Hack 007 Et Code S'excutant Sur La Carte Memoire !

[caviar]

bonjour,

Je possede une Xbox 1.0 sans puce.

Après avoir installé avec succès un exploit sur ma xbox, j'ai fait l'idiot et j'ai bouzillé le Dashboard de Microsoft sur la partion C.

Le seul moyen que je vois pour me tirer d'affaire est de delocker le disque dur de la Xbox à partir d'un PC. Cependant cela nécessite l'utilisation du fichier Eprom.bin.

Je ne possède malheureusement pas ce fichier.

Ma question est alors la suivante :

Est t'il possible à partir d'une sauvegarde 007 d'éxécuter un code qui compiler se trouve sur la carte mémoire ?

car je voudrais en fait grace au source de Config Final , créer un bout de programme qui m'affiche à l'écran le contenu de EPROM.BIN.

Je pourrais ensuite le recréer sur PC et Delocker mon DD pour faire une nouvelle install et repartir de zero.

Merci d'avance pour votre aide.

caviar

[KaMbiOkIkA]

Salut,

Ta question n'a a priori rien à voir avec le développement. Je m'explique. Je ne connais pas en détail les hacks par save, toutefois, je suis quasiment certains qu'elles te permettent de lancer un dashboard, qui d'une part te permet directement de faire un backup de ton eeprom dans un fichier eeprom.bin sur le disque dur de ta XBox, et d'autre part de te connecter à ta XBox en FTP, et donc de récupérer sur ton PC le dit fichier eeprom.bin sur ton PC.

Mais, c'est deja compliqué pour ton problème mais déjà moins que ce que tu veux faire, car la méthode la plus simple dans ton cas, c'est de lancer la save hackée, et une fois sur le dash de renvoyer l'install du MS DashBoard directement sur ta XBox via le FTP, et c'est tout.

++

[caviar]

Salut KaMbiOkIkA,

Merci pour ta réponse.

En fait, j'ai regarder les différents SAveExploits qui existents et tous nécessite de copier la Sauvegarde se trouvant dans la Puce sur Le Disque Dur de la Xbox.

Or, Mon MS DashBoard Etant HS, je ne peux pas utiliser la fonction de Copie de la carte mémoire vers le Disque Dur.

Il me faut donc développer un morceau de code permettant de faire les choses suivantes :

-> Modifier une sauvegarde du jeu 007 pour intégrer dans le code de la sauvegarde une fonction qui affiche les infos de l'eprom.bin.

Les saves exploits qui existent permettent a travers le hack de la sauvegarde d'éxécuter un Fichier Default.XBE se trouvant dans d:\UDATA\4541000d\0000000000000\

Ce que je souhaiterais faire c'est exécuter un code directemement dans le code de la sauvegarde et non pas dans un fichier Default.xbe qui doit se trouver sur le disque Dur.

Mais bon, cela ne semble effectivement pas simple à faire.

Il faudrait que des pros comme Adoubeur puissent m'aider.

Caviar

[LoloMc]

Lu,

Je présume qu'il te faudrait réaliser un programme avec le developpement kit, qui si ma mémoire est bonne, est illégal....

Programme qui DOIT être signé Micro$oft, et qui copie les saves sur le disque dur pour toi (la fonction du programme c'est peut être le plus simple).

Honnetement, si c'était faisable, Yop Solo et sa RCX ou maitre LeGueux avec son CD master auraient fait leurs Cd comme ça.... Enfin je pense.

Maintenant, SI j'ai bien compris, ce qui n'est pas forcément gagné, j'ai lu sur les news du site que des gars avaient cassé le premier niveau de code de la signature Micro$oft.

Mais là il faut effectivement un avis éclairé (pour savoir si j'ai tout compris) tel que celui de LeGueux en personne.

[adoubeur]

Salut !

Si j'ai bien compris, ce que tu voudrais c'est une save qui boote directement sur la carte mémoire (sans avoir à la copier d'abord sur le DD).

