[Флудилка] По поводу взлома PlayStation 3™

[HauB]

Обсуждение взлома PS3
holidayjoy_redribbon.png
Здесь обсуждаем только взлом PS3, выкладываем свои идеи, находки и только достоверную информацию.

Никаких фейков!
Никаких холиваров!
Никаких оскорблений собеседников!

Поддержите тёплую дружественную атмосферу в этой прекрасной теме.



Общий Faq, ориентация по важным темам.

[PS3Forever]

antrus4, то что сегодня первое апреля тебя не смущает?

[ErikPshat]

Всех с праздником!
Я вам давно говорил - сделали бы уже HEN и не парились бы. Но что-то никто не захотел этим заниматься.
Есть кастомная прошивка 4.82, есть официальная прошивка 4.82.
Есть эксплоит, который позволяет сделать запуск установки кастомной прошивки, даже на непрошиваемых консолях!
Там есть файл flsh.hex, а внутри лежат файлы sprx, вот здесь я про это писал.
Разница лишь в том, что, если на непрошивайках установить кастом, то получится брик из-за недоработки со структурой metldr2
НО, НЕПОДПИСАННЫЙ КОД эксплоит всё-таки позволяет запустить, а никто не заметил этого
Эти файлы можно было декриптовать до ELF и сравнить с теми же файлами в памяти консоли, ведь есть же PETT, позволяющий считывать и записывать области памяти. Найти, куда они рапаковываются, их адресацию и пропатчивать. А места окружения патчинга можно узнать при сравнении кастомных файлов и тех же файлов из памяти или просто из офф прошивки. Сразу будет видно, что там по паре байт в секциях пропатчено. Потом можно делать Hen Init и эти патченные смещения будут искаться и подменяться при инициализации.

Есть другой вариант, сравнить полностью сдампленные файлы с кастомной прошивки с файлами такой же официальной прошивки. Естесственно все файлы должны быть декриптованными, не будете же сравнивать заархивированные файлы, внутри архива еоторых лежат одинаковые файлы, они просто заархивированы (подписаны) по разному у каждой консоли. И таким образом вы увидите отличающиеся файлы и пропатченные места, там их не так много, не сами же хакеры писали модули кастомной прошивки, а просто дизассембили и ставили прыжки через проверку на секцию кода, возвращающего всегда положительный ответ, что всё ОК, подпись верна, даже если она хоумбрюшная фейковая.

Есть ещё третий вариант, но это для программистов. Сделать точно так же, как это сделали на PSP. Там ни один файл официальной прошивки не меняется и все офф файлы остаются в девственном виде. Разрабы просто написали модули, которые запускаются в работу через эксплоит, он патчит проверки в виртуальной памяти и берёт управление системными файлами прошивки на себя. Но это нужно писать такие модули кастома самим

[hexcsl]

ErikPshat, увы но эксплойт только уровня userspace (vsh). О том что ты пишешь я уже делал как только вышел дампер и pett. Я говорил что этих файлов нет в даме памяти (ну или я плохо искал), так как из userspace не получить доступ к ядру
Так что такой простой вариант здесь не прокатит.

[krekx]

ErikPshat, ты пошутил, тут в инструкции плавают, а ты им сейчас такую дичь прогнал, что они решат оставить всё это тебе и будут ждать пока ты сделаешь то о чём пишешь

[rhish777]

Сообщение от ErikPshat НО, НЕПОДПИСАННЫЙ КОД эксплоит всё-таки позволяет запустить, а никто не заметил этого

Если бы было все так просто

[krekx]

PS3Forever, ты монтировать пс3 диски могёшь с внешнего накопителя?

[ErikPshat]

Сообщение от rhish777 Если бы было все так просто

Да всё там просто, в теме по Врайтеру я видел сообщения, что на непрошивайках некоторые сделали брик. Они активировали эксплоит и установили кастом, там Ребаг или что-то другое, не важно. И после этого пишут, типа что-то консоль не включается .
Но весь фокус не в брике, а в том, что после активации эксплоита консоль умудрилась запустить установку кастомной прошивки из самодельной программы!!! А что мешает запускать вместо установки кастома, всякие переподписанные игры и хоумбрюшки?

