xbox 360 freeboot скрипты
Xbox 360 freeboot скрипты
Платформа: Xbox360
Год: 2013
Язык интерфейса: Русский, Английский
360 Content Manager 3.0
ExisoGui_v1.4b
fat32 Format
God2Iso_v1.4b
iso2god_v1.3.6-360h
Modio 5.5
Xbox1 extractor
Xbox Image Browser 2.9
Yaris Swap v0.9 Beta 3
Apps to Launch From Xex menu:
Dash Launch v3.10
FFFplay
FreestyleRev 775 ( В состав сразу входит дефолтный русский скин)
hddfixer
Launch.ini (готовый для HDD, USB, 4Gb)
Nxe2God v1.2
Xm360 2.0d
Apps to put on Xbox HDD (Nxe installers):
Hacked Xbox1 Emulator
Nxe2God
VideoCodec
Xex menu fo nxe
Dash Launch 3.10
SystemUpdate 16537
AutoGG 0.9.2 rev67b
J-runner 0.3 beta 1
Simple Nand Flasher 1.3
xebuild 1.08
Xebuild GUI 2.091
Скачать, записать на CD, пользоваться. Или смонтировать образ в виртуальный привод и взять любую нужную программу. Или выбрать при скачивании образ или нужную программу
Открыть ISO образ можно в WinRar, UltraISO и др. приложениях
YarisSwap
Для чего: разблокировка аркад, аватар DLC (шмотки аватаров).
Дополнительно: может заливать контент напрямую по ftp протоколу на бокс, может менять XUID.
Iso2God
Для чего: переделывает игры из ISO в GOD контейнер (Games on Demand).
Дополнительно: может заливать контент напрямую по ftp протоколу на бокс, может менять картинку ярлыка который будет виден в даше, а так же имя игры и описание.
God2Iso
Для чего: переделывает игры из GOD в ISO (противоположность проге Iso2God).
Дополнительно: указываете папку с контейнерами, жмете GO!, получаете ISO.
Xbox Image Browser
Для чего: распаковывает ISO
Дополнительно: после распаковки игру нужно скинуть в x:\Games\название игры\ (подходит как для жесткого диска бокса, так и для usb флешек и хардов). Запускать игру файлом default.xex через программу xexmenu, или с ярлыка в даше если его предварительно создать в программе Quickboot.
exiso-GUI
Для чего: распаковывает ISO
Дополнительно: аналог Xbox Image Browser, но с поддержкой фтп.
QuickBoot
Для чего: создает ярлык для запуска игр и программ напрямую из даша.
Дополнительно: поддерживается смена картинки ярлыка (формат PNG, размер 64х64 точки), имя игры или проги, описание. Пути до исполнительного файла:
hdd:\Games\название игры\default.xex
usb:\xexloader\default.xex
dvd:\default.xex
Готовый файл нужно скинуть в /Content/0000000000000000/C0DE9999/00007000/
Xbox 360 USB Storage Explorer (Xplorer)
Прога для просмотра флешек и hdd дисков отформатированных в боксе
Какие бывают программы для Freeboot
Все мы знаем, что Xbox 360 с Freeboot – это не просто консоль для игр, а многофункциональный медиакомбайн. После апгрейда стандартной приставки вы получаете не только игры, которые можно качать из интернета, но и обширный набор гибких настроек.
Ко всему вышесказанному можно добавить, что с помощью приложений для Freeboot, которые так же просто загружаются из сети, можно просматривать фильмы, слушать музыку, общаться с друзьями и многое другое.
Программы для Freeboot
Некоторые программы для Xbox 360 с Freeboot создаются обычными программистами, которые хотят попрактиковаться в своих умениях, а над некоторыми трудятся настоящие специалисты из крупных сообществ и компаний.
У каждого разработчика свои цели, одни просто набивают руку, другие хотят принести пользу рядовым игрокам, а третьи – заработать. Да, создав бесплатное приложение, тоже можно заработать, причем как репутацию, так и деньги.
В этой статье мы рассмотрим, какие виды программ существуют и в каких случаях они пригодятся.
Вспомогательные программы и оболочки
Вспомогательные или «служебные» программы для фрибута обеспечивают правильную работу самой консоли, на которой установлен Freeboot, а некоторые – визуально ее дополняют.
