Windows для xbox 360 freeboot

Куда закачивать игры

Установка и настройка FreeStyle Dash (FSD)

Как установить Title Update (TU)

Как закачать игры по FTP

Как закачать игры из USB накопителя через проводник FSD

Как скопировать игровой диск на HDD

Конвертирование ISO образа в формат GOD

Распаковка ISO образа

Как попасть в родной дашборд и обратно в FSD

Что делать, если некоторые игры не запускаются, перезагружают консоль

Что делать, если FSD начал сильно тормозить и зависать

Подробная инструкция freeBoot

Данная инструкция freeBoot поможет Вам разобраться во всех нюансах использования данного вида прошивки.

Весь софт — здесь

Предупреждение: freeBoot поддерживает только файловую систему FAT32!

Для форматирования накопителей объёмом свыше 34Гб, в файловую систему FAT32, используйте программу Guiformat.

Куда закачивать игры

1. В папку Games нужно скидывать распакованные ISO образы.

2. В папку Hdd1:\Content\0000000000000000 можно скидывать игры только формате GOD.

Папки из пунктов 1 и 2 могут находиться в корне внутреннего Hdd1 консоли, а также внешнего Usb накопителя. При их отсутствии создайте эти папки вручную.

Игры в формате GOD имеют следующий вид: папка с ID названием игры (буквенное-цифирное название 8 знаков), которое уникально для каждой игры, а в ней папка 00007000 или 00004000(где сама игра) (для аркад — 000D0000) и, возможно, папка 00000002 (где установочный контент и DLC).

Распакованный ISO образ имеет в папке файл default.xex

После закачки игр, в FSD зайдите в Настройки -> Настройки содержимого -> Сканирование -> и нажмите кнопку Сканировать. По умолчанию, авто сканирование содержимого происходит после каждого запуска XBOX 360 (FSD).
После этого закачанные игры отобразятся в Библиотека -> XBOX 360 Игры.

Установка и настройка FreeStyle Dash (FSD)

Для автоматического запуска FSD должен быть установлен Dash Launch. Он, в большинстве случаев, устанавливается сразу вместе с freeBoot, если его делал нормальный мастер.

Скачайте и откройте в блокноте launch.ini. В Default, в начале пути, пропишите hdd — для автозапуска FSD из корня встроенного жесткого диска XBOX 360 или usb — для автозапуска FSD из корня внешнего USB-накопителя. Сохраните внесённые изменения.

Поместите папку с FSD и отредактированный launch.ini в корень внутреннего жесткого диска XBOX 360 (с помощью XeXMenu) или в корень внешнего USB-накопителя (через Мой компьютер). После перезапуска приставки, скопированный FSD запустится автоматически.

Изменение основных настроек:

Настройки -> Настройки содержимого -> Пути к содержимому -> жмите кнопку Y -> Выбрать путь -> зайдите в носитель который хотите добавить, затем в папку Content\0000000000000000 и жмите кнопку Y. Выставите глубину сканирования на 2 и жмите кнопку X. Тоже самое нужно сделать для папки Games (не Game!!!).
Таким образом, нужно добавить все подключённые носители, где содержаться игры, программы и т.п.

Как установить Title Update (TU)

1. Через FSD (при наличии настроенного интернета на XBOX 360).

Зайдите Библиотека -> XBOX 360 Игры, выделите нужную игру, нажмите Y, затем выберите Менеджер TU, затем ещё раз нажмите Y и подождите пока FSD всё скачает, после этого нажмите A для того, чтобы сделать его активным.

2. В ручную, скачав нужное TU с сайта xboxunity.net.

Узнать Title ID и Media ID игры можно нажав на геймпаде центральную кнопку XBOX в запущенной игре, где в нижнем правом углу увидите необходимую информацию

Скачивайте TU только самый последний, так как он уже содержит в себе все предыдущие версии!

TU существует двух видов: TU_ (в самом начале две большие буквы и нижний пробел) и tu (в самом начале две маленькие буквы без каких-либо пробелов).

tu копировать в Hdd1:\Content\0000000000000000\ID_название_игры\000B0000

TU_ копировать в Hdd1:\Cache

Как закачать игры по FTP

Когда запущен FSD или XM360, консоль работает как FTP сервер, что позволяет подключатся к ней почти через любой FTP клиент, например FileZilla, для закачивания, скачивания и удаления игр и другого контента.

