторонке перед NEC :)

Boryan, ну так не зря ж их пихают везде, где не поподя..) в бытовую технику там, в автомобили..)

за сколько денег считали ?

Yokel, пока ещё в процессе...не всё так просто оказалось...метод отработанный на 501 стоящих на иммо автомобилей и мерсовских ключах ..не прокатил...в нашем 501 сразу с нулевоего адреса идёт инициализация портов ..и это всё обламывает...сейчас пробуем 9202 ковырнуть ...

hax0r, Заставить выполнить его свой код конечно нельзя.
С другой стороны у него есть оперативная память в которой содержаться переменные не обходимые для работы прошивки и данные, данные возможно с нашей батарейки.

почитал доки на контроллер 501, что тут выложены. У него есть защита от записи, защита от стирания, защита от изменения бута. Но есть две отличные команды - Verify и Cheksum. Обе позволяют работать с произвольной длиной данных, от 0 до 256 байт. Почему бы не попробовать с первой - метод перебора одного байта - пока не сойдется. а вторая - просто вычитает из 0000h значение ячейки (или последовательной группы ячеек) и возвращает это значение в качестве контрольной суммы. Адреса можно задавать произвольно ( в области блока 1к). И нигде в доках - ни слова о том, что Security Set - заапрещает эти команды!Общение в режиме программирования может идти по протоколу UART. схемка в архиве есть. написать программку для ПК знающему человеку довольно просто.

Alezhek, это мы уже более месяца назад прошли...не всё там так сладко как написанно в доках...нету там побайтной верефикации...мы тоже губы раскатали...но оказалось что верефикация возможна минимум 4 байта.. и так 4 вычислили и далее следующие 4 ...и так до второго пришествия..:) Есть ещё вариант с бутлоадером...вычитать через него...но и там не всё так просто...бутлоадер позволяет только перезаписовать прошивку если это разрешенно секюрити битом...но и ещё позволяет переписать сам себя на новый...вот если в качестве нового бута написать свой который будет работать на чтение прошивки ...то возможно это проканает...но пока все чипы что мне были доступны имеют статус полной защиты ..в том числе и от перезаписи загрузчика...Есть пара чипов с фатки ..у них вроде бут открытый...но и тут засада..бут открыт на перезапись прошивки или перезапись самого себя? ...как это определить ни где в доках не написано...да и то что не активен бит перезаписи бута или прошивки не означает что в чипе прописан сам бутлоадер...Эту функцию в 501 используют в основном для внутрисхемного программирования..

Boryan добавил 17.12.2010 в 23:49
кто хочет попытать свои мозги вот дока на бутлоадер с примерами http://zalil.ru/30166878

Wesbam,почитай патенты сони, которые тут выложены. Там подробно описано как работает батарейка и подробно описан алгоритм рукопожатия. Для его реализации сискону от батарейки не нужно ничего, кроме правильного ответа. К тому же, судя по всему, прошивка батарейки-это кусок прошивки сискона...
Короче, никакое переполнение буфера не прокатит. Железки работают совсем не так как программы, поэтому и методы для них свои, железячные. Если хочешь разобраться в методах взлома, разберись сначала в устройстве контроллеров, их архитектуре, наборах комманд и возможностях. Они существенно отличаются от процессора для ПК.

странно немного... слушай, а может это ограничение софта программатора? пользуетесь фирменным программатором? Если свое сваять - типа как вы на к-лайне сделали читалку запросов-ответов от батарейки. Схема-та простая. Вопрос просто в написании своей программы для тех же запросов-ответов от 501.

Alezhek добавил 18.12.2010 в 01:24
как я понял - как такового там бутлоадера нет. просто область первых 1К (еще есть хитрая функция свапа - командой можно менять их местами со вторым участком памяти размером 1К) используется как таблица адресов переходов при РЕСЕТЕ или прерываниях. т.е. если запись бута разрешена - ты можешь писать в эту область.

Alezhek, программатор давно сделан свой и прога уже давно написана (спасибо за это ANDPSP..полностью его труды) и с чипом делает многое...ковыряет его как может..но толку мало..удалось с помощью проги вытащить все данные о чипе..состояние бит защиты..ид микрухи которое включает все данные про неё..сканит чип на чистые\записанные блоки ..оказалось что в 501 забиты под завязку все 16К!!!ну и ещё много чего она делает...с помощью неё и определили что верефикация мин. 4 байта..Все возможные варианты ковыряния чипа опробованны..осталось только с бутом попробовать...Если есть желающие ( но пока их чота не нашлось) поковырять 501 ..то могу и прогу выложить и схему проггера...чип 501 для экспериментов и отработки методов взлома стоит 120 руб ...программатор что бы далеко не уходить от темы бат. реализован на знакомой многим PL2303 и на базе дата кабеля для сотовых...Кто сделал клайн ..доработать его далее до проггера пара пустяков..Но стоит ли повторять то что мы уже давно прошли и расковыряли? Хотя свежие мозги ни когда не мешают. Но сейчас единственное направление это ковырять бут..
Wesbam, В котроллере бат. копия куска от сискон...
hax0r, тебе правильно сказал..и ковырять сикон вообще нет смысла...

Boryan добавил 18.12.2010 в 13:00
Alezhek, А какже нет бута? Каким образом тогда прошивку внутрисхемно меняют в чипе если не через бут? Вот с бутом и нужно разобраться досконально..мож там и найдём дыру..