Графическая оболочка – это программа, которая заменяет стандартный дашборд. Ее можно сравнить с Windows, которая устанавливается практически на все компьютеры.
Кастомные оболочки помогают раскрыть все возможности фрибута: настроить схему охлаждения, пользоваться файловым менеджером, кастомизировать систему и настроить ее под конкретного пользователя, то есть под себя.
На Freeboot чаще всего ставят одну из двух оболочек: Freestyle Dashboard 3 или Aurora.
FSD 3 содержит в себе массу функций: настраиваемую библиотеку игр, встроенный файловый менеджер, FTP-сервер для передачи данных с компьютера и обратно, датчики температуры чипов и многое другое.
Aurora – это измененная FSD, где удалена часть функций, для более стабильной работы системы и быстрой загрузки консоли.
Обе эти оболочки можно сравнить с Android и iOS. В первом случае, вы можете изменять шрифты, ставить различные темы, всячески экспериментировать с внешним видом системы, а также получить доступ ко всем файлам. Android частенько подвисает и, несмотря на всю его функциональность, он еще далек от идеала. В случае с iOS, вы не получите такое разнообразие настроек, но именно из-за того, что функций и визуальных настроек не так много, как в Android-е, лагать просто нечему.
Теперь возвращаемся к служебному софту.
Служебные программы
1. DashLaunch. Программа содержит практически все настройки, от которых зависит работа оболочек и самой приставки. Установить DashLaunch на консоль без фрибута – нельзя.
В этой программе вы можете настроить блокировку Xbox Live, что очень важно, ведь прошитую консоль мгновенно забанят. Опасность заключается не только в том, что вы не сможете пользоваться Лайвом (покупать и скачивать игры, пользоваться подписками и т.д.). Если обновления из Live установятся на приставку, она перестанет работать. Восстановить консоль можно в специальных мастерских, но даже они не могут дать 100% гарантию, так что будьте осторожны.
Если ваш Xbox 360 прошивали в сервисе, лучше не нужно «копаться» в этой программе, так как мастера уже все настроили за вас. Изменение некоторых параметров только навредит системе.
2. XeXMenu – это файловый менеджер, без которого не обойтись, когда у вас нет графической оболочки. С помощью этой программы можно устанавливать игры и приложения, например, плеер для Xbox 360 с Freeboot или браузер.
Интерфейс программы XeXMenu на Xbox 360 с Freeboot
3. XellLaunch – это софт, который позволяет попасть в меню Xell без перезагрузки системы. Лаунчер Freeboot ускоряет процесс, так как без него нужно выключать приставку, а потом кнопкой управления лотком привода запустить ее. Чаще всего в Xell заходят, чтобы восстановить слетевший Freeboot или запустить Linux. Простыми словами, он нужен на крайний случай, если с фрибутом что-то будет не так.
Кроме этого, XellLaunch полезен тем, кто не знает, чипованная его консоль, или нет. Если Xell открылся – установлен Freeboot.
Развлекательные программы
Вот мы и добрались до самого интересного. Ниже будет приведен список самых популярных программ, о которых знают практически все более-менее опытные пользователи.
Если вы увидите в интернете надпись Homebrew для Xbox 360 с Freeboot, значит речь идет о приложениях для фрибута.
Все программы, которые создаются сторонними разработчиками, не имеющими отношения к Microsoft и ее партнерам, называются Homebrew. Их можно найти на торрентах и загрузить к себе на консоль.
MCEBrowser – браузер для Xbox 360 c Freeboot. Ничего сверхординарного в этой программе нет, но этим она и подкупает. Если вы хотите просто и комфортно сидеть в интернете с приставки, то, установив данное приложение, вы получите именно то, что желали.
XMPlayer для Xbox 360 с Freeboot отлично подходит для просмотра фильмов и видео. Подключив внешний накопитель (флешку или жесткий диск), вы сможете смотреть видеозаписи практически всех форматов.
Программа пока не имеет поддержки русского языка, что в принципе можно назвать минусом, но с управлением сможет разобраться любой пользователь.
MKV на Xbox 360 с Freeboot можно смотреть с программой «Домашний медиа-сервер (UPnP, DLNA, HTTP)». Настроив соединение с компьютером, вы можете запускать различные видеозаписи и смотреть их на своей консоли.
