xb0xmod

BONJOUR je vous poste ma traduction du site http://www.kev.nu/360/dvd.html qui je vous le rappelle poste toutes les infos disponible à ce jour sur le hack de firmware 360 ce tuto vous explique tout sa! Comment Connecter le lecteur 360 au pc Faire detecter le lecteur par windows ou linux Dumper le firmware Hitachi-LG sur PC Dumper le secteur de memoires interdit 'forbidden RAM ranges' 0x8002EC00-0x80037300 et 0x8003A000-0x8003A300 Dumper la clef d'encryption unique sur pc Ecrire n'importe ou dans la memoire du lecteur Hitach-LG Forcer le lecteur Hitachi-LG à executer du code Connecter le lecteur 360 au pc. Il y a 2 methode pour alimenter le lecteur 1) avec la 360 2) avec un adaptateur via l'alim du pc METHODE 1 la plus simple à cours terme mais pas toujours pratique! 1) Connecter l'alim du lecteur à votre 360. 2) Connecter le lecteur à votre pc via un cable sata 3) Connecter le chassis de votre pc à celui de la 360 avec des pinces croco. 4) Allumer la 360 5) Allumer le pc l'etape 3 n'est pas strictement necessaire mais c'est une bonne habitude à prendre! METHODE 2 plus compliqué mais plus sure pour votre console le schema ci dessous vous explique comment alimenter le lecteur via l'alim du pc. Note:tout ce qui suis à ete testé uniquement sur le lecteur Hitachi-LG drive Faire detecter le lecteur par windows ou linux Cela depend de la facon dont vous connecter votre lecteur au pc les 3 solutions principale sont: 1) Adaptateur ATA vers SATA 2) Carte pci SATA 3) Controleur SATA integré a la carte mére voici une methode qui a été testé avec ces 3 solutions malheuresement elle necessite de souder et dessouder! 1) Demonter le lecteur (4 vis) 2) Localiser la resistance R214 à coté de 6 resistances vers le port SATA 3) Enlever la resistance R214 4) Denuder le fils du "tray_status " sans le couper pour situer le fils du tray_status tener votre lecteur horizontalement la lentille vers le plafond et les connecteur vers vous alors le tray_status est le 2éme fils en partant de la gauche sur la rangé du haut. 5) Souder une extrémité d'une resistance 10K au fils du tray_status . 6) Souder l'autre extrémité a un interrupteur relié au +3.3v et a la masse vous pouvez recuperer du 3.3v sur le cable d'alimentation c'est le 3éme fils en partant de la gauche sur la rangé du haut pour la masse un des 4 fils à droite sur la rangé du haut 7) Avant d'allumer votre pc choisissez le mode via l'interrupteur +3.3v pour le mode normal la masse pour le mode debug qui permet la detection sous windows et linux. Si cette solution vous semble compliqué il vous reste 2 options! 1) Si vous utiliser un adaptateur ATA vers SATA il vous suffi d'appuier le bouton eject du lecteur pendant le boot du pc pour qu'il soit detecté sous linux! 2)Si vous utiliser un adaptateur ATA vers SATA,une carte PCI ou votre controleur SATA natif vous pouvez utilisé le programme qui suit pour passer en mode debug comme mentionné plus haut, cela vous permettra qu'il soit detecté par windows au redemarrage si vous veiller bien à ce que le lecteur reste alimenté ! modeb_win_src.zip modeb_win.zip 3) Si votre lecteur est detecté par linux mais pas windows booter sous linux et lancer le programme suivant. ensuite rebooter le pc en veillant a ce que le lecteur soit toujours alimenté! modeb.c Pour ce qui utilise windows. Pendant les test avec un controleur SATA natif il peut arrivé que le lecteur soit detecté dans le gestionnaire de périphériques mais pas dans le poste de travail! Pour lui en assigner une: gestionnaire de périphériques> lecteur DVD/CDROM > cliq droit sur HL-DT-ST DVD-ROM GDR3120L SCSI CdRom Device > Proprietés > Volumes > Peupler > OK Dumper le firmware Hitachi-LG sur PC Il existe une commande debug hitachi qui dumpe la memoire du lecteur. Des mesure de securité ont été mise en place pour eviter le dump du firmware mais cet un echec total... Le programme suivant dumpera votre firmware. memdump.c sources linux memdump_win.zip win32 exe memdump_win_src.zip sources win32 Linux example:$ ./memdump /dev/hdc 12200 8 8000 ./firmware.bin Windows example:C:\> memdump_win e 12200 8 8000 firmware.bin Dumper le secteur de memoires interdit 'forbidden RAM