J'ai déjà entendu dire qu'il existait une telle sauvegarde, mais je n'en ai jamais eu sous la main personnellement.

Et je ne sais pas si ce que j'ai entendu dire est vrai, de plus j'en doute fort car je ne pense pas qu"il soit possible d'exécuter un xbe depuis la carte mémoire (ou alors si c'est possible, j'aimerais bien savoir comment !).

Mais ton projet de compiler une partie de ConfigMagic me semble bien délirant !

Il suffirait de n'importe quelle application Xbox ayant la fonction de serveur FTP (Evox, unleash...). L'obstacle auquel on se heurte est l'impossibilité de l'exécuter sur une CM.

Programme qui DOIT être signé Micro$oft

MMmmhhhh non, je ne crois pas que ce soit nécessaire, le principe de la méthode 007 est justement qu'elle permet d'exécuter du code non signé MS (il doit simplement être signé "habibi", ce qui se fait en 2 secondes avec xbedump).

++

[KaMbiOkIkA]

Re,

L'éxecution d'un .xbe a partir d'une carte mémoire n'a rien d'impossible, une carte mémoire étant vu au niveau du bios exactement comme une partition disque dur ou un lecteur dvd. Je suppose donc que le principe des saves hackées à base d'éxecution d'une xbe certainement dans E:\....., contiennent forcément quelques part (à voir en hexa éventuellement) le chemin vers la sauvegarde en question. Bref, en cherchant bien il doit y avoir moyen de modifier une save pr booter non plus le xbe a partir d'une partition (qui a priori serait soit E:, U: ou T:) et de la remplacer par le lecteurde la carte memoire (de F: a F+8:...) dans les fonctions d'origine du bios.

D'autre part, je suis quasiment certains d'avoir vu ces fameuses sauvegardes qui lancait FreeEvoX depuis la carte mémoire. Il faut donc éventuellement chercher du coté des 1eres releases de FreeEvoX.

Voila. +

[adoubeur]

L'éxecution d'un .xbe a partir d'une carte mémoire n'a rien d'impossible, une carte mémoire étant vu au niveau du bios exactement comme une partition disque dur ou un lecteur dvd.

Ah ???

Mon cher Kambio, tout cela me semble fort intéressant !

Je suppose donc que le principe des saves hackées à base d'éxecution d'une xbe certainement dans E:\....., contiennent forcément quelques part (à voir en hexa éventuellement) le chemin vers la sauvegarde en question

Pas idiot !

Il "suffirait" de trouver quel fichier commande l'exécution du xbe...

la remplacer par le lecteurde la carte memoire (de F: a F+8:...) dans les fonctions d'origine du bios.

La partition de la carte mémoire serait la 7 ? (dans le cas où on la place sur le 1er emplacement de la première manette).

je suis quasiment certains d'avoir vu ces fameuses sauvegardes qui lancait FreeEvoX depuis la carte mémoire.

tu me fais frémir là !

I want them !!!

Une fois de plus Kambio tes compétences nous éclairent !

++

[KaMbiOkIkA]

Re,

Par rapport à cela Adoubeur, un accès au docs du XDK pourraient fortement t'aider à voir comment les cartes mémoires sont "mountées" par le bios en lecteur logique, car la fonction en question y est fortement documentée. D'autre part, il est en théorie impossible d'accéder, via le bios de la XBox, aux partitions du disque dur. C'est à dire qu'aucune fonction définie dans le XDK ne te permet de "mounter" les lecteurs C:,E:,F: et G: du disque dur. La technique utilisée repose sur une fonction cachée interne au bios, qui elle n'est pas publiquement documentée, mais dans le principe, cette même fonction te permet de "mounter" n'importe quoi sur un lecteur logique : un device, un répertoire quelconque, que ce soit sur un disque dur, un dvd, une carte mémoire. Tout ca pour te dire, qu'avec les docs adéquates, il ne me semble pas très compliqué de trouver l'endroit à patcher en hexa pour éxecuter ton .xbe directement de ta carte mémoire. Mais par rapidité, je ne peux te conseiller que de chercher du coté de FreeEvoX, qui si mes souvenirs sont bons, a un site officiel très très bien documenté sur son fonctionnement, mais toutefois, je me rappelle avoir eu quelques difficultés à trouver ce fameux site, et, je suis quasiment certain que la fameuse save lancant FreeEvoX depuis la carte mémoire est dispo sur ce site. C'est d'ailleurs à ma connaissance la 1ere save hackée qui soit paru, et c'est d'ailleurs FreeEvoX qui est a la base de tous les exploits utilisés.