Другие возможности Xbox 360
Имея определенный опыт и интерес, можно установить Linux на Xbox 360 с Freeboot, а потом с его помощью пользоваться некоторыми программами. Правда, обычному пользователю это не принесет никакой практичной ценности.
Xbox 360 freeboot скрипты
Для работы описанных плагинов на вашей консоли должен быть установлен DashLaunch.
Вы их можете все найти на LiveCD\FSDplugins
Например в Total Commander в настройках FTP соединения в строке Сервер [:Порт] адрес бокса указываем таким образом
Плагин для снятия скриншотов
Написал тут инструкцию для снятия скриншотов с бокса по нажатию горячих клавиш. XDK не нужен
Внимание! Могут не запускаться некоторые игры, могут быть зависания. Если что то просто удалите строчку с этим плагином в launch.ini.
1. Распаковываем архив куда-нибудь, избегая русских букв в названиях папок, например в «D:\Xbox 360»
2. Закидываем файл xbdm.xex на устройство памяти Xbox 360, прописываем его в launch.ini в разделе Plugins
3. Перезагружаем консоль
4. В файле Take_Screenshot.cmd прописываем вместо 192.168.0.28 айпи-адрес вашей консоли
5. Запускаем Take_Screenshot.cmd и рядом должен появиться скриншот с именем вида «дата.время.bmp»
6. Устанавливаем AutoHotkey110506_Install.exe, запускаем из меню Пуск
7. Жмем File->Edit script, пишем строку
Код
#a::Run, «D:\Xbox 360\Take_Screenshot.cmd», D:\Xbox 360
#a означает, что скрипт будет запускаться комбинацией клавиш Win+A
D:\Xbox 360 заменяем на свой путь к распакованным файлам
8. Сохраняем скрипт, закрываем
9. В программе AutoHotKey жмем File->Reload script
10. Проверяем, по нажатию клавиши в вашей папке должен появиться новый скриншот
AGM Temperature Logging Plugin:
ведет лог t все время, даже во время игры, можно поглядеть как прогревается приставка в той или иной игре.
добавляем путь до плагина в ланч ини (HDD:\TemperatureDump.xex)
TemperatureDump.ini указываем путь лога ( оставить по умолчанию можно)
Потом можно скопировать temperature log.txt на комп и запустив TemperatureViewer.exe из той папки глянуть t.
Надоел вид FSD, можно ли сменить?
-Правильная установка RGH у хорошего мастера не вызывает никаких проблем в дальнейшем..
Программы для Freeboot
Freeboot на Xbox 360 буквально развязывает руки пользователю, который хочет получить больше чем игры. Эта прошивка позволяет превратить обычную игровую приставку в полноценный медиацентр, почти с неограниченными возможностями.
После установки ряда программ пользователь сможет смотреть видео и фильмы, слушать музыку, серфить в интернете, управлять файлами на жестком диске, изменять системные настройки и многое другое.
Программы для Xbox 360 с Freeboot
Существует много разных программ на Freeboot. Некоторые приложения написаны любителями, а над созданием другим работают целые команды профессионалов.
В целом, и те и те занимаются общим делом – делают повседневное использование приставки интереснее, удобнее и разнообразнее.
Если вы во время поиска софта где-то увидите надпись «homebrew на Xbox 360 с Freeboot», значит вы на верном пути. По сути, это общий термин, под которым обычно понимают все сторонние программы, аддоны, приложения и т.д. То есть, практически все программы, о которых мы будем вести речь – и есть homebrew.
Служебные приложения для Freeboot
Служебные приложения нужны для запуска игр, редактирования системных настроек приставки, например, автозапуск графических оболочек, о которых расскажем далее.
Первая программа, с которой наверняка уже приходилось поработать владельцам прошитых консолей – XexMenu.
XexMenu нужна для запуска игр, эмуляторов, приложений с жесткого диска. Для комфортного взаимодействия с файлами на приставке, в нее встроен файловый менеджер.
Разработчики тщательно продумали процесс включения программ и игр, что существенно облегчило жизнь рядовых пользователей. Кроме этого, они встроили в программу возможность считывания и отображения температуры видеочипа и процессора, а также реализовали возможность подключения приставки напрямую к ПК посредством FTP-соединения.