ranges' 0x8002EC00-0x80037300 et 0x8003A000-0x8003A300 Il s'avère que ces secteurs contiennent des informations trés intérèssantes les mesures de sécurité etant un echec total utiliser les commandes suivantes pour dumper le contenue total de la memoire. Linux example:$ ./memdump /dev/hdc 10200 8 8000 ./ram.bin Windows example:C:\> memdump_win e 10200 8 8000 ram.bin Dumper la clef d'encryption unique sur pc cette clef est utilisé pour crypter et decrypter les transfert ATAPI pendant l'authentification du disque. Linux example:$ ./memdump /dev/hdc 91004F0 1 10 ./key.bin Windows example:C:\> memdump_win e 91004F0 1 10 key.bin Ecrire n'importe ou dans la memoire du lecteur Hitach-LG Une combinaisont du mode select et des commandes debug hitachi vous permet d'ecrire ou vous voulez dans la memoire du lecteur le programme suivant vous permet de modifier la quantité de donnée que vous voulez pas seulement un bytes. linux sources win32 exe win32 sources Linux examples:$ ./pp /dev/hdc 40000000 peek$ ./pp /dev/hdc D98D poke 30 Windows examples:C:\> pp_win e ABF peekC:\> pp_win e 804A4B4C poke F2 Forcer le lecteur Hitachi-LG à executer du code Le programme suivant vous permettra d'executer du code MN103 dans le lecteur. Note:cela peu prendre du temps selon la quantité de donnée sources linux win32 exe win32 sources Linux examples:$ ./execcode /dev/hdc ./code.bin Windows examples:C:\> execcode_win e code.bin Flasher des secteurs du firmware Hitachi-LG depuis un PC le programme si dessous permet de flasher des secteur du firmware en utilisant une routine de lecture/ecriture existante dans le firmware 3120. ATTENTION :ce logiciel est uniquement destiné aux personnes qui savent ce quelle font vous pouvez endommager votre lecteur et la seule façon de le reparer sera alors de desouder le TSOP et de le reflasher via un programmateur en supposant que vous avez deja dumper votre clef unique! Si vous ne comprenez pas ,laissez tomber vous pourriez y laisser votre console! Je travaille aussi sur un prog qui permettra de reflasher le firmware aprés un "badflash" Donc si vous bricker votre lecteur plus de panique (si vous avez sauvegardé votre clef unique ) flashsec.c flashsector souces linux flashsec_win.zip flashsector binary pour win2000 xp flashsec_win_src.zip flashsector sources win2000/XP Dans l'exemple si dessous encrypted_fw.bin est un dump complet de firmware. Qui doit etre encrypté. Encrypté le apres avoir effectué vos modif et avant de lancer le flasher. Vous pouvez utiliser Loser's FirmCrypt app pour crypter ou decrypter une image de firmware. C:\> memdump_win e 12200 8 8000 firmware.bin (modifiez alors votre secteur cible dans firmware.bin) C:\> FirmCrypt e firmware.bin encrypted_fw.bin (Ensuite flasher les secteur modifié avec les exemples ci dessous ) VOUS POUVEZ ETRE CERTAIN DE BOUZILLER VOTRE LECTEUR SI VOUS LE FLASHER AVEC UN FIRMWARE NON ENCRYPTé Le prochain argument est l'adresse du secteur cible dans le mn103 l'emplacement est en hexadecimal. Ajouter juste 0x90000000 a l'offset du secteur dans le dump du firmware pour obtenir cette valeur. le dernier argument est la taille des secteur. les routines de lecture/ecriture du 3120 supporte plusieurs tsop,il apparait que certains ont 8KB (0x2000 bytes), et d'autre 4KB (0x1000 bytes). Mon lecteur a un TSOP SST39SF020A avec 4KB! Je ne suis pas sur que les lecteur hitachi existent avec des tsop different ,mais mon logiciels les supportent! Soyer sur de specifier la taille des secteurs en hexadecimal. SVP n'utilisez pas ce logiciels si vous savez pas ce que vous faites!!! Linux examples: $ ./flashsec /dev/hdc ./encrypted_fw.bin 9003F000 1000 Windows examples: C:\> flashsec_win e encrypted_fw.bin 9003F000 1000 Note le lecteur n'a pas besoin d'etre redemarré apres chaque flashage de secteur vous pouvez changer plusieurs secteurs par exemple en tapant le commandes comme sa: C:\> flashsec_win e encrypted_fw.bin 90006000 1000 done C:\> flashsec_win e encrypted_fw.bin 90010000 1000 done C:\> flashsec_win e encrypted_fw.bin 90027000 1000 done C:\> flashsec_win e encrypted_fw.bin 9003E000 1000 done Desolé pour la traduction c'est plus facile a comprendre qu'a traduire!!! @+