Windows Vista/7.

Настройка компьютера. Соединение через роутер.

Жмите Пуск -> Панель управления -> Центр управления сетями и общим доступом -> Изменение параметров адаптера, затем двойным щелчком левой мыши откройте Подключение по локальной сети, далее нажмите Сведения… Запомните третью секцию (секции разделены точками) адреса IPv4 (она может иметь значение 1 или 0).

Настройка компьютера. Соединение напрямую через сетевую карту.

Жмите Пуск -> Панель управления -> Центр управления сетями и общим доступом -> Изменение параметров адаптера, затем щёлкните левой мышью на Протокол Интернета версии 4, затем нажмите Свойства. Пропишите IP-адрес и маску подсети как на картинке снизу.

Настройка сетевых параметров XBOX 360.

Выйдите из FreeStyle Dash в родной дашборд. Подключите сетевой кабель к приставке, выберете настройки -> Система -> Параметры сети -> Проводная сеть -> Настроить сеть, затем выберете ту часть списка, где есть Параметры IP, затем выберете Ручная и там пропишите IP-адрес 192.168.1.99 . Если вы подключаетесь через роутер, то третья секция IP-адреса должна содержать 1 или 0 (см. настройку соединения через роутер). Нажмите OK для сохранения изменённых параметров.

Пред тем как пробовать соединяться по FTP, убедитесь чтобы был запущен FreeStyle Dash.

Для соединения рекомендуется использовать клиент FileZilla (отключить в настройках обновление!) — скачать

Для Mac OS лучше всего Yummy FTP — скачать

Хост: IP-адрес XBOX 360
Имя пользователя и пароль: xbox

Как закачать игры из USB накопителя через проводник FSD

Вставьте USB накопитель с закаченной на него игрой в свободный USB порт XBOX 360. Зайдите в Программы -> Проводник. В левой стороне окна зайдите в папку Games, а в правой выделите папку с игрой, которую хотите закачать, далее зажмите LB на геймпаде, а затем не отпуская LB нажмите A.

Дождитесь окончания копирования и нажмите A для закрытия окна.

Таким образом можно копировать не только распакованные образы, но и игры в формате GOD, которые помещаются в папку Content\0000000000000000

Удаление папки происходит аналогичным образом: в левой части окна выделяется удаляемый объект, далее зажимается LB, затем не отпуская LB нажмите B, после этого появится предупреждение,

выберите крестовиной Yes и нажмите A, тем самым подтвердив удаление. Аналогично делается и для правой части окна, только используется RB.

Как скопировать игровой диск на HDD

Таким методом можно копировать все лицензионные диски и если привод прошит на 2.0/3.0, то ещё и не лицензионные под прошивки LT Plus 1.9, LT Plus 2.0 и LT Plus 3.0, но записанные корректно на 100%.

1. Через стандартный дашборд. Игра будет в GOD формате.

Вставьте игровой диск в DVD привод и выйдите из FreeStyle Dash в родной дашборд. Наведите на картинку диска и зажмите X до появления пункта обзора опций,

затем выберите крестовиной Установить и нажмите A для начала установки диска на внутренний HDD консоли.

Дождитесь окончания установки 20-40 минут.

2. Через экстрактор DVD в FSD.

Вставьте игровой диск в DVD привод и зайдите в Программы -> Распаковать DVD. В появлявшемся окне укажите путь к папке Games. Имя папки с игрой присваивается автоматически. Нажмите Старт для начала извлечения.

Дождитесь окончания распаковки 20-40 минут.

Конвертирование ISO образа в формат GOD

Конвертацию в GOD формат лучше всего делать программой Iso2God.
Не важно под какую прошивку и волну сделан конвертируемый образ, на дальнейшую работу во freeBoot это никак не влияет.

Запустив программу Iso2God следуйте следующим инструкциям:

1. Нажмите Add ISO

2. В Image Location выберите конвертируемый образ.