В общем, без этой программы возможности фрибута не будут раскрыты даже наполовину. Ее установка является обязательной.
Программа DashLaunch – универсальный набор настроек для прошитой консоли. Некоторые параметры, без достаточного опыта, лучше не трогать, а с некоторыми стоит «поиграться». Главное, что она позволяет – запускать оболочку при старте системы и блокировать доступ к Live, чтобы приставку не забанили.
Также есть немаловажный XellLaunch, который позволяет включить Xell без перезагрузки приставки. Без программы в него можно попасть после выключения приставки. Нужно нажать на кнопку извлечения лотка. Лаунчер для фрибут значительно упрощает этот процесс.
Графические оболочки
Есть две популярные кастомные оболочки – Freestyle 3 и Aurora. Они представляют собой усовершенствованные версии дашборда, предназначенные для приставок с фрибут и устанавливаются только на них.
Если коротко, каждая из этих оболочек открывает возможность свободного доступа к играм на HDD, облегчает использование некоторых функций и добавляет новые. Freestyle гарантирует отображение температуры железа, IP-адреса приставки и даже погоды в выбранном регионе.
Внешний вид меню можно настраивать по собственному желанию, например, загружать готовые скины из интернета или немного разобраться и создать свой стиль на ПК, а потом загрузить его на консоль.
В наших мастерских производится установка Freeboot на Xbox 360 . Вы можете смело довериться многолетнему опыту наших специалистов. Звоните и записывайтесь!
Развлечения
Никто не забывает, что приставка, в первую очередь, нужна для развлечений. Скачав необходимый софт, как уже говорилось ранее, можно слушать музыку, смотреть видео и покорять просторы интернета, используя джойстик для навигации.
Программ очень много, все они хороши по-своему, но мы постараемся выделить самые популярные и проверенные.
Один из лучших браузеров для Xbox 360 с Freeboot – MCEBrowser. Он очень прост в управлении и ничем не уступает обычному браузеру, устанавливаемому на ПК. Много рассказать о нем не получится, так как у большинства есть представление о предназначении подобной программой, и она им вполне соответствует.
XMPlayer поддерживает абсолютное большинство популярных файловых систем: EXT2FS, NTFS, FAT, XTAF и iso9660.
Еще одним плюсом этой программы станет воспроизведение видео по сети.
Из минусов можно выделить только отсутствие русского перевода, но для большинства современных пользователей навигация на английском языке не станет большой помехой.
Пользоваться ею очень просто. После запуска, в разделе Shutdown мы выбираем, откуда открыть видео (DVD или HDD), а затем находим нужный файл.
«Продвинутые» возможности
Более опытные пользователи могут найти и изучить видео по настройке соединения консоли с ПК и запустить Linux на Xbox 360 с Freeboot. Для этого понадобится флешка или диск с загрузчиком этой ОС.
В наших мастерских производится установка Freeboot на Xbox 360 . Вы можете смело довериться многолетнему опыту наших специалистов. Звоните и записывайтесь!
Что в итоге?
В конечном результате, после установки ряда программ, мы получаем не просто консоль с возможностью запуска игр с HDD, но и полноценную мультимедийную систему, умеющую удовлетворить потребности самых требовательных пользователей.
Защита и взлом Xbox 360 (Часть 1)
Вы наверняка слышали про игровую приставку Xbox 360, и что она «прошивается». Под «прошивкой» здесь имеется в виду обход встроенных механизмов защиты для запуска копий игр и самописного софта. И вот здесь возникают вопросы! Каких механизмов, как они обходятся? Что же наворотили разработчики, как это сумели обойти? На самом деле, тема очень обширная и интересная, особенно для Xbox 360 — здесь можно встретить уязвимости в ПО, аппаратные недочеты, и совсем уж магическую магию. Интересно? Заглядываем! В первой части у нас знакомство с гипервизором, приводами и прошивками…
Знакомимся с подопытным
Игровая приставка Xbox 360 увидела свет аж в 2005 году и с тех пор не претерпевала изменений в характеристиках железа. Всё время, что она выпускалась, это были те же самые:
Тем не менее, все игры одинаково хорошо работали на всех «ревизиях» приставок – это как раз тот случай, когда современные игры можно запустить на оборудовании 2005 года.