Salut excuse moi j'ai pas bien compris sa: * Xboxic : En utilisant l'entaille courante le système ne peut pas détecter la modification, parce que les progiciels peuvent se trouver au sujet de son authenticité en raison du protocole criqué de challenge/response. Est-ce encore possible au système au softflash que la commande devrait il vouloir à ? Et si oui, l'entaille n'est-elle pas complètement inutile devrait-elle Microsoft décider simplement au reflash les progiciels d'entraînement chaque réinitialisation, ou chaque semaine, ou chaque mise à jour de tableau de bord ? * Robinsod : Le puits là sont plusieurs pièces à la réponse. C'est un dispositif du consommateur et vraiment vous ne voulez pas avoir un échouer et une brique de reflash le dispositif. Je ne sais pas si la commande de Toshiba-Samsung-Samsung récupère une chute placer pour récupérer d'un mauvais flash, l'Hitachi-Atterrisseur a un mode d''rétablissement 'si l'application principale est corrompue, reconstituant un progiciel vide avec seulement des possibilités softflashing. Si ce dispositif, ou quelque chose l'aiment, n'existe pas alors je doute que Microsoft veuille le risquer, tous ces clients fâchés entrant avec bricked 360's. La commande pourrait être softflashed du grain, mais des commandes de progiciels le processus, ainsi elle pourrait juste indiquer que le flash a réussi n'importe quand quoiqu'il n'ait fait rien. * Xboxic : Votre analyse des protocoles utilisés de challenge/response est-elle complète ou juste couvre-t-elle un sous-ensemble de défis possibles ? Microsoft pourrait-il détecter l'entaille s'ils envoient une mise à jour de tableau de bord envoyant différents défis au comportement incorrect de déclenchement des progiciels ? * Robinsod : Oui, je crois il y a un modificateur de reponse mais je n'ai pas vu qu'il a employé encore. Sûr, alors le jeu devient comment précis une émulation mettent en boîte l'intrus créent ? Ce devient un jeu de chat et de souris.... Les défis eux-mêmes sont réellement sur le disque de jeu : le grain lit une table chiffrée à partir du disque, la déchiffre et publie les défis qui s'y trouvent. Des défis mal formés de la console pourraient déclencher des réponses correctes de l'entaille et être détectés, mais nous pourrions réutiliser probablement le code existant au facteur ceci dans les équations. * Xboxic : Il va-t-il y a une révision de Xbox 360 contenant bientôt un progiciel signé dans la commande ? Ofcourse avec la clef publique incluse dans la ROM du DVD pour éviter un futur bricolant avec les progiciels ? * Robinsod : Aucune idée, mais à moins que le flash soit inaccessable ou correctement n'a chiffré n'importe quelle signature peut être charriée. Je suppose s'il y avait un chargeur-amorce dans ROM qui a été empaquetée avec les commandes micro, celle pourrait vérifier la signature de l'instantané. Le problème est alors lui soulève des coûts, les composants standard d'utilisations d'entraînement qui n'ont pas des dispositifs de sécurité. * Xboxic : le surcoût $5 par commande pour éviter des boîtes de 500k Linux s'est vendu à $125 que la perte semble une équation facile. * Robinsod : Alors peut-être son une bonne chose l'entaille est venue tellement tôt et le coût de LSI de coutume peut être réparti un plus grand nombre de consoles, et avant trop de 'pirate 'des systèmes capables ont été vendus. * Xboxic : Dans un forumpost TheSpecialist a littéralement indiqué "je doute que vous voyiez un certain genre de l'AUTRE entaille bientôt, cela vous laisse initialiser le code non signé par exemple. La MME. a fait un travail très bon sur les 360 lui-même cette fois." Est-ce que ceci vous signifie que les types ne voient-ils pas le homebrew ou tout autre code non signé étant couru n'importe où bientôt, comme dans le cycle de vie de la console courante ? * Robinsod : Hmmm, bien donné la complexité du logiciel (et de la réputation de la mme. pour le logiciel bloqué) le semble peu probable qu'il n'y a aucune manière dedans. Le problème le trouve... Une autre motivation pour cette entaille doit voir s'il y a n'importe quelle possibilité d'une attaque par l'intermédiaire des dossiers modifiés non signés (aucune idée s'il y en a ou si elle est - des thats le prochain domaine de recherche). Mais encore, n'importe quelle attaque réussie ouvre la porte à la piraterie. Si la MME. me vendrait les réalisateurs XDK d'une maison qui me permet l'occasion d'écrire le code pour ce qui est un morceau fantastique de kit puis moi n'aurais aucune raison ou excuse pour faire ceci. [/CITATION ] Evite les traductions automatiques parce que perso j'ai pas compris une seule phrase!! a la limite poste l'original!! @+