3. В Output Location выберите папку куда будет сохранена папка с игрой уже в формате GOD. У самой папки с игрой будет имя в виде ID названия игры (буквенное-цифирное название 8 знаков) — Title ID.

4. В Mode выберите Full (ISO Rebuilt).

5. Уберите галку с Save Rebuilt ISO Image.

6. В Temporary Location for Rebuilt ISO укажите папу с конвертируемым ISO образом.

7. Нажмите Add ISO для добавления образа в список заданий.

Таким образом можно добавить несколько образов для конвертации.

8. Добавив образы в задание, нажмите Convert для начала преобразования.

Распаковка ISO образа

Поскольку файловая система XBOX 360 аналогична FAT32, то она не может содержать файл больше 4Гб, соответственно ISO образы, которые весят 8Гб, нужно распаковывать для дальнейшей закачки.

Перед закачкой игры на внешний USB-накопитель или внутренний жесткий диск XBOX 360, необходимо извлечь содержимое из ISO-образа. Для этого понадобится программа Xbox Image Browser.

Внимание для Windows 7! Если при запуске Xbox Image Browser появляется ошибка MSCOMCTL.OCX, то запустите Instal MSCOMCTL.OCX Win 7 x86 — для 32-разрядной операционной системы, Instal MSCOMCTL.OCX Win 7 x64 — для 64-разрядной. Узнать какой у вас тип системы можно зайдя в Пуск -> Панель управления -> Система.
В верхнем левом углу программы кликайте File -> Open Image File, затем через появившееся окно откройте ISO-образ игры.
1. В левой части окна кликните правой мышью по названию ISO-образа.
2. Кликайте Extract.
3. В появившемся окошке выберите папку Games на вашем USB-накопителе. Если игра будет закачиваться на внутренний жесткий диск XBOX 360, то можно выбрать любое место на компьютере, где сможет поместиться распакованная игра.
4. Кликните Создать папку.
5. Напишите название папки куда будет распаковываться образ, только на английском.
6. Кликайте OK. Ждите…

Как попасть в родной дашборд и обратно в FSD

Выход из FSD в родной дашборд:

1. При запуске консоли, в момент появления лого XBOX зажать и держать RB.
2. В любой игре, приложении или в самом FSD нажать центральную клавишу джойстика, далее нажать Y, затем выбрать ДА (A) и сразу зажать RB.

Выход из родного дашборда в FSD:

Нажмите центральную клавишу на джойстике, затем нажмите Y (панель XBOX).

Что делать, если некоторые игры не запускаются, перезагружают консоль

Зайдите в FSD в Настройки -> Настройки плагинов -> Статус и нажмите кнопку Unload, которая находится на против FSD Плагин, для отключения этого плагина.

Таким образом FSD Плагин будет отключен до следующего перезапуска FSD, после чего процедуру отключения надо будет делать заново, при необходимости.

Что делать, если FSD начал сильно тормозить и зависать

Зайдите в Настройки -> Главные настройки -> Сброс настроек -> нажмите Стереть базу данных. После этого удалятся все загруженные обложки и прочая дополнительная информация, касающаяся контента FSD.

Если вышеперечисленное не помогает, воспользуйтесь файловым менеджером XeXMenu для его переустановки.

Freeboot Xbox 360 — это утилита для пиратской «прошивки» игровой консоли Xbox 360. Воспользуйтесь ней и «взломайте» программное обеспечение приставки. После этого вы можете устанавливать нелицензионные игры. Благодаря Freeboot, Xbox 360 зарекомендовал себя в России и странах СНГ. 

Эта программа является одной из самых известных «пиратских» прошивок, которая работает на приставке Xbox 360. В софте есть интегрированная оболочка, которая обеспечивает закачку и запуск игр. 

Воспользовавшись Freeboot, многие геймеры «прошили» Xbox 360, не затрачивая денег на покупку дорогих лицензионных дисков. После чего, они смогли поиграть в консольные игры Red Dead Redemption, Halo, Gears of War, Forza и прочие. 

Не смотря на «выход» Xbox 360 нового поколения, этот взломщик все ещё актуален.  Популярность приставки вызвана низкой ценой, а также «бесплатным режимом» игры, который обеспечивает Freeboot, взламывая прошивку.