J'essairai si je trouve quelques minutes ce soir ou demain de remettre la main sur ce site.

++

[adoubeur]

Je vois ce que tu veux dire, le prob c'est que j'ai plus la doc du XDK (j'ai plus le XDK tout court).

Sinon j'ai un peu farfouillé les fichiers d'une save 007, j'ai trouvé ça dans le fichier "xbsavegame.dat" en l'éditant en hexa :

Pèó”..ëþd:\UDATA\4541000d\000000000000\default.xbe

C'est le chemin de l'exécutable de la save !

Mais il n'indique pas de façon claire la partition de boot...

Que signifie ce "ëpd:\" ?

++

NB : pour freeEvox j'ai un peu cherché, rien trouvé pour le moment (la plus vieille save que j'ai dégottée sur XBins ne boote pas depuis la carte mémoire).

[KaMbiOkIkA]

Re,

Le "ëpd:\" ne signifie rien du tout à mon avis, ca doit etre juste du code. Par contre cela semblerait vouloir dire que la lettre du lecteur logique à lire doit etre située dans une autre variable. En effet, le chemin d'une save sur le disque dur E: ou sur une carte mémoire est stocké dans la même structure de répertoire. Et donc par commodité de développement, et peut-etre meme de securité, le "lecteur" de save doit construire le nom complet du chemin en faisant variable lecteur+variable repertoire. Ce qui complique un peu plus la recherche car des E, D, U ou T, il doit y en avoir un sacré paquet dans les données d'une save lol.

Par contre Adoubeur, comme je l'ai expliqué je ne connais pas très bien le principe d'utilisation des saves comme les tiennes par exemple. Je suis sur Anod-X, mais je vais essayer de trouver un moment ce soir ou demain au taf pour y jeter un oeil. Je tiens au courant.

++

[adoubeur]

OK, le truc maintenant c'est de trouver la "variable lecteur" ...

Mamma mia...

Merci de ton aide en tout cas !

++

[caviar]

Tiens regardez ce que j'ai trouvé : (avec Google : xbox linux Technical analysis)

------****************--------

Opcodes: Assembly: Comment:

E800000000 call 00000005

5D pop ebp ; 0x00000005

81ED05000000 sub ebp, 00000005 ; ebp = 0x10CF

BF000020C0 mov edi, C0200000

B900100000 mov ecx, 00001000

8B07 mov eax, dword ptr [edi] ; 0x00000016

2500FFFFFF and eax, FFFFFF00

0D63000000 or eax, 00000063

8907 mov dword ptr [edi], eax

81C704000000 add edi, 00000004

49 dec ecx

75E9 jne 00000016 ; turn off WP

BE00000080 mov esi, 80000000

AD lodsd ; 0x00000032

81EE03000000 sub esi, 00000003

3DBD1B4BA4 cmp eax, A44B1BBD

75F2 jne 00000032 ; scan RAM for public key

8176FFD68BD72D xor dword ptr [esi-01], 2DD78BD6 ; modify last 4 bytes of public key

8D8533010000 lea eax, dword ptr [ebp+00000133]

898546010000 mov dword ptr [ebp+00000146], eax

8D853B010000 lea eax, dword ptr [ebp+0000013B]

898537010000 mov dword ptr [ebp+00000137], eax

8D854E010000 lea eax, dword ptr [ebp+0000014E]