Правда я не в курсе, это эксплоит делает брик или установленный кастом на непрошивайку? Пишет ли эксплоит какие-то файлы прямо в НАНД прошивки, а мне показалось, что что-то пишет, а значит этот USER-MODE всё-таки имеет доступ прямо в сердце нанда.

Но нас конечно интересует временная область памяти, куда консоль распаковывает файлы прошивки для выполнения текущих задач. Когда вы находитесь в XMB, то консоль извлекает в память определённые файлы во временную область памяти, а когда вы запускаете игру, тогда консоль выгружает все файлы для XMB из памяти и загружает игровые файлы. На этом принципе основана работа любого агрегата. А любой агрегат в принципе не может работать с файлами, лежащими в нанде, тем более в зашифрованном виде. Они всегда сначала выгружаются для работы в кэш-память, некоторые сразу в декриптованном виде ELF без заголовка, а некоторые в зашифрованном, просто подготавливаются когда к ним сделают обращение. Вот с этой областью памяти и нужно работать. Там же можно их крутить вертеть, заменять смещения на свои. От этого ничего страшного не случится, т.к. после полной перезагрузки файлы прошивки из временной памяти стираются и заново загружаются чистые из НАНДа. Это я к тому, что некоторые боятся даже затронуть байтик во временной памяти.

[krekx]

ErikPshat, ты чтото немного путаешь, брик они хватали при попытке заменить участок кода в нор\нанд флэшь, до установки полноценного кастома не доходит

[in1975]

krekx, тут основная правильная мысль вот эта:

Сообщение от ErikPshat Вот с этой областью памяти и нужно работать. Там же можно их крутить вертеть, заменять смещения на свои. От этого ничего страшного не случится, т.к. после полной перезагрузки файлы прошивки из временной памяти стираются и заново загружаются чистые из НАНДа.

т.е надо работать не флеш памятью, а вот с тем временным участком

[krekx]

Сообщение от in1975 krekx, тут основная правильная мысль вот эта: т.е надо работать не флеш памятью, а вот с тем временным участком

Я понял что он имел ввиду, я просто чуть поправил, а то он на шаг вперёд скакнул

[ErikPshat]

krekx, ну я там видел в теме сообщения, что типа поставил по инструкции и теперь не включается. А когда стали спрашивать, какая модель консоли, так выяснилось, что непрошивайка с metldr2. И пару таких я точно помню было. А как именно они ставили, фиг знает, но я так понял, что они активировали на непрошивайке эксплоит и установили кастом. Ну вот у кого есть непрошивайка, попробуйте..., сработает ли на ней эксплоит (в чём я не сомневаюсь) и установится ли на неё какой-нибудь кастом? Потом доложите, словили ли вы брик? Если словили, значит на непрошивайке запускается неподписанный код.

[in1975]

ErikPshat, добрый ты. Не "если словили", а словят - 100%

[krekx]

Сообщение от ErikPshat krekx, ну я там видел в теме сообщения, что типа поставил по инструкции и теперь не включается. А когда стали спрашивать, какая модель консоли, так выяснилось, что непрошивайка с metldr2. И пару таких я точно помню было. А как именно они ставили, фиг знает, но я так понял, что они активировали на непрошивайке эксплоит и установили кастом. Ну вот у кого есть непрошивайка, попробуйте..., сработает ли на ней эксплоит (в чём я не сомневаюсь) и установится ли на неё какой-нибудь кастом? Потом доложите, словили ли вы брик? Если словили, значит на непрошивайке запускается неподписанный код.

В нор\нанд флэшь пишется хекс фаил, что из себя представляет флэшер? набор команды или он неотъемлемая часть эксплоита? что такое хан вкл. не тоже самое? только команда другая? ну мне так чисто для общего понимания

[ErikPshat]

Сообщение от krekx В нор\нанд флэшь пишется хекс фаил, что из себя представляет флэшер? набор команды или он неотъемлемая часть эксплоита? что такое хан вкл. не тоже самое? только команда другая? ну мне так чисто для общего понимания

Ну вот поэтому я и спрашивал, брик ловится на стадии активации эксплоита или после установки кастома?
Не помню точно, но вроде те брикнутые писали, что установили всё же кастом. Тут важно принципиально не факт брика, а факт того, что удалось им установить кастом, т.е. запустить неподписанное хоумбрю.