Salut oui c sa loling avec le dvd cracké on va passer les jeux playstation 4 aussi...... edit: "Deux choses sont infinies : l'univers et la bêtise humaine ; en ce qui concerne l'univers, je n'en ai pas acquis la certitude absolue. " Albert Einstein (1879 — 1955)

Salut pour le moment aucune avancé et je pense que ce n 'est pas pret de changer l'encryptage utilisé est tres complexe et ne sera pas cracké avant longtemps à moins d'une ptit fuite de la part de MS ce qui est très loin d'arriver. voila! sinon avec nos pauvres PC tu peu tenter un decryptage de l'algorythme mais rendez vous dans 10000ans avec un peu de chance!!! @+

Salut! Ce type de cable devrait etre dispo dans 1 semaine! voila @+ edit:Sinon je suis pret a en fabriquer plusieurs si j 'ai des demandes! si sa vous interresse envoyez moi un MP! Pour ce qui cherche un adaptateur usb vers sata !(galére à trouver en europe) je vous conseille plutot d'opter pour un carte pci c'est moins cher et sa peut toujours servir! dispo ici à 17euro http://www.ldlc.fr/fiche/PB00016802.html ou encore pour pc portable en pcmcia ici à 27euro http://www.grosbill.com/index.php3?id=25967&site=clubic @+

Salut MS360 Les principales infos sur la 360 sont sur http://www.free60.org/ voila@+ EDIT: Si un moderateur peut supprimer ce topic ce serait sympa j'ai recuperé les infos dont j'avais besoin! encore meci a toutes les personnes qui on apporté leur aide @+

Salut J ai posté hier un tutos pour fabriquer ce cable facilement! sa ce passe ici http://gueux-forum.net/index.php?s=&showtopic=99119&view=findpost&p=684597 @+

salut j'ai posté dans la section tutos un schema pour simplifier la fabriquation d'un cable pour mettre le hdd360 sur pc sans le demonter sa ce passe ici http://gueux-forum.net/index.php?s=&showtopic=99119&view=findpost&p=684597 Ensuite pour repondre à michael77 et USBOX360!! :fouf: Il est a ce jour impossible de monter dans un HDD non officiel dans une xbox360 pourquoi? Parce qu'il contient 256bytes de donnée crypté ajouté pendant la fabriquation !! Reecrire le dump d'un hdd officiel n'arrange rien a l'affaire etant donnée que ce cryptage est géneré à partir de: -N° de modele -serial du hdd -sa revision de firmware -une signature MS edit: Pour tout vous dire MS a abusé de la signature sur cette 360 ! y a dans tout les sens meme les sauvegardes sont signées elles ne fonctionnent donc pas si tu les telecharges sur http://www.360gamesaves.com :mdr: voila @suivre

Bonjour Aprés pas mal de demande Je vous poste un ptit schema pour vous simplifier la fabriquation de votre cable! pour l'alim 5v utiliser ce type de cable! Ensuite plus qu'a trouver un petite carte à 7 pin d'un coté et 2 de l'autre! attention il y a un pin non utilisé coté alim. il ne faut pas l alimenter! voila @+

salut j'arrive a lancer megaman version us avec ce loader! sans modifier les prx du jeux en suivant la meme procedure que pour gta pour le loader! merci mph!

Salut j ai pas encore fini mon cable! Mais sa fabriquation n'a rien de complexe. (Si tu connais quequ'un qui va encore au college y te le fait en techno :mdr: ) voila ptit photo de mon adaptateur! ce lien pinout sata donne toutes les info pour les connections! Dés que j'ai fini mon cable bien propre je posterai un ptit tutos @+

Slt , On reconnait surtout les exités du freeposting . Il a déjà pris 2 jours par moi et 1 semaine par legueux , j'éspère que ca va lui passer l'envie de pourrir les topic . Sinon xb0xmod pas mal les infos mais le "yankee" il vient de quel forum ? Merci ++ salut je tiens ces info d'un mec de xboxhackers! C'est relativement compliqué et ne presente pas un grand intérré pour le moment, mais qui c'est un jour peu étre @+

salut ptites photo de mes manettes le tutos sur llama oblige à creuser les boutons !! c un peu risqué je preferre des boutons qui reagissent bien!!