Достоинства и недостатки

Основная особенность «прошивки» Freeboot Xbox 360 заключается в версиях прошивок. В LT 2.0 вы установите игры на жёсткий диск приставки, без их записи на DVD диски. 

Такой способ очень удобный, ведь «носители» на приставке с LT прошивкой затираются во время записи, и вам приходится тратить много денег на покупку цифровых носителей. 

Не забывайте, что определённые игры для приставки занимают 4 диска объёмом DVD9. Прошив консоль Freeboot, вы «запишете» игру на жёсткий диск устройства, не используя оптические диски.

Главный минус «прошивки» — это отсутствие сетевого режима для игр. Вы не сможете играть в Xbox Live. Если вы заядлый геймер, то «проходите» игры в «одиночном» режиме. На LT прошивке есть поддержка игры по сети.

Установка

В процессе установки Freeboot вам придется «пропатчить» программную часть Xbox 360, а также вам нужно сделать несколько операций с аппаратной частью приставки. Для этого вам нужно открыть корпус консоли и перепаять несколько плат. Если вы новичок – не делайте этого, чтобы не повредить приставку.

Ключевые особенности

• запуск игр на Xbox 360, которые являются нелицензионными;
• запись образов игр в накопитель приставки, без DVD дисков;
• установив Freeboot, вы не сможете играть в сервисе «Xbox», используя сетевой режим;
• в прошивке есть интегрированная графическая оболочка для запуска игр;
• для полноценной «прошивки» нужно паять аппаратную часть консоли.

Вы наверняка слышали про игровую приставку Xbox 360, и что она «прошивается». Под «прошивкой» здесь имеется в виду обход встроенных механизмов защиты для запуска копий игр и самописного софта. И вот здесь возникают вопросы! Каких механизмов, как они обходятся? Что же наворотили разработчики, как это сумели обойти? На самом деле, тема очень обширная и интересная, особенно для Xbox 360 — здесь можно встретить уязвимости в ПО, аппаратные недочеты, и совсем уж магическую магию. Интересно? Заглядываем! В первой части у нас знакомство с гипервизором, приводами и прошивками…

Знакомимся с подопытным

Игровая приставка Xbox 360 увидела свет аж в 2005 году и с тех пор не претерпевала изменений в характеристиках железа. Всё время, что она выпускалась, это были те же самые:

• 3.2 GHz PowerPC CPU, / 3 ядра
• 500 MHz GPU
• 512 MB RAM
• SATA DVD-ROM
• SATA HDD (опционально)

Да, со временем менялся дизайн, уменьшались нанометры:

Тем не менее, все игры одинаково хорошо работали на всех «ревизиях» приставок – это как раз тот случай, когда современные игры можно запустить на оборудовании 2005 года.

В момент релиза было сделано громкое заявление, что консоль разрабатывалась как можно более защищённой – кастомные чипы с защитой на аппаратном уровне, и вообще, хакеры такого ещё не видывали:

There are going to be levels of security in this box that the hacker community has never seen before

Что же придумали разработчики?

Во-первых, они сделали всё, чтобы программный код системы нельзя было достать. В центральный процессор встроили ROM на 32 КБ, содержащий первичный загрузчик (1BL) и SRAM на 64 КБ, в котором он исполнялся. Из кристалла CPU содержимое ROM достать очень и очень непросто:

Во-вторых, в тот же процессор засунули специальные фьюзы – пережигаемые (в буквальном смысле, высоким напряжением) перемычки, своеобразная однократно программируемая память. Фьюзы содержали:

• биты блокировки JTAG интерфейса
• биты, определяющие назначение приставки (retail / devkit / testkit)
• уникальный 128-битный ключ процессора
• счётчики Lock-Down Value (LDV) для запрета даунгрейда

Да-да, количество фьюз ограничено. Если вы умудрились обновить свою приставку 80 раз подряд, счётчик CFLDV кончится и … не знаю, я не пробовал так делать. Вероятно, приставка больше не сможет обновляться.

