Aller au contenu


Photo

Reverse engineering du PSJailbreak (Topic technique)


  • Veuillez vous connecter pour répondre
73 réponses à ce sujet

Posté 23 août 2010 - 11:52

#41
bigboss59400

bigboss59400

    Sunriseur

  • Members
  • PipPip
  • 200 messages
@manethon 1) pourquoi s'embeter a faire soit meme un lecteur de puce alors qu'il en existe a t on avis comment ils ont fait pour programmer la puce ?
2)Il ne suffit pas de lire comme j'ai pu ecrire precedement
  • Retour en haut

Posté 24 août 2010 - 12:15

#42
obi76

obi76

    Sunriseur

  • Members
  • PipPip
  • 10 messages
  • Sexe:Male
Bonjour à tous,

sachan que sur la plupart des PIC il est possible de protéger le proc en R/W après sa programmation, je doute que les concepteurs de cette clé ont fait la bêtise de ne pas la protéger.

PS : si c'est quand même le cas, quelqu'un ayant la clé et éventuellement un easypic sous la main pourrait-il nous procurer le .hex correspondant ? ^^

Ha oui, au passage le quartz est vraisemblablement cadencé à 12Mhz, les 2 condos qui vont à coté sont des 12pf (valeur standard que je mets sur tous mes pics).

Ha oui, dernière chose pour ceux qui voudraient se lancer dans cette aventure ^^
Pour étudier un circuit noyé dans de la résine/colle (comme c'est de plus en plus souvent le cas), il suffit de noyer le circuit dans de l'acétone pendant 24/48H et la résine s'effritera toute seule (s'il n'y a pas de condo électrochimiques ou composants comportant du plastique, ce qui n'est pas le cas de cette clé ^^)
  • Retour en haut

Posté 24 août 2010 - 12:20

#43
Nbz

Nbz

    ??? No Tags ???

  • Shining VIP
  • 2 457 messages
  • Sexe:Male
  • Lieu:Nancy-54
pour un quartz 12Mhz, je mettrai plutôt du 18pf, mais du 12 doit fonctionner aussi bien (il n'y a pas une grande différence entre 12 et 18) :)

plus la valeur est basse, plus le cadencement sera stable, mais plus il a de chance de na pas démarrer si valeur trop basse.

Image IPB

  • Retour en haut

Posté 24 août 2010 - 12:26

#44
obi76

obi76

    Sunriseur

  • Members
  • PipPip
  • 10 messages
  • Sexe:Male
Et pour pousser encore un peu plus le truc, si certains sont prêts à faire des tests, un programmateur simple de PHUKD :

http://www.irongeek....eystroke-dongle
  • Retour en haut

Posté 24 août 2010 - 13:34

#45
Barbiche0

Barbiche0

    ?Facebook hater?

  • Shining VIP
  • 3 933 messages
  • Sexe:Male
  • Lieu:Grenoble (38)
 obi76 -> Bonjour et bienvenue ! Edite tes messages s'il te plaît, au lieu de triple poster...


" - Bonjour, moi c'est Barbiche, je n'ai pas trollé depuis trois posts.
- Bonjour Barbiche ! Bienvenue parmi nous ! "

extrait d'une séance des Trolleurs Anonymes (TA).

Image IPB
Image IPB
Image IPB
  • Retour en haut

Posté 24 août 2010 - 13:46

#46
obi76

obi76

    Sunriseur

  • Members
  • PipPip
  • 10 messages
  • Sexe:Male
@nobix42 : "
Pour Neme6, le raccordement des leds ne colle pas (on ne se sert pas de broches d'IO pour faire le + et le - pour allumer
une led)"

Si tu peux.
  • Retour en haut

Posté 24 août 2010 - 15:41

#47
Neme6

Neme6

    Sunriseur

  • Members
  • PipPip
  • 53 messages
Bonjour à tous !