J'ai p'tet mal compris, mais il m'avait semblé qu'on pouvait trouvé un fichier ou un repertoire dans le HDD contenant cette mise à jour. Bien sur, elle est certainement faite sur une mémoire ou un truc dans le genre, mais peut être qu'il y a des fichiers restants sur le HDD. En page 2: -$systemupdate : la mise à jour de la semaine dernière ? Voila sur quoi posait ma question. Qu'y a t'il à cet endroit la ? salut En fait sur le hdd il y a un dossier temporaire ou il reste la mise a jour apres sont installation dans le tsop de la 360!

Salut je suis moi aussi en train de mettre au point un adaptateur pour eviter le demontage du hdd! voila un ptit schema de free60.org pour vous aidez a le realiser !

salut! Un yankee viens de m'envoyer un tas d'info sur le hardware non dispo selon lui sur free60.org!! il ne ma pas dis d'ou sa viens ,mais sa à l'air trés proche de la realité ! -------------------------------------------------------------------------------- NAND attached to southbridge dump 1. sector: copyright notice, zeros, unencrypted numbers 2. sector: encrypted data @2MB filesystem, unencrypted, but content encyypted, config not hypervisor no booting details known changes between beta hardware and final: alpha hardware = macintosh beta = ? looks like retail, but no encryption second beta =! retail tried to dump RAM could only dump virtual memory ram is at 8000_0000 southbridge: pci config space, mapped to VM, accessible by user apps memory at bottom looks random/encrypted, might be hypervisor 256 KB 8040_0000 xbox kernel starts, MZ header read memory using debug interface: everything is in plaintext, you can read kernel + app (dashboard etc.), i.e. virtual memory is not encrypted kernel interesting to disassemble communication with hypervisor using syscalls hypervisor does interrupts/exceptions syscalls: *********************************** final: SC 00: GetVersionCode (e.g. r3=072F8002) SC 01: KeStartupProcessors SC 02: unknown KiQuiesce SC 03: KeFlushEntireTb SC 04: called in FlushMultipleTb SC 05: ?? SC 06: KeGetSpecialPurposeRegister (r3=0x3F5) SC 07: KeSetSpecialPurposeRegister SC 08: KeGetSocRegister(r3=???)/KeGetPWMRegister(r3=60000)/ KeGetPRVRegister(r3=61000) SC 09: KeSetSocRegister SC 0A: KeStartupProcessors SC 0B: called in ReserveKernelPtes SC 0C: called from MmAllocatePhysicalMemoryEx SC 0D: setAD16 SC 0E: KeEnablePPUPerformanceMonitor SC 0F: called from MmGetPhysicalAddress SC 10: called from MmDbgReleaseAddress SC 11: XexpLoadFile calls it, seems to get privkey r4 = phys addr (of header?) offset: +8 r5 = region r6 = ?? offset: +4 r7 = ?? size? SC 12: called from MmAllocateImageMemory SC 13: called from MmAllocateImageMemory SC 14: called in XexpLoadFile SC 15: called in XexpLoadFile SC 16: called in XexpCompleteImageLoad SC 17: called in XexpCompleteImageLoad SC 18: called in XexpLoadFile, XexpCompleteImageLoad SC 19: unload? SC 1A: unload? SC 1B: unload? SC 1c: called on XexpTitleTerminateNotification SC 1d: KeCreateUserMode SC 1e: KeDeleteUserMode SC 1f: Flush TLB SC 20: set power SC 21: shadow boot SC 22: f*** fuses SC 23: FSB interrupt related SC 24: KeLockL2 SC 25: SC 26 SC 27 SC 28 SC 29 SC 2A SC 2B SC 2C: SataCdRomHvVerifyLBA SC 2D SC 2E: XeKeysInitialize (r3, r4 = address) SC 2F: XeKeysGetKeyProperties SC 30: XeKeysGetStatus SC 31: XeKeysGenerateRandomKey SC 32: XeKeysGetFactoryChallenge SC 33: XeKeysSetFactoryResponse SC 34: XeKeysSaveBootLoader SC 35: XeKeysSaveKeyVault SC 36: XeKeysSetKey SC 37: XeKeysGetKey SC 38: XeKeysGetDigest SC 39: XeKeysQwNeRsaPrvCrypt SC 3D: XeKeysDesCbc. r6: address, r5: context SC 3F: XeKeysSaveSystemUpdate SC 40: XeKeysExecute ********************************** SC 22 = tested on 2 kernels first: SC "access fuses" second: "burn fuses" (rumour has it that this is used to make retail boxes out of debug boxes) memory management 0F/10: perhaps page table access code in hypervisor, all high level code in kernel you can't map memory as you like network adapter in the southbridge debug code dumps registers with names it is possible to dump physical memory using