В-третьих, разработчики реализовали цепочку доверия. Для проверки подлинности загрузчиков использовалась комбинация современных (на тот момент) алгоритмов SHA-1 и RSA-2048, что исключало возможность запуска своего кода или неавторизованной модификации загрузчиков даже в случае, если вы каким-то образом достали все ключи из приставки и смогли пересобрать систему.

В-четвёртых, разработчики решили пойти дальше по принципу «никому не доверяй» и засунули в тот же несчастный CPU специальный аппаратный модуль защиты ОЗУ! С его помощью все области с программным кодом шифровались, а для наиболее важных областей (гипервизор) включался контроль целостности!

Этим разработчики защищались от DMA атак, когда через внешние устройства, имеющие доступ к оперативной памяти, изменяют программный код системы в ОЗУ.

Наконец, разграничением прав на регионы памяти занимался гипервизор. Только он мог сделать страницы исполняемыми, естественно, перед этим он проверял цифровую подпись, так что загрузить неподписанный код или исполнить что-то из области данных нельзя было даже через уязвимость в каком-нибудь драйвере или игре (ось и игры запускались с правами kernel).

В результате, операционная система Xbox 360 была хорошо защищена, и потому в качестве первого вектора атаки был выбран DVD-ROM.

Запускаем… бэкапы!

В Xbox 360 основным носителем для игр был выбран двухслойный DVD-диск. Естественно, и здесь присутствовали защитные механизмы:

• обмен данными с DVD-ROM шифровался уникальным ключом
• в начале диска были специальные «Security Sectors» для подтверждения лицензионности
• исполняемые файлы на диске имели цифровую подпись

Но защите DVD-привода было уделено гораздо меньше внимания, чем основной системе. Игровая приставка оказывала DVD-приводу слишком большое доверие — именно DVD-ROM определял лицензионность диска. Более того, прошивка хранилась во внешней памяти и могла быть считана программатором:

В результате, 14 мая 2006 года commodore4eva (c4eva) выпустил первую модифицированную прошивку для привода модели TS-H943:

Прошивка читала сектора безопасности из фиксированных областей на DVD-болванке и обманывала приставку, заставляя ту думать, что вставлен лицензионный диск.

Одновременно с этим была выпущена прошивка «0800», предназначенная для создания копий игр и чтения секторов безопасности. Привод Xbox 360, прошитый такой прошивкой, определялся в компьютере и мог полностью читать сектора диска с игрой.

Ещё игру можно было частично скопировать следующим трюком:

• ставим в компьютерный DVD-ROM обычный двухслойный диск
• ждём, пока успокоится и перестанет крутиться
• скрепкой открываем лоток и меняем диск на игру от Xbox 360
• закрываем лоток и делаем образ диска!

(Срабатывало не на всех моделях DVD-ROM)

Самое важное, что прошивался привод исключительно программно, специальными ATA-командами. В комплекте шла специальная программа для считывания оригинальной прошивки и записи модифицированной. В оригинальной прошивке хранился заветный ключ, которым привод был привязан к Xbox 360:

Потеря ключа означала невозможность запуска даже лицензионных дисков, так что некоторые записывали ключ в блокноте, сохраняли его везде, где только можно, это было самым заветным знанием.

Отдельной темой шла паника по поводу игры онлайн. Все боялись, что Microsoft узнает, что привод модифицирован и дистанционно отключит приставку. Некоторые даже делали аппаратный мод для переключения между заводской и модифицированной прошивкой:

На оригинальной прошивке играли «в лицензии» и с подключением в сеть, на модифицированной интернет-кабель стыдливо отключали. Кстати, паника была не зря, а вот такие моды были совершенно напрасны, всё логировалось и без подключения к сети.

Ровно через месяц (15 июня 2006 г.) прошивку портировали на другую модель привода, что ставили в те времена в Xbox 360 — Hitachi GDR3120L. У него также была внешняя флешка, содержащая прошивку:

Этот привод был лучше защищён:

• прошивка хранилась в ПЗУ в зашифрованном виде
• в прошивке был контроль целостности
• для перезаписи прошивки, нужно было заходить в специальный «Mode B»

И если с первыми двумя пунктами исследователи справились сами, подвиг перевода в «Mode B» предстояло повторить всем

юным

прошивальщикам.