А вообще я склоняюсь к тому, что брик был обеспечен уже на стадии инициальзации эксплоита.
Правильно ты говоришь, потому что тут же устанавливаются в прошивку и заменяются файлы прошивки sprx из файла flsh.hex - это же контейнер с набором файлов sprx и прочих важных кернел-модулей типа ldr.

[ErikPshat]

Вот как раз по теме приплыло VSH Memory Patcher

[antrus4]

ErikPshat, а что именно делает этот VSH PATCHER?
И до сих пор не могу понять, почему консоль после замены game_ext_plugin.sprx не запускает приложения. Хочу gameboot поставить, но не получается

[krekx]

Сообщение от ErikPshat Ну вот поэтому я и спрашивал, брик ловится на стадии активации эксплоита или после установки кастома? Не помню точно, но вроде те брикнутые писали, что установили всё же кастом. Тут важно принципиально не факт брика, а факт того, что удалось им установить кастом, т.е. запустить неподписанное хоумбрю. А вообще я склоняюсь к тому, что брик был обеспечен уже на стадии инициальзации эксплоита. Правильно ты говоришь, потому что тут же устанавливаются в прошивку и заменяются файлы прошивки sprx из файла flsh.hex - это же контейнер с набором файлов sprx и прочих важных кернел-модулей типа ldr.

Не ну можно и цельный дамп распаковать, там помимо папки рос содержащей все эти модули, что в куске дампа flsh.hex содержатся, папка рос0 и 1, flsh.hex представляет из себя к примеру ros\ros0, а также дублируется второй раз в ros\ros1, естественно у этого куска дампа следом идёт хэш который не совпадёт, тут интересно flsh.hex пишется побитово или эксплоит видит флэшь как папку и этот кусок кода как папку и чисто вхренячивает поштучно модули один за другим; так же если распаковать дамп полностью то там ещё по мимо папки ros с подпапками, будут и другие модули в корне плюс папочка с волшебным mtrldээлом 2 или 1( стандарт), но это всё отношение к патчингу временной памяти не имеет, там же араб роджеро вроде участвует, он наверно и так предствляет или знает где что и какие модули патчатся, он ведь кастомные прошивки сам ваяет, остаётся отловить только то что есть не посредственно в оф как ты писал и пожонглировать

[ErikPshat]

Сообщение от antrus4 а что именно делает этот VSH PATCHER?

Ну предоставляет возможность патчить в памяти VSH.

krekx, думаю там происходит побайтовая перезапись flash, но не просто так весь файл подряд.
В файле flsh.hex есть специальная область хейдер, где записана структура контейнера и по какому адресу каждый файл находится.
Насчёт файлов, то я уже точно написал смещения и какие файлы и их размер там переписываются - в этом посту в спойлере: https://www.pspx.ru/forum/showpost.php?p=1124916
Там всего 15 файлов. В одном файле внутри лежат ещё 3 важных файла.
По позиции и размеру вы сами можете вытащить эти файлы, декриптовать последними ключами 4.82 и рассмотреть поближе каждый байтик.

Вот эти файлы во flsh.hex и есть те самые пропатченные файлы, которые перезаписывают системные файлы прошивки на официальной прошивке прошиваемой консоли и позволяют ей запускать неподписанный код. А как она это делает в user mode, что предоставляет доступ в кернел область, это ежу не понятно Тут нужно своими глазами смотреть в консоль, чтобы с этим разобраться, а я только могу догадываться. Полной картины на потолке я не вижу ))) Так что, это вам нужно проводить эксперименты и тестировать, только нужно быть осторожным и не писать ничего во флешь. Ещё я видел на pswiki вроде все смещения для пропатчивания флешь.

[ASemV]

Сообщение от rhish777 Мне консоль DEX никто не подарил, а то бы давно бы все было. Все наработки в сети уже имеются.

любую прошитую консоль можно перевести в DEX.
Причем даже можно поставить ОРИГИНАЛЬНУЮ DEX прошивку. Правда до версии 3.70
Можешь потренироваться на ней

кучно пошло
http://www.psx-place.com/threads/ps3...ctories.17258/

[HellCatFP]

Что есть SELF?