В момент релиза было сделано громкое заявление, что консоль разрабатывалась как можно более защищённой – кастомные чипы с защитой на аппаратном уровне, и вообще, хакеры такого ещё не видывали:
There are going to be levels of security in this box that the hacker community has never seen before
Что же придумали разработчики?
Во-первых, они сделали всё, чтобы программный код системы нельзя было достать. В центральный процессор встроили ROM на 32 КБ, содержащий первичный загрузчик (1BL) и SRAM на 64 КБ, в котором он исполнялся. Из кристалла CPU содержимое ROM достать очень и очень непросто:
Во-вторых, в тот же процессор засунули специальные фьюзы – пережигаемые (в буквальном смысле, высоким напряжением) перемычки, своеобразная однократно программируемая память. Фьюзы содержали:
Да-да, количество фьюз ограничено. Если вы умудрились обновить свою приставку 80 раз подряд, счётчик CFLDV кончится и … не знаю, я не пробовал так делать. Вероятно, приставка больше не сможет обновляться.
В-третьих, разработчики реализовали цепочку доверия. Для проверки подлинности загрузчиков использовалась комбинация современных (на тот момент) алгоритмов SHA-1 и RSA-2048, что исключало возможность запуска своего кода или неавторизованной модификации загрузчиков даже в случае, если вы каким-то образом достали все ключи из приставки и смогли пересобрать систему.
В-четвёртых, разработчики решили пойти дальше по принципу «никому не доверяй» и засунули в тот же несчастный CPU специальный аппаратный модуль защиты ОЗУ! С его помощью все области с программным кодом шифровались, а для наиболее важных областей (гипервизор) включался контроль целостности!
Этим разработчики защищались от DMA атак, когда через внешние устройства, имеющие доступ к оперативной памяти, изменяют программный код системы в ОЗУ.
Наконец, разграничением прав на регионы памяти занимался гипервизор. Только он мог сделать страницы исполняемыми, естественно, перед этим он проверял цифровую подпись, так что загрузить неподписанный код или исполнить что-то из области данных нельзя было даже через уязвимость в каком-нибудь драйвере или игре (ось и игры запускались с правами kernel).
В результате, операционная система Xbox 360 была хорошо защищена, и потому в качестве первого вектора атаки был выбран DVD-ROM.
Запускаем… бэкапы!
В Xbox 360 основным носителем для игр был выбран двухслойный DVD-диск. Естественно, и здесь присутствовали защитные механизмы:
В результате, 14 мая 2006 года commodore4eva (c4eva) выпустил первую модифицированную прошивку для привода модели TS-H943:
— Xtreme firmware for TS-H943 Xbox 360
— Here it is, the long awaited World first Xbox 360 backup firmware modification to boot all game backups!
Features
— Boots all Xtreme Xbox 360 backups
Boots all Xtreme Xbox 1 backups
Boots all Xbox 360 originals
Boots all Xbox 1 originals on Xbox 360
Xtreme0800 extraction firmware enables drive to function natively under Windows without any hardware conversion/adaptors
Use on Xbox Live at own risk
Technical details
— Reads Xbox 360 security sector from PSN 04FB1F (Layer 0)
Reads Xbox 1 security sector from PSN 605FF (Layer 0)
Security sector must be extrated using Xtreme0800 360 firmware for Xbox360 games and Xbox 1 games
Will not boot Xbox 1 backups made with Xbox1 605b 0800 firmware (maybe in future release)
Прошивка читала сектора безопасности из фиксированных областей на DVD-болванке и обманывала приставку, заставляя ту думать, что вставлен лицензионный диск.
Одновременно с этим была выпущена прошивка «0800», предназначенная для создания копий игр и чтения секторов безопасности. Привод Xbox 360, прошитый такой прошивкой, определялся в компьютере и мог полностью читать сектора диска с игрой.
Extracting Security Sector
— Ensure DVD drive has been flashed with Xtrm0800.bin firmware. Drive can now work under Windows.
Insert original game disk into drive and wait for windows to detect disk change
Run DVDinfoPro
Enter the following four custom cdb commands:
AD 00 FF 02 FD FF FE 00 08 00 01 C0
AD 00 FF 02 FD FF FE 00 08 00 03 C0
AD 00 FF 02 FD FF FE 00 08 00 05 C0
AD 00 FF 02 FD FF FE 00 08 00 07 C0
Then save hexadecimal display as bin file as SS.bin
Creating a game backup
— Ensure DVD drive has been flashed with Xtrm0800.bin firmware. Drive can now work under Windows.