L'objectif principale de l'étude du circuit c'était de voir si en hardware il présentait quelque chose de particulier.
Comme beaucoup le soupçonnait un dongle standard avec un micro-contrôleur USB suffit.
Par exemple le teensy (lien, merci obi76 ;) ) pourrait peut-être suffire (comme le µC est un ATMEL il faudrait adapter).
Ou un simple montage fait chez soit :
* PIC18F4550 : ~4€
* Port USB : ~1€
* Quartz 12 Mhz : ~1€
* R, C : ~3€

Image IPB


Le plus dur, comme tout le monde s'en doute sera le FW à flasher sur le dongle.
  • Retour en haut

Posté 24 août 2010 - 21:25

#48
obi76

obi76

    Sunriseur

  • Members
  • PipPip
  • 10 messages
  • Sexe:Male
Oui, donc il reste quelques petites inconnues. Je suppose que la série cuivrée serve à programmer la clé (C'est pour ça que je suppose que c'est un PHUKD, reste à savoir lequel).
Pour ce qui est des 2 leds rouge/vert, impossible de trouver le sens de branchement mais ça à la rigueur, on s'en moque pas mal (si c'est pas l'un, c'est l'autre et ça ne craint rien pour le montage).
Cependant, j'ai de bonnes raisons de penser qu'une masse vient se greffer sur le 38 du 18F (à confirmer).
Et au vu du branchement, à part un 18F4550, je ne vois pas beaucoup d'autre processeurs dont le datasheet et les montages annexes colleraient aussi bien...

Par ailleurs, le datasheet du 18F : ww1.microchip.com/downloads/en/DeviceDoc/39632b.pdf

pour faire le lien entre le schéma de Neme6 et celui du Pstrailbreak, à gauche le boitier 40-Pin PDIP et à droite le 44-PIN QFN :

13 -> 30
14-> 31
11 -> 7
12 -> 6
31 -> 29
32 -> 28
24 -> 43
23 -> 42
18 -> 37

Le schéma global reste le même, mais je pense qu'il manque quelques liens sous la puce (du genre le MCLR et/ou le reset etc).
  • Retour en haut

Posté 24 août 2010 - 23:59

#49
Nbz

Nbz

    ??? No Tags ???

  • Shining VIP
  • 2 457 messages
  • Sexe:Male
  • Lieu:Nancy-54
il est possible que le MCU soit un ATmega 32U4

http://www.xboxhacke...14619#msg114619


<Anonimo> just saw pics
<Anonimo> on your site
<Anonimo> of the disassembled one from discoazul
<Anonimo> i was just trying to

<Anonimo> read the schematic
<Anonimo> http://img256.images...7/dsc03223c.jpg
<Anonimo> and found that
<Anonimo> this is probably not
<Anonimo> standard usb
<Anonimo> it uses the usb connector
<Anonimo> to initialize a different
<Anonimo> kind of serial connection
<Anonimo> looking at the schematic

<Anonimo> you see D- and GND
<Anonimo> connected together with a resistance
<Anonimo> this is not usb
<Anonimo> it may be a trigger
<Anonimo> to start
<Anonimo> a connection
<Anonimo> onto the other
<Anonimo> two pins

<Anonimo> i bet it is standard rs232 or i2c
<Anonimo> just like

<Anonimo> any other service port
<Anonimo> you can sniff the only active pin for the communication
<Anonimo> and see
<Anonimo> because
<Anonimo> of the 4 usb pins
<Anonimo> you have
<Anonimo> 1 gnd
<Anonimo> 2 d- connected to gnd

<Anonimo> cool
<Anonimo> you know
<Anonimo> mcu
<Anonimo> don't have a lot of flash
<Anonimo> i don't think it stores
<Anonimo> datas
<Anonimo> inside
<Anonimo> and looking at the schematics
<Anonimo> it seems
<Anonimo> also that
<Anonimo> you have some pull up resistors