network adapter DMA accesses not perfect dump reading physical memory = encrypted data segments are not encrypted, but nearly all code segments older recovery cd (early 2005), worked on first beta developer kits, without security enabled: cd included kernel which included stuff that is encrypted in retail version includes hypervisor code! it is old, but... getspr: SC 6 setspr: SC 7 -> possible to see implementation of basic syscall handling function in hypervisor to chain-run a new kernel from the old kernel hypervisor: sign with private key etc. hypervisor can only do physical memory hashing: load into register base address, length, destination of hash buffer, call syscode, hypervisor will hash -> attack: hash 1 byte, *itself*, -> hangs hypervisor lies at 0 in VM and physical mem dumps of physical memory changed 1 byte in software, dumped again, 16 bytes changed again. might be ~1 cache line (0, 1, 2, ...) log: | | f0 35 64 03 de 02 5b 09 b5 7b 81 49 21 e9 d9 77 6e bb c5 d1 62 9e 29 8f e9 3a 6b 7b 4d d0 44 24 15 d4 61 28 e0 e2 ea da e3 b8 34 2e cf bb af 0e f0 35 64 03 de 02 5b 09 b5 7b 81 49 21 e9 d9 77 03 58 f6 c0 f0 13 d5 02 4f 57 a1 d0 50 d3 46 6a 15 d4 61 28 e0 e2 ea da e3 b8 34 2e cf bb af 0e f0 35 64 03 de 02 5b 09 b5 7b 81 49 21 e9 d9 77 1b d6 a6 3b 3c 6e 68 4f da 75 7f a7 8a 02 e4 53 15 d4 61 28 e0 e2 ea da e3 b8 34 2e cf bb af 0e f0 35 64 03 de 02 5b 09 b5 7b 81 49 21 e9 d9 77 38 03 ff f0 61 99 e6 8c b0 3b 2f bb b6 70 06 53 15 d4 61 28 e0 e2 ea da e3 b8 34 2e cf bb af 0e f0 35 64 03 de 02 5b 09 b5 7b 81 49 21 e9 d9 77 0f 55 01 b1 61 9b 35 34 4d ce f4 e8 bb eb cc 4a 15 d4 61 28 e0 e2 ea da e3 b8 34 2e cf bb af 0e f0 35 64 03 de 02 5b 09 b5 7b 81 49 21 e9 d9 77 fc ce 87 2c 30 c0 1c 4f e7 65 da d4 e4 df f6 2b 15 d4 61 28 e0 e2 ea da e3 b8 34 2e cf bb af 0e f0 35 64 03 de 02 5b 09 b5 7b 81 49 21 e9 d9 77 e5 5d f3 38 d9 05 c0 8e 7a a9 b5 a2 fe 11 4c b3 15 d4 61 28 e0 e2 ea da e3 b8 34 2e cf bb af 0e f0 35 64 03 de 02 5b 09 b5 7b 81 49 21 e9 d9 77 84 83 5d 34 55 9b e4 06 26 03 1b f3 0b e9 0f b8 15 d4 61 28 e0 e2 ea da e3 b8 34 2e cf bb af 0e f0 35 64 03 de 02 5b 09 b5 7b 81 49 21 e9 d9 77 ba 4d 72 2b cd 0b e9 0c 2b aa ed 53 ea b0 63 49 15 d4 61 28 e0 e2 ea da e3 b8 34 2e cf bb af 0e compare hypervisor reading and pm dump: not done... --------- after each reboot, it looks different * virtual reading of hypervisor is different * PM dump is different --------- logical mapping: 7feaxxxx is ea00xxxx (some mapped pci region) 8xxxxxxx is ram 800xxxxx is hypervisor code there are many other mappings ---------- physical address mapping: c000xxxx: Initial "Kernel" (bootloader, not real kernel), probably mapped L2-Cache? c8xxxxxx: memory mapped NAND flash (read only, 1:1 mapping, no ECC bytes) c9xxxxxx: d0xxxxxx: PCI config space. Device number etc. is encoded in address, as usual e0000000: Host-Bridge ea000000: PCI-to-PCI bridge ec800000: GPU ea000000: different peripheral: ea001000: bus control ea001010: UART ea00102x: GPIO ea00103x: GPIO ea00104x: GPIO ea00105x: SMI ea0012xx: SATA #1 ea0013xx: SATA #2 ea001400: NIC ea001600: XMA decoder (audio) ea001800: unknown (probably audio related) ea002000: USB #1 (EHCI) ea004000: USB #2 ea00c000: NAND interface, indirect access PCI config region ------------------ SLOT 0, device 0 @(ea000000) 58001414 00100000 06040002 00010000 <-- 06 -> PCI-to-PCI-bridge 00000004 00000000 00020100 000000f0 0000fff0 0000fff0 00000000 00000000 00000000 000000d0 00000000 00000100 SLOT 0, device 1 @(e0000000) 58101414 00100002 06000011 00000000 <- host bridge e0000000 ffffffff ffffffff ffffffff ffffffff ffffffff ffffffff 00000000 ffffffff 00000000 ffffffff ffffffff SLOT 0, device 2 @(ec800000) 58111414 00100002 03800011 00000000 <-- 03 -> "other" display controller e4000000 ffffffff ffffffff ffffffff ffffffff ffffffff ffffffff 00000000 ffffffff 00000050 ffffffff ffffffff SLOT 1, device 0 @(ea001800) some audio related stuff. :/ 58011414 02000000 00000000 00000000 <-- 00 (unspecified . really unknown device. 00000000 00000000 00000000 00000000 <-- has 1 MM space (size: 0x400), but returns only 0,0,0,0,1,0,0,0,0,..,0,1,0,0,.. 