Extract Isobuilder.rar
Insert original game disk into drive and wait for windows to detect disk change
Run DVDinfoPro
Enter the following custom cdb command to unlock drive: (game data visable)
Run Isobuster
Right click on DVD and select Extract From-To
Click Length and enter number of LBAs as follows:
Xbox 1 Original Number of LBA to read 3431264 decimal
or
Xbox 360 Original Number of LBA to read 3567872 decimal
Select User Data (2048 bytes/block)
Click Start Extraction
Enter filename as game.iso and click Save
Upon read error dialogue box choose fill with blank zeros for sector and select use this selection for all errors
Copy game.iso and ss.bin to the relevent isobuilder directory (Depending on Xbox 360 or Xbox 1 game)
Run build360.bat (Xbox 360 game) or build.bat (xbox 1 game)
Ensure your burner will set the booktype of DVD+R DL to DVDRom
Burn with CloneCd and choose the image.dvd file
Ещё игру можно было частично скопировать следующим трюком:
Самое важное, что прошивался привод исключительно программно, специальными ATA-командами. В комплекте шла специальная программа для считывания оригинальной прошивки и записи модифицированной. В оригинальной прошивке хранился заветный ключ, которым привод был привязан к Xbox 360:
Потеря ключа означала невозможность запуска даже лицензионных дисков, так что некоторые записывали ключ в блокноте, сохраняли его везде, где только можно, это было самым заветным знанием.
Отдельной темой шла паника по поводу игры онлайн. Все боялись, что Microsoft узнает, что привод модифицирован и дистанционно отключит приставку. Некоторые даже делали аппаратный мод для переключения между заводской и модифицированной прошивкой:
На оригинальной прошивке играли «в лицензии» и с подключением в сеть, на модифицированной интернет-кабель стыдливо отключали. Кстати, паника была не зря, а вот такие моды были совершенно напрасны, всё логировалось и без подключения к сети.
Ровно через месяц (15 июня 2006 г.) прошивку портировали на другую модель привода, что ставили в те времена в Xbox 360 — Hitachi GDR3120L. У него также была внешняя флешка, содержащая прошивку:
Этот привод был лучше защищён:
Действо это предлагалось выполнить с помощью специального загрузочного диска со Slax Linux, либо закорачиванием проводов при старте. Закорачивать нужно было контакты 0 и 9 коннектора питания привода. Например, булавками!
В обоих случаях, после таких измывательств, привод определялся в Windows как обычный DVD-дисковод, где его подхватывали и насиловали прошивали.
После первого релиза кастомные прошивки дорабатывались, повышалась стабильность, добавлялась поддержка новых игр, в общем, всё как обычно.
Ответ Microsoft
Систему не взламывали, просто научились запускать копии игр, мы работаем над этим
The core security system has not been broken. However, it is reported that the authentication protocol between the optical disc drive and the console may be attacked, which if accurate could allow people to play illegally copied games. Our security team is aware of this and we are investigating potential solutions to this issue. The Xbox 360 platform was designed to be updated, and we are prepared to respond appropriately should any unauthorized activity be identified.
Что реально было сделано для исправления ситуации:
На время оставим поле битвы за прошивки привода, там был не слишком интересный период, когда исследователи пытались сделать «Stealth» прошивки, чтобы не забанили в Xbox Live, подстраивались под новые игры с новыми «волнами» — версиями обновления системы и портировали результаты на всё расширяющееся многообразие прошивок и приводов. Всё равно всё прошивалось, «бэкапы» успешно запускались, Xbox 360 набирала популярность у народа…
Ломаем ось!
Timeline:
Oct 31, 2006 — release of 4532 kernel, which is the first version containing the bug
Nov 16, 2006 — proof of concept completed; unsigned code running in hypervisor context
Nov 30, 2006 — release of 4548 kernel, bug still not fixed
Dec 15, 2006 — first attempt to contact vendor to report bug
Dec 30, 2006 — public demonstration
Jan 03, 2007 — vendor contact established, full details disclosed
Jan 09, 2007 — vendor releases patch
Feb 28, 2007 — full public release
Гипервизор имел одну особенность – в отличие от остального кода, он исполнялся не в виртуальном адресном пространстве, а в физическом (Real Mode). Трансляция не использовалась, обращения велись напрямую (адреса вида 0x00000000’xxxxxx). То ли это было сделано для скорости, то ли для простоты… И здесь крылась одна особенность адресного пространства Xbox 360.