<Anonimo> so i bet it is some kind of i2c
<Anonimo> just like any other service hardware from any other brand
<Anonimo> you can check with a multimeter when it arrives
<Anonimo> i'm looking forward to see the complete schematic
<Anonimo> on some website
<Anonimo> so, to sum up
<Anonimo> 1. Probably not usb, but a trigger onto one side to start a different protocol onto the other

<Anonimo> 2. quite sure only one pin to sniff with logic
<Anonimo> 3. mcu doesn't have a big flash, the magic datas are probably very little

<Anonimo> 4. don't think they are using asic or fpga, more likely cheap mcu
<Anonimo> and finally
<Anonimo> the upper part of the board
<Anonimo> is not interesting
<Anonimo> it only handles lighting
<Anonimo> the only thing
<Anonimo> i can not understand
<Anonimo> is the diode
<Anonimo> probably used for reading
<Anonimo> from the ps the reply
<Anonimo> i have
<Anonimo> another
<Anonimo> theory
<Anonimo> probably
<Anonimo> if it is correct usb
<Anonimo> protocol
<Anonimo> and not using a tricky method
<Anonimo> probably the
<Anonimo> key is
<Anonimo> the device id
<CORAGON> ?¿
<Anonimo> of the usb dongle
<Anonimo> you know
<CORAGON> yes i know
<Anonimo> usb devices has a device id
<CORAGON> but...
<CORAGON> the id is the same in all ps jailbreak?
<Anonimo> which
<Anonimo> tells
<Anonimo> the usb host
<Anonimo> what kink of hardware
<Anonimo> you connected
<CORAGON> yes...
<CORAGON> only with the id, the ps3 comes in to debug mode?
<CORAGON> it can be
<CORAGON> in the SAT, the technics use an usb called "ID Stick" or something else
<CORAGON> wait a second
<CORAGON> i search it
<Anonimo> k
<CORAGON> ID swapping For Target USB
<CORAGON> its the name
<CORAGON> you say that the jaibreak changes the ID os the PS3
<CORAGON> ?¿
<Anonimo> no
<Anonimo> every usb device
<Anonimo> has got an id that tells
<Anonimo> the kind of object connected
<Anonimo> eg. printer, hid, wifi dongle ...
<CORAGON> yes
<Anonimo> if the ps3 has got inside a dongle with the correct id
<Anonimo> goes into service
<Anonimo> however
<Anonimo> we only have to wait
<Anonimo> monday
<Anonimo> so that you can
<CORAGON> It's easy to copy this ID?
<Anonimo> open up the jig with your hands
<Anonimo> XD
<CORAGON> XD
<Anonimo> when you use any mcu with usb
<Anonimo> you can
<Anonimo> decide it
<CORAGON> mmm
<Anonimo> if i'm not wrong
<Anonimo> someone
<Anonimo> tried
<Anonimo> to connect it to a pc
<CORAGON> yes
<Anonimo> and the pc recognized it
<CORAGON> no
<Anonimo> in some way
<CORAGON> the pc not recognized it
<Anonimo> what happened?
<CORAGON> nothing
<CORAGON> when connect it
<CORAGON> nothig happens
<CORAGON> we will try to connect to linux
<Anonimo> tried to search for hardware?
<Anonimo> *drivers'
<CORAGON> it finds a strange drive
<Anonimo> oh this is good
<CORAGON> but it havent got drivers
<Anonimo> so it has a strange device id
<CORAGON> yes
<Anonimo> Tongue
<CORAGON> but the mcu have memory
<Anonimo> very little
<CORAGON> it have a secret partition
<Anonimo> generally
<CORAGON> very very litte
<CORAGON> 256 kb i think
<Anonimo> ok!
<Anonimo> so that
<CORAGON> whith the debug kernel
<Anonimo> they can
<Anonimo> update
<CORAGON> yes
<Anonimo> it
<Anonimo> probably
<Anonimo> that is
<Anonimo> the eeprom
<Anonimo> inside
<Anonimo> the mcu
<Anonimo> ps3 debug kernel?
<CORAGON> yes
<CORAGON> it enables ps3 to run unsigned code
<CORAGON> i have any idea about what mcu is it?
<CORAGON> probably an atmega?
<Anonimo> probably
<CORAGON> i finf an atmega 44 pin with memory and usb capable
<Anonimo> you can also
<CORAGON> ATmega 32U4
<Anonimo> check for the pin
<Anonimo> where the external
<Anonimo> oscillator is connected
<CORAGON> ok
<Anonimo> the side i mean
<CORAGON> Atmega datasheet: http://www.atmel.com...nts/doc7766.pdf
<CORAGON> 16/32K Bytes of
<CORAGON> ISP Flash
<Anonimo> the problem is not the mcu
<Anonimo> i think any mcu
<Anonimo> with usb
<Anonimo> can handle the job
<Anonimo> we have only to see sniffing
<CORAGON> how to sniff a usb connection?
<CORAGON> XD
<Anonimo> you only need a strong logic analyzer
<Anonimo> D- on pin 11
<Anonimo> on this mcu
<Anonimo> of photos