898577010000 mov dword ptr [ebp+00000177], eax

8D8556010000 lea eax, dword ptr [ebp+00000156]

898552010000 mov dword ptr [ebp+00000152], eax

8DBDF7000000 lea edi, dword ptr [ebp+000000F7]

8DB503010000 lea esi, dword ptr [ebp+00000103]

A1F0F62B00 mov eax, dword ptr [002BF6F0]

3D56657273 cmp eax, 73726556

742A je 000000B9 ; Version checking

81C60C000000 add esi, 0000000C

A130FF2B00 mov eax, dword ptr [002BFF30]

3D56657273 cmp eax, 73726556

7418 je 000000B9 ; Version checking

81C60C000000 add esi, 0000000C

A110FA2B00 mov eax, dword ptr [002BFA10]

3D56657273 cmp eax, 73726556

7406 je 000000B9 ; Version checking

81C60C000000 add esi, 0000000C

A5 movsd ; 0x000000B9

A5 movsd

A5 movsd

8D8533010000 lea eax, dword ptr [ebp+00000133]

50 push eax ; param 1 = "\??\D:"

3E8B9DFF000000 mov ebx, dword ptr ds:[ebp+000000FF]

FF13 call dword ptr [ebx] ; call IoDeleteSymbolicLink

8D854E010000 lea eax, dword ptr [ebp+0000014E]

50 push eax ; param 2 = "\Device\Harddisk0\Partition1"

8D8533010000 lea eax, dword ptr [ebp+00000133]

50 push eax ; param 1 = "\??\D:"

3E8B9DFB000000 mov ebx, dword ptr ds:[ebp+000000FB]

FF13 call dword ptr [ebx] ; call IoCreateSymbolicLink

6800000000 push 00000000 ; param 2 = NULL

8D857F010000 lea eax, dword ptr [ebp+0000017F]

50 push eax ; param 1 = "D:\UDATA\4541000d\000000000000\default.xbe"

FF95F7000000 call dword ptr [ebp+000000F7] ; call XLaunchNewImage

EBFE jmp 000000F5 ; infinite loop

------****************--------

les fonctions appellées sur l'exploit sont :

- call IoDeleteSymbolicLink

- call IoCreateSymbolicLink

- call XLaunchNewImage

La fonction la plus important étant : call XLaunchNewImage

Ce bout de code permet donc de monter le disque D de la Xbox, et d'ensuite exécuter le fichier default.xbe.

Sur les liens suivants on trouve le même type de code mais en C :

http://www.xfactordev.net/codesnippets/cod...php?cat=4&cid=5

http://www.xbdev.net/openxdk/tutorials/xbe...ncher/index.php

=>

Je pense qu'il faudrait alors utiliser la fontion XMountMU pour lui donner une lettre de lecteur F ..., et ensuite lancer la fonction XLaunchNewImage

Malheureusement pour le moment ma Xbox est HS, donc il faut que je trouve un moyen de tester ce principe sur une autre Xbox. Si quelqu'un veut m'aider je suis preneur. Par contre, il faut tout d'abord que je localise dans la sauvegarde 007, le précédent code, et que je le remplace par le nouveau.

Caviar.

Modifié 2 mars 2005 par caviar

[adoubeur]

Tu penses que cette modification doit se faire en langage C (auquel cas il faudrait ensuite compiler le code, chose dont je suis incapable ) ou directement en hexa (là c'est plus dans mes cordes ! ) ?

++

[caviar]

Salut Adoubeur,

Effectivement je pense qu'il faut compiler un petit programme avec le XDK afin d'obtenir un fichier .XBE qu'il faudra déssasembler avec un logiciel du type Idapro.

Une fois le code assembleur obtenu par ida pro et donc le code Hexa, il suffira de le mettre à la place de celui qui lançait le Xbe à partir du disque dur.

Caviar

[adoubeur]

Si tu te sens capable de compiler le code, je suis tout disposer à tester !