Режим доступа к памяти определялся по её физическому адресу. А именно — старшие биты адреса имели служебное назначение. К примеру, адрес 0x00000000’0000201C означал прямой доступ к адресу 0x201C, а 0x00000100’0000201C означал, что требуется «на лету» расшифровать и проверить целостность при чтении того же самого физического адреса 0x201C.
Соответственно, чтобы исполнение велось с включёнными шифрованием и защитой, нужно обращаться к адресам вида 0x00000100’xxxxxxxx. Только тогда аппаратный модуль включал защитные механизмы. Поэтому на аппаратном уровне нужный бит добавлялся автоматически (за это отвечал специальный регистр HRMOR – Hypervisor Real Mode Offset Register)!
Ещё раз – как только гипервизор обращается к адресу вида 0x00000000’xxxxxxxx, MMU автоматически меняет этот адрес на 0x00000100’xxxxxxxx, включая шифрование и защиту! Так что любые попытки исполнить код «напрямик» из физической памяти, без защиты и шифрования, обречены на неудачу … или нет?
Давайте посмотрим на уязвимый код гипервизора версии 4532:
//в %r0 – номер системного вызова
13D8: cmplwi %r0, 0x61 //сравниваем с максимальным допустимым ID
13DC: bge illegal_syscall //если переданный номер больше 0x61, говорим, что неверный
.
13F0: rldicr %r1, %r0, 2, 61 //умножаем номер системного вызова на 4
13F4: lwz %r4, syscall_table(%r1) //достаём адрес обработчика из таблицы
13F8: mtlr %r4 //помещаем адрес обработчика в регистр lr
.
1414: blrl //прыгаем на этот адрес
Видите суслика? А он есть! Инструкция cmplwi работает с 32-битными значениями, а вот rldicr – с 64-битными! То есть мы можем подать в качестве номера системного вызова значение 0x20000000’0000002A, оно пройдёт проверку (потому что младшая 32-битная часть меньше 0x61), и в результате вместо адреса 0x10EC, адрес обработчика будет браться из 0x80000000’000010EC!
А дальше, как говорится, следите за руками. Старшие биты адреса не равны нулю, соответственно, HRMOR не добавляется! А поскольку реальное адресное пространство 32-битное, выставленный нами 63 бит просто игнорируется. Мы перенаправили гипервизор в незашифрованную и незащищённую память, просто подав некорректный номер системного вызова!
Но подождите, чтобы было куда прыгать, нам нужно уметь записывать в физическую память свои данные. Как этого достичь?
Здесь в дело вступает второй фактор – GPU в Xbox 360 был умным, даже чересчур умным. Он поддерживал специальную шейдерную инструкцию «MemExport» для выгрузки данных геометрии в физическую память. То есть вы могли скомпилировать шейдер, исполнить его на GPU и тем самым записать что угодно куда угодно! И самое главное, что шейдеры не были подписаны, если вы каким-либо образом модифицируете диск с игрой, то легко сможете подменить код шейдера.
Да, для запуска приходилось каждый раз запускать игру, дожидаться срабатывания эксплойта, ставить загрузочный диск с Linux, но это уже было хоть что-то!
Как уже говорилось, Microsoft выпустили обновление системы, в котором исправили уязвимость гипервизора. Но что, если вернуть уязвимое ядро?
Даунгрейд!
Вообще, в архитектуру Xbox 360 были заложены механизмы защиты от даунгдейда. В аппаратных фьюзах процессора каждый раз при обновлении выжигался очередной бит (повышался Lock Down Value, LDV), и при несоответствии этого самого LDV в фьюзах и в системе, консоль просто не запускалась.