well, this is the first time I saw a true "tech" talk. I also have the questions regarding to the resistors connecting the D+ and GND, also D- and VCC. from the photos, one can see that the D- pin got connected to 3 different places. the speculation of possible I2C or other serial protocol being used in this dongle might also be possible. but using the USB isn't a wrong thing, one can still make a dongle with high security via USB connection. we can only know more after someone figure out the circuit connections, and better with logic analyzer sniffing data.


Image IPB

  • Retour en haut

Posté 25 août 2010 - 07:25

#50
obi76

obi76

    Sunriseur

  • Members
  • PipPip
  • 10 messages
  • Sexe:Male
Non, le datasheet ne correspond pas sur pas mal de points (masse en 15,23,35 ; D- et D+ en 3 et 4 etc...)

Et effectivement, comme ils le disent si bien, le schéma du circuit c'est une chose dont on se fout pas mal, il est simple. Non c'est le programme qu'il faut copier/faire. Pour ça un minimum de matos s'impose et plusieurs PS3...
  • Retour en haut

Posté 25 août 2010 - 08:15

#51
Neme6

Neme6

    Sunriseur

  • Members
  • PipPip
  • 53 messages
@Nbz360 : tu as choppé une pépite là :D
C'est super d'avoir un point de vue différent avec des arguments bien fondés !
Je vais regarder la datasheet du Atmega ;)

Sinon pour vérifier l'ID du device il existe un soft M$ pour lister toutes les infos qu'il est possible d'avoir sur les périph USB connectés.
Je vais essayé de le retrouver...

Ça relance le sujet :hyper-happy:
  • Retour en haut

Posté 25 août 2010 - 09:57

#52
Barbiche0

Barbiche0

    ?Facebook hater?

  • Shining VIP
  • 3 933 messages
  • Sexe:Male
  • Lieu:Grenoble (38)
Obi, je te demande une seconde fois, arrête les double posts, s'il te plaît...
" - Bonjour, moi c'est Barbiche, je n'ai pas trollé depuis trois posts.
- Bonjour Barbiche ! Bienvenue parmi nous ! "

extrait d'une séance des Trolleurs Anonymes (TA).

Image IPB
Image IPB
Image IPB
  • Retour en haut

Posté 25 août 2010 - 10:08

#53
obi76

obi76

    Sunriseur

  • Members
  • PipPip
  • 10 messages
  • Sexe:Male
Je suis désolé, mais pourrai-t-on m'expliquer dans ce cas où est la fonction citation... :hyper-happy:
  • Retour en haut

Posté 25 août 2010 - 11:03

#54
Nbz

Nbz

    ??? No Tags ???