Je me demande aussi de quel fichier de la save il s'agit :

- SaveImage.xbx ?

- TitleImage.xbx ?

- xbsavegame.dat ?

++

[LoloMc]

Programme qui DOIT être signé Micro$oft

MMmmhhhh non, je ne crois pas que ce soit nécessaire, le principe de la méthode 007 est justement qu'elle permet d'exécuter du code non signé MS (il doit simplement être signé "habibi", ce qui se fait en 2 secondes avec xbedump).

++

Lu Adoubeur, mon SAVEuR

Ce que je pensais :

Générer un *.xbe qui se grave sur un CD bootable, donc il faut absolument qu'il boote avec un code signé M$, non ?

Cet xbe serait capable de :

1 - Effacer et recréer la partition E (récupération d'urgence)

2 - copier ce qui se trouve dans la carte mémoire sur le disque dur, dans la partition E (dans ce cas, le cd bootable pourrait intégrer la sauvegarde magique, ainsi on se passerait de la CM)

On charge 007, et on recommence.

Mais bon si vous semblez avoir une piste, c'est cool

EDIT : c'est complètement con ce que je dis, si on génère un CD capable de booter, autant qu'il installe lui même l'exploit UXE :fouf:

Modifié 2 mars 2005 par LoloMc

[KaMbiOkIkA]

Salut,

Wep, c'est vraiment très con lol. Si on savait booter un tel CD, on ne s'embetera pas avec des puces, et encore moins avec des exploits .

++

[adoubeur]

Générer un *.xbe qui se grave sur un CD bootable, donc il faut absolument qu'il boote avec un code signé M$, non ?

Personne à ce jour n'a réussi à recréer la signature MS, et cela n'arrivera sans doute jamais !

L'idée c'est simplement de pouvoir lancer directement la save de la carte mémoire, comme ça si la xbox est en rade mais boote quand même les originaux (genre erreur 13 ou 21) on peut se connecter par FTP.

++

[LoloMc]

Salut,

Wep, c'est vraiment très con lol. Si on savait booter un tel CD, on ne s'embetera pas avec des puces, et encore moins avec des exploits  .

++

Saloppppp!!!!!

Toi tu m'assassines !!! Bon, ceci étant dit, c'est vrai que c'est vraiment très con ce que j'ai écrit :mdr:

Personne à ce jour n'a réussi à recréer la signature MS, et cela n'arrivera sans doute jamais !

Alors c'est quoi CE truc de casser le code que j'ai vu sur les news ?

C'est pas le début ?

[KaMbiOkIkA]

Salut LoloMc,

J'espere que tu ne l'as pas mal pris, c'est simplement que cela m'a fait rire, mais ce n'était pas du tout méchant, même si effectivement en me relisant, on pourrait le croire lol.

Concernant la news, c'est certes une progression, mais malgré cela on est encore très loin de pouvoir signer les .xbe.

Voila.

++

et sans rancune lool

[yopsolo]

Et mon cher Adoubeur

on a toujours pas trouver la techniques pour eviter le "RESET on EJECT"

mais je cherche toujours de mon coté

si tu a trouvé quelques chose fait moi signe

YoP

[adoubeur]

Et mon cher Adoubeur

on a toujours pas trouver la techniques pour eviter le "RESET on EJECT"

Non, à mon avis c'est pas jouable le Eject Fix par méthode 007...

++ mon p'tit Yop !

[tazzkiller]

je me souvient d une apps pc ki permettais d activer le boot des default.xbe sur le usb donc peut etre interressant ? je vais voir pour le lien.........

[tazzkiller]

voila le lien.........

DEXBE-0.5

Les messages sont controler maintenant avant d etre poster...........byzarre

[BenMitnicK]

slt!!!

moi j'ai eux une erreur 13 et bien d'autre et j'ai booter sur 007 puis sur ma save 007 directement sur ma carte memoire et il n'y avait pas la save hack de 007 sur mon disque dur donc je boot bien sur la carte memoire directement