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000100 SLOT 1, device 1 @(ea001200,ea001220) SATA (cdrom) 58021414 02300000 01060000 00000000 <-- mass storage: Serial ATA, vendor specific interface 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000058 00000000 00000100 SLOT 1, device 2 @(ea001300,ea001320) SATA (disk) 58031414 02300000 01060000 00000000 <-- mas storage (2nd?) 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000058 00000000 00000100 SLOT 1, device 4 @(ea002000) 58041414 02800000 0c03100f 00800000 <-- serial bus controller 00000000 00000000 00000000 00000000 00000000 00000000 00000000 58041414 00000000 00000000 00000000 50000100 SLOT 1, device 5 @(ea004000) 58061414 02800000 0c03100f 00800000 <-- serial bus controller 00000000 00000000 00000000 00000000 00000000 00000000 00000000 58061414 00000000 00000000 00000000 50000100 SLOT 1, device 7 @(ea001400) NIC 580a1414 02100000 02000001 00000000 <- ethernet 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000040 00000000 00000100 SLOT 1, device 8 @(ea00c000,c8000000) NAND 580b1414 02000000 05010000 00000000 <-- memory controller (flash) 00000000 c8000000 00000000 00000000 <-- has one more memory region, probably direct access. see below. final config: ea001600, 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000100 SLOT 1, device 9 @(ea001600) XMA stuff 580c1414 02800000 04010001 00000000 <- audio 00000000 00000000 00000000 00000000 00000000 00000000 00000000 75011039 00000000 00000000 00000000 0b340100 SLOT 1, device 10 @(ea001000) Bus Control (0x0C), Serial Port (0x10), GPIO (0x20..0x40), SMI (0x50..0x80) 580d1414 02000002 00000000 00000000 ea001000 00000000 00000000 00000000 <-- really has no interesting stuff here. final config: same. 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000100 device 10: serial port, gpio! also accessible from user space ---------------- disassembling old kernel - it accesses a serial port SERIAL PORT!!: debug info written to on debug box, 115k boot monitor: send special character '@' -> talk to boot monitor plaintext interface you can read/write memory, execute code bootloader runs before hypervisor setup boot monitor works on physical memory write to pci config space possible, read memory, write memory c000xxxx: THE interesting stuff is HERE!!!! can't be accessed - hangs c8xxxxxx NAND - bootloader reads from there, copies to RAM hack: use network to dump in boot monitor, just didn't work :- ( something might not be configured yet *read *write *init ram everything before uses no ram in bootloader: 1010101010 patterns - bus/memory training? ----- 13 pin header next to southbridge: left two pins are TX/RX of serial port X X X X X X X X X X X X X serial EEPROM next to processor? couldn't find any activity (board can do i2c) the i2c bus on the board does not seem like used for booting (like 970) looks more like simple stuff very simple i2c communication, a few bytes ----------- possible attack HV code can read itself, and can read unencrypted data in RAM, like plaintext hashing change single bits -> destroy 16 bytes in hypervisor at system call address SC illegal instruction do this over and over again might be a jump instruction 32 MB of NOPs then out code destroy hope that it's jump there can be no protection if network writes because security system is in the CPU this needs to work ONCE to dump the HV ------ TCPA spec says: northbridge has function to disable DMA for memory regions (but reading is possible) -- perhaps this is done on the 360 HV and user encryption probably different HV static user: bit in pagetable? ------ claim is: routine that hashes, tests key code sequences no... could change a lot ------ as soon as we have control fuse to get a simpler key? recovery cd can update bootloader function xenckeyssavesystemupdate: load already encrypted block into memory, reencrypt it, write it to flash -> HV can reencrypt bootloader with per-xbox key ------------------------------------------------------------------------------------------