Действо это предлагалось выполнить с помощью специального загрузочного диска со Slax Linux, либо закорачиванием проводов при старте. Закорачивать нужно было контакты 0 и 9 коннектора питания привода. Например, булавками!

В обоих случаях, после таких измывательств, привод определялся в Windows как обычный DVD-дисковод, где его подхватывали и

насиловали

прошивали.

После первого релиза кастомные прошивки дорабатывались, повышалась стабильность, добавлялась поддержка новых игр, в общем, всё как обычно.

Ответ Microsoft

Разработчики на обвинения, что «невзламываемую» консоль взломали, ответили просто:

Систему не взламывали, просто научились запускать копии игр, мы работаем над этим

Что реально было сделано для исправления ситуации:

• Samsung TS-H943 стали поставляться с прошивкой ms28, которая не заходила в режим прошивки по известной ATA команде
• Появились Hitachi GDR3120L с прошивками 0078 и 0079, не прошивающиеся даже в режиме Mode B
• Появились новые приводы BenQ-LiteOn VAD6038
• Начались первые точечные «баны» пиратов в Xbox Live, пиратам запрещалось играть онлайн навсегда

Если с банами всё было однозначно и непоправимо (на тот момент времени), то с приводами исследователи в скором времени разобрались:

• Для Hitachi нашли разблокировку режима прошивки через специальный аудио диск

  

• Samsung ms28 и BenQ VAD6038 отлично заходили в режим прошивки через недорогие SATA контроллеры VIA 6421

  

На время оставим поле битвы за прошивки привода, там был не слишком интересный период, когда исследователи пытались сделать «Stealth» прошивки, чтобы не забанили в Xbox Live, подстраивались под новые игры с новыми «волнами» — версиями обновления системы и портировали результаты на всё расширяющееся многообразие прошивок и приводов. Всё равно всё прошивалось, «бэкапы» успешно запускались, Xbox 360 набирала популярность у народа…

Ломаем ось!

Как вы помните из первой части повествования, в системе Xbox 360 был гипервизор, контролирующий всё и вся. Так вот. В одной из версий системы в нём неожиданно появилась уязвимость! Как именно исследователи получили образцы кода гипервизора мне доподлинно неизвестно. Но факт – уже в конце 2006 г. исследователи запустили на Xbox 360 неподписанный код, а в начале 2007 уязвимость была устранена разработчиками:

Timeline:
Oct 31, 2006 — release of 4532 kernel, which is the first version containing the bug
Nov 16, 2006 — proof of concept completed; unsigned code running in hypervisor context
Nov 30, 2006 — release of 4548 kernel, bug still not fixed
Dec 15, 2006 — first attempt to contact vendor to report bug
Dec 30, 2006 — public demonstration
Jan 03, 2007 — vendor contact established, full details disclosed
Jan 09, 2007 — vendor releases patch
Feb 28, 2007 — full public release

Гипервизор имел одну особенность – в отличие от остального кода, он исполнялся не в виртуальном адресном пространстве, а в физическом (Real Mode). Трансляция не использовалась, обращения велись напрямую (адреса вида 0x00000000’xxxxxx). То ли это было сделано для скорости, то ли для простоты… И здесь крылась одна особенность адресного пространства Xbox 360.

Режим доступа к памяти определялся по её физическому адресу. А именно — старшие биты адреса имели служебное назначение. К примеру, адрес 0x00000000’0000201C означал прямой доступ к адресу 0x201C, а 0x00000100’0000201C означал, что требуется «на лету» расшифровать и проверить целостность при чтении того же самого физического адреса 0x201C.

Соответственно, чтобы исполнение велось с включёнными шифрованием и защитой, нужно обращаться к адресам вида 0x00000100’xxxxxxxx. Только тогда аппаратный модуль включал защитные механизмы. Поэтому на аппаратном уровне нужный бит добавлялся автоматически (за это отвечал специальный регистр HRMOR – Hypervisor Real Mode Offset Register)!

Ещё раз – как только гипервизор обращается к адресу вида 0x00000000’xxxxxxxx, MMU автоматически меняет этот адрес на 0x00000100’xxxxxxxx, включая шифрование и защиту! Так что любые попытки исполнить код «напрямик» из физической памяти, без защиты и шифрования, обречены на неудачу … или нет?