  • Shining VIP
  • 2 457 messages
  • Sexe:Male
  • Lieu:Nancy-54
En bas a droite de chaque post tu as des items :)


"répondre" -> créera un new post avec en citation le post sur lequel tu as cliqué
"multi-citation" -> permet de créer une multi-citation en en pré-sélectionnant les post souhaité, puis cliquez sur "ajouter une réponse" en bas ou en haut du topic

et sur tes propres post, tu as un item "modifier" qui te permet de mettre a jour ton post :)

ps: il faut etre sur le forum et non le site :)

++

Modifié par Nbz360, 25 août 2010 - 11:03.

Image IPB

  • Retour en haut

Posté 25 août 2010 - 11:13

#55
Manethon

Manethon

    Modding addict

  • Technicien LS expert
  • 21 721 messages
  • Sexe:Male
  • Lieu:Valenciennes Nord 59

@manethon 1) pourquoi s'embeter a faire soit meme un lecteur de puce alors qu'il en existe a t on avis comment ils ont fait pour programmer la puce ?

2)Il ne suffit pas de lire comme j'ai pu ecrire precedement

si t'en a tu l'utilise si non je pense que ca reviendra moins cher de le faire soit même
  • Retour en haut

Posté 25 août 2010 - 13:01

#56
Barbiche0

Barbiche0

    ?Facebook hater?

  • Shining VIP
  • 3 933 messages
  • Sexe:Male
  • Lieu:Grenoble (38)
Voilà, NBZ a tout dit ^_^ Je rajoute juste qu'il faut aller sur le forum pour qu'ils soient affichés, sur le site, tu ne les verras pas.
" - Bonjour, moi c'est Barbiche, je n'ai pas trollé depuis trois posts.
- Bonjour Barbiche ! Bienvenue parmi nous ! "

extrait d'une séance des Trolleurs Anonymes (TA).

Image IPB
Image IPB
Image IPB
  • Retour en haut

Posté 25 août 2010 - 21:30

#57
obi76

obi76

    Sunriseur

  • Members
  • PipPip
  • 10 messages
  • Sexe:Male
Merci, c'est le détail qu'il me fallait ^^

Encore désolé...
  • Retour en haut

Posté 26 août 2010 - 08:09

#58
mellos

mellos

    Sunriseur

  • Members
  • PipPip
  • 11 messages
salut,
Je suis actuellement en train de programmer un éventuel émulateur de ce dongle sur psp.Malheureusement, je n'ai pas ce dongle.J'aurai besoin qu'on me poste certain information (qui pourrait être lu sous le panneau de config de windows):
bLength
bDescriptorType
bcdUSB
bDeviceClass
bDeviceSubClass
bDeviceProtocol
bMaxPacketSize
idVendor
idProduct
bcdDevice
iManufacturer
iProduct
iSerialNumber
bNumConfigurations

Thanks

Modifié par mellos, 26 août 2010 - 08:11.

  • Retour en haut

Posté 26 août 2010 - 10:40

#59
obi76

obi76

    Sunriseur

  • Members
  • PipPip
  • 10 messages
  • Sexe:Male
Pourquoi ne pas directement récupérer le signal de la clé et le reprogrammer tel-quel, si les comm sont indépendantes de la PS3 bien entendu...
  • Retour en haut

Posté 26 août 2010 - 11:33

#60
mellos

mellos

    Sunriseur

  • Members
  • PipPip
  • 11 messages

Pourquoi ne pas directement récupérer le signal de la clé et le reprogrammer tel-quel, si les comm sont indépendantes de la PS3 bien entendu...


Il y a deux maniéres de cracker un dongle:
-La plus simple est de sniffer et logger les bytes d'échanges (nécessite dans notre cas du matériel)
-La second est de faire un reverse complet de l'algo utilisé dans la clé(donc un dump )
  • Retour en haut




1 utilisateur(s) li(sen)t ce sujet

0 invité(s) et 1 utilisateur(s) anonyme(s)