Salut sous winhex tu surligne du debut du fichier jusqu'a l'offset 2160, ensuite tu fait cliq droit > edition> copier le bloc dans un nouveau fichier. tu enregistre le fichier et tu me l 'envoie à cette adresse xmicky@hotmail.fr merci @+

Salut xb0xmod je confirme lors de mon install sur mon pack core aucun numero de ma été demandé il a directement été reconnu par ma console ++ salut oui c'est ce que j'ai du mal a comprendre il nous faudrait un dump de hdd neuf sa nous permettrer de bien avancer ! je lance donc un appel a toute personne qui achete un hdd! dumper le avant de le monter sa nous ferai bien avancer ! merci edit: j'avais bien dumper un hdd neuf mais j'ai eu un ptit probleme materiel et le hdd a ete monté dans la console depuis ! donc si quelqu'un le dumpe je suis trés interressé!

re une ptite question qui me travaille ! Est ce quelqun a tester sont hdd dans une autre console que la sienne est t'il reconnue? est ce que la console le formate en demandant le serial? Ce que je comprend pas c'est que quand on monte un hdd neuf dans une core la console ne demande meme pas le n°de serie alors que si on le formate avec la console elle le demande?

Salut ben yannf a reussi a dumper sa carte memoire le post ici pour la brancher au pc je v lui demander de poster un tutos! sinon va voir ici @+ edit: je vois pas trop ce que sa fait dans accessoires

salut j'ai deja dumper un hdd off pas installé dans la console! il comporte 2 partition une fatx16 et une fatx32 +le png microsoft ainsi que le bloc de 64 bits (n°serie,ect] forcement il n'a pas le bloc crypté calculé avec le serial de la console!! Je bosse en ce moment sur ce bloc de 256 bits crypté ,c'est pourquoi j ai besoin de recuperer un max de bloc de differente console pour en comprendre l'algoritme! @+ edit: si vous voulez participer envoyer moi en mp le bloc jusqu'a 0x215C pour comparer avec d autres! suite a un ptit probleme materiel je ne possede plus ce dump

thanks i test this tool now good job !

salut le but de ma demande est de comprendre comment est generé le bloc de 256 bytes de données situé a: 0x205C C pourquoi je souhaite comparer plusieurs de c bloc, pour m'aider à comprendre l'algoritme qui crypte ces données via le serial de la console! Pour a terme pouvoir monter un hdd non off!!! @+

Salut Sa fait plaisirs de voir que l'on est de plus en plus nombreux a recolter des info j'ai moi aussi remarqué ces données dans mon hdd off. J'ai constaté que sa n'avais aucune utilité pour la 360 meme si tu remplace par des 0 juqu'a 0x2000 la console boote encore!! Par contre. j'ai maintenant besoin d'un max d'info sur le bloc de 256 bytes de données situé a 0x205C pour m'aider à comprendre l'algoritme qui crypte ces données via le serial de la console! edit: Et n'oubliez pas que meme apres suppression des partitions un disque contient toujours des octets autres que 0 je conseille d'ecraser la totalité du disque par des 0 pour eviter les erreurs! Pour le logo j'ai moi aussi eu quelque probleme mais apres l'avoir extrait une seconde fois pas de probleme mon image etait entiere!

salut yannf Normal c donnée sont dans ton dump A toi de changer c octets pour mettre les valeur de ton nouveaux Hdd! @+ merci pour les données et peu tu me fournir en MP le bloc de 256 bytes de données situé a 0x205C merci