Давайте посмотрим на уязвимый код гипервизора версии 4532:

//в %r0 – номер системного вызова
13D8: cmplwi %r0, 0x61 //сравниваем с максимальным допустимым ID
13DC: bge illegal_syscall //если переданный номер больше 0x61, говорим, что неверный
...
13F0: rldicr %r1, %r0, 2, 61 //умножаем номер системного вызова на 4
13F4: lwz %r4, syscall_table(%r1) //достаём адрес обработчика из таблицы
13F8: mtlr %r4 //помещаем адрес обработчика в регистр lr
...
1414: blrl //прыгаем на этот адрес

Видите суслика? А он есть! Инструкция cmplwi работает с 32-битными значениями, а вот rldicr – с 64-битными! То есть мы можем подать в качестве номера системного вызова значение 0x20000000’0000002A, оно пройдёт проверку (потому что младшая 32-битная часть меньше 0x61), и в результате вместо адреса 0x10EC, адрес обработчика будет браться из 0x80000000’000010EC!

А дальше, как говорится, следите за руками. Старшие биты адреса не равны нулю, соответственно, HRMOR не добавляется! А поскольку реальное адресное пространство 32-битное, выставленный нами 63 бит просто игнорируется. Мы перенаправили гипервизор в незашифрованную и незащищённую память, просто подав некорректный номер системного вызова!

Но подождите, чтобы было куда прыгать, нам нужно уметь записывать в физическую память свои данные. Как этого достичь?

Здесь в дело вступает второй фактор – GPU в Xbox 360 был умным, даже чересчур умным. Он поддерживал специальную шейдерную инструкцию «MemExport» для выгрузки данных геометрии в физическую память. То есть вы могли скомпилировать шейдер, исполнить его на GPU и тем самым записать что угодно куда угодно! И самое главное, что шейдеры не были подписаны, если вы каким-либо образом модифицируете диск с игрой, то легко сможете подменить код шейдера.

Оставался один вопрос. Как подменить код шейдера на диске с игрой? И вот здесь очень пригодился взлом DVD привода приставки. Написали шейдер, подменили в образе игры, записали на болванку и запустили Linux!

Да, для запуска приходилось каждый раз запускать игру, дожидаться срабатывания эксплойта, ставить загрузочный диск с Linux, но это уже было хоть что-то!

Как уже говорилось, Microsoft выпустили обновление системы, в котором исправили уязвимость гипервизора. Но что, если вернуть уязвимое ядро?

Даунгрейд!

Вообще, в архитектуру Xbox 360 были заложены механизмы защиты от даунгдейда. В аппаратных фьюзах процессора каждый раз при обновлении выжигался очередной бит (повышался Lock Down Value, LDV), и при несоответствии этого самого LDV в фьюзах и в системе, консоль просто не запускалась.

Рассмотрим структуру загрузчиков Xbox 360, а именно «Bootloader Sections»:

Видно, что в образе есть несколько наборов загрузчиков, каждому из которых соответствует какой-нибудь LDV. В примере это 1888 для LDV 0, 16767 для LDV 3 и 16756 для LDV 2

Так вот, все обновления самой системы записывались в секции 6BL/7BL и просто «накладывались» в виде патчей на базовое «ядро» 5BL 1888. А вот какой набор патчей применить, выбиралось согласно прописанному LDV в фьюзах и заголовкам загрузчика! И как раз у 5BL заголовок можно было модифицировать, с одним большим НО — правильность заголовка проверялась по HMAC-SHA-1 хеш-сумме, записанной в нём же. И проверялась она обычным memcmp.

Если вы ещё не поняли, куда идёт дело, здесь умудрились применить атаку по времени (Timing Attack). Стандартная функция memcmp завершает сравнение сразу после первого расхождения. Поэтому изменяя первый байт хеша и засекая время выполнения memcmp, можно подобрать нужное значение (с ним время проверки увеличится). Продолжая далее, можно подобрать все байты хеш-суммы!