Рассмотрим структуру загрузчиков Xbox 360, а именно «Bootloader Sections»:
Видно, что в образе есть несколько наборов загрузчиков, каждому из которых соответствует какой-нибудь LDV. В примере это 1888 для LDV 0, 16767 для LDV 3 и 16756 для LDV 2
Так вот, все обновления самой системы записывались в секции 6BL/7BL и просто «накладывались» в виде патчей на базовое «ядро» 5BL 1888. А вот какой набор патчей применить, выбиралось согласно прописанному LDV в фьюзах и заголовкам загрузчика! И как раз у 5BL заголовок можно было модифицировать, с одним большим НО — правильность заголовка проверялась по HMAC-SHA-1 хеш-сумме, записанной в нём же. И проверялась она обычным memcmp.
Если вы ещё не поняли, куда идёт дело, здесь умудрились применить атаку по времени (Timing Attack). Стандартная функция memcmp завершает сравнение сразу после первого расхождения. Поэтому изменяя первый байт хеша и засекая время выполнения memcmp, можно подобрать нужное значение (с ним время проверки увеличится). Продолжая далее, можно подобрать все байты хеш-суммы!
Для замера использовали отладочную шину POST_OUT. Работает она примерно как на ПК, в разные моменты загрузки выводится однобайтное значение, по которому можно судить, где сейчас исполняется процессор и какая ошибка произошла. По сути это 8 точек на матплате, каждая из которых отвечает за конкретный бит значения:
Подпаявшись к этим точкам, можно как раз-таки замерять время выполнения каждого из этапов загрузки и смотреть, произошла ли ошибка.
Весь процесс подбора хеша занимает около часа:
В результате получаем образ, в котором для базового ядра установлен текущий LDV, из-за чего никакие патчи не применяются и запускается самая древняя версия системы 1888! Откуда уже можно обновиться на уязвимую версию 4532:
Конечно же, Microsoft исправили эту уязвимость обновлением самого первого обновляемого загрузчика (2BL, «CB») и прожигом фьюза CBLDV, что сделало даунгрейд невозможным снова. Теперь вместо memcmp использовалась его безопасная версия, с одинаковым временем исполнения независимо от входных значений.
JTAG Hack!
Но и здесь исследователи не сдались и нашли лазейку. Да такую, что разработчики и предположить не могли.
В обычном режиме работы приставки, все загрузчики связаны друг с другом по цепочке. В результате чего расшифровка каждого загрузчика зависит от области данных в заголовке предыдущего загрузчика (Pairing Data). Дополнительно, шифрование кода зависит от уникального ключа процессора, поэтому нельзя взять и собрать рабочий образ, не зная CPU_Key. Или можно?
На этапе производства консоли (когда ключ процессора ещё не прожжён во фьюзах) используется специальный режим запуска Xbox 360, когда Pairing Data равна нулю (Zero-Pairing). И вот такой образ (с уязвимым ядром!) можно запустить на любой приставке, даже не зная ключа процессора!
К сожалению, полноценного запуска не будет, получится вот такая ошибка:
То есть игру King Kong не запустить, эксплойт через шейдеры не активировать… Но уязвимое ядро-то уже запускается! Может, есть другой способ записать оперативку? Оказалось, что есть.
Для начала, припаиваем три свободных GPIO южного моста приставки к выводам JTAG графического процессора:
Затем модифицируем прошивку южного моста (она зашифрована, но не подписана) и собираем образ с уязвимым ядром. После чего происходит магия:
На базе JTAG Hack создали модифицированные версии системы — XBReboot, Freeboot, с отключенной проверкой подписи, где уже разгулялись пираты. Игры можно было запускать не только с USB носителей и дисков, но и по SMB протоколу прямо с компьютера.
Что немаловажно, полноценный взлом системы давал шанс тем, кто потерял ключ DVD и не мог играть — имея ключ процессора, извлечь ключ DVD было несложно.
Конечно же, и здесь Microsoft быстро закрыла уязвимость, снова обновив 2BL и повысив значение CBLDV. На этом эпопея уязвимого гипервизора закончилась, народ побежал скупать остатки «совместимых с JTAG» приставок в магазины — всем хотелось без проблем играть с USB флешек. На форумах велись обсуждения, какие бандлы с какой датой выпуска годятся для взлома…
Тема модификаций системы Xbox 360 заглохла почти на два года, а вот тема прошивок продолжала развиваться. И как раз в прошивке приводов LiteOn разыгралась самая обширная битва исследователей и Microsoft. Но об этом в следующей статье 🙂