Для замера использовали отладочную шину POST_OUT. Работает она примерно как на ПК, в разные моменты загрузки выводится однобайтное значение, по которому можно судить, где сейчас исполняется процессор и какая ошибка произошла. По сути это 8 точек на матплате, каждая из которых отвечает за конкретный бит значения:

Подпаявшись к этим точкам, можно как раз-таки замерять время выполнения каждого из этапов загрузки и смотреть, произошла ли ошибка.

Весь процесс подбора хеша занимает около часа:

В результате получаем образ, в котором для базового ядра установлен текущий LDV, из-за чего никакие патчи не применяются и запускается самая древняя версия системы 1888! Откуда уже можно обновиться на уязвимую версию 4532:

Конечно же, Microsoft исправили эту уязвимость обновлением самого первого обновляемого загрузчика (2BL, «CB») и прожигом фьюза CBLDV, что сделало даунгрейд невозможным снова. Теперь вместо memcmp использовалась его безопасная версия, с одинаковым временем исполнения независимо от входных значений.

JTAG Hack!

Но и здесь исследователи не сдались и нашли лазейку. Да такую, что разработчики и предположить не могли.

В обычном режиме работы приставки, все загрузчики связаны друг с другом по цепочке. В результате чего расшифровка каждого загрузчика зависит от области данных в заголовке предыдущего загрузчика (Pairing Data). Дополнительно, шифрование кода зависит от уникального ключа процессора, поэтому нельзя взять и собрать рабочий образ, не зная CPU_Key. Или можно?

На этапе производства консоли (когда ключ процессора ещё не прожжён во фьюзах) используется специальный режим запуска Xbox 360, когда Pairing Data равна нулю (Zero-Pairing). И вот такой образ (с уязвимым ядром!) можно запустить на любой приставке, даже не зная ключа процессора!
К сожалению, полноценного запуска не будет, получится вот такая ошибка:

То есть игру King Kong не запустить, эксплойт через шейдеры не активировать… Но уязвимое ядро-то уже запускается! Может, есть другой способ записать оперативку? Оказалось, что есть.

Для начала, припаиваем три свободных GPIO южного моста приставки к выводам JTAG графического процессора:

Затем модифицируем прошивку южного моста (она зашифрована, но не подписана) и собираем образ с уязвимым ядром. После чего происходит магия:

• При запуске, южный мост по GPU JTAG лезет на PCI Express и настраивает контроллер NAND
• Теперь контроллер NAND при чтении будет записывать данные в нужную нам область памяти
• Ядро системы запускается и сообщает южному мосту, что система запустилась
• Южный мост дёргает NAND контроллер, перезаписывая ОЗУ в нужном месте и эксплуатирует уязвимость гипервизора!
• Передаётся управление на наш код, делаем что хотим

Короче, сделали всё то же, как в King Kong Shader Exploit, но круче — нет необходимости запускать игру и менять диски.

На базе JTAG Hack создали модифицированные версии системы — XBReboot, Freeboot, с отключенной проверкой подписи, где уже разгулялись пираты. Игры можно было запускать не только с USB носителей и дисков, но и по SMB протоколу прямо с компьютера.

Что немаловажно, полноценный взлом системы давал шанс тем, кто потерял ключ DVD и не мог играть — имея ключ процессора, извлечь ключ DVD было несложно.

Конечно же, и здесь Microsoft быстро закрыла уязвимость, снова обновив 2BL и повысив значение CBLDV. На этом эпопея уязвимого гипервизора закончилась, народ побежал скупать остатки «совместимых с JTAG» приставок в магазины — всем хотелось без проблем играть с USB флешек. На форумах велись обсуждения, какие бандлы с какой датой выпуска годятся для взлома…

Тема модификаций системы Xbox 360 заглохла почти на два года, а вот тема прошивок продолжала развиваться. И как раз в прошивке приводов LiteOn разыгралась самая обширная битва исследователей и Microsoft. Но об этом в следующей статье

Ссылки:

доклад GoogleTechTalks
King Kong Hack
Timing Attack
JTAG / SMC Hack

Защита и взлом Xbox 360, Часть 1
Защита и взлом Xbox 360, Часть 2
Защита и взлом Xbox 360, Часть 3

P.S. Кому интересны подробности, отвечу на любые интересующие вопросы по теме в комментах!