Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden wertlos!)

Dieses Thema im Forum "Konsolen" wurde erstellt von L!Ld4rk, 29. August 2011 .

  1. #1 29. August 2011
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    Es gibt einen neuen Xbox 360 Hack.
    Dieser basiert nicht wie der JTAG-Hack auf einen Software Exploit, sondern auf einen Hardware-Exploit.

    Um ihn zu fixen, muss M$ neue Hardware auf den Markt bringen. Er soll wohl mit Xenon Boads NICHT funktionieren (erste generation), jedoch mit allen. JA auch mit der slim!

    {img-src: //}

    * The Xbox 360 reset glitch hack *
    Introduction / some important facts
    tmbinc said it himself, software based approaches of running unsigned code on the 360 mostly don't work, it was designed to be secure from a software point of view.
    The processor starts running code from ROM (1bl) , which then starts loading a RSA signed and RC4 crypted piece of code from NAND (CB).
    CB then initialises the processor security engine, its task will be to do real time encryption and hash check of physical DRAM memory. From what we found, it's using AES128 for crypto and strong (Toeplitz ?) hashing. The crypto is different each boot because it is seeded at least from:
    - A hash of the entire fuseset.
    - The timebase counter value.
    - A truly random value that comes from the hardware random number generator the processor embeds. on fats, that RNG could be electronically deactivated, but there's a check for "apparent randomness" (merely a count of 1 bits) in CB, it just waits for a seemingly proper random number.
    CB can then run some kind of simple bytecode based software engine whose task will mainly be to initialise DRAM, CB can then load the next bootloader (CD) from NAND into it, and run it.
    Basically, CD will load a base kernel from NAND, patch it and run it.
    That kernel contains a small privileged piece of code (hypervisor), when the console runs, this is the only code that would have enough rights to run unsigned code.
    In kernel versions 4532/4548, a critical flaw in it appeared, and all known 360 hacks needed to run one of those kernels and exploit that flaw to run unsigned code.
    On current 360s, CD contains a hash of those 2 kernels and will stop the boot process if you try to load them.
    The hypervisor is a relatively small piece of code to check for flaws and apparently no newer ones has any flaws that could allow running unsigned code.
    On the other hand, tmbinc said the 360 wasn't designed to withstand certain hardware attacks such as the timing attack and "glitching".
    Glitching here is basically the process of triggering processor bugs by electronical means.
    This is the way we used to be able to run unsigned code.
    The reset glitch in a few words
    We found that by sending a tiny reset pulse to the processor while it is slowed down does not reset it but instead changes the way the code runs, it seems it's very efficient at making bootloaders memcmp functions always return "no differences". memcmp is often used to check the next bootloader SHA hash against a stored one, allowing it to run if they are the same. So we can put a bootloader that would fail hash check in NAND, glitch the previous one and that bootloader will run, allowing almost any code to run.
    Details for the fat hack
    On fats, the bootloader we glitch is CB, so we can run the CD we want.
    cjak found that by asserting the CPU_PLL_BYPASS signal, the CPU clock is slowed down a lot, there's a test point on the motherboard that's a fraction of CPU speed, it's 200Mhz when the dash runs, 66.6Mhz when the console boots, and 520Khz when that signal is asserted.
    So it goes like that:
    - We assert CPU_PLL_BYPASS around POST code 36 (hex).
    - We wait for POST 39 start (POST 39 is the memcmp between stored hash and image hash), and start a counter.
    - When that counter has reached a precise value (it's often around 62% of entire POST 39 length), we send a 100ns pulse on CPU_RESET.
    - We wait some time and then we deassert CPU_PLL_BYPASS.
    - The cpu speed goes back to normal, and with a bit of luck, instead of getting POST error AD, the boot process continues and CB runs our custom CD.
    The NAND contains a zero-paired CB, our payload in a custom CD, and a modified SMC image.
    A glitch being unreliable by nature, we use a modified SMC image that reboots infinitely (ie stock images reboot 5 times and then go RROD) until the console has booted properly.
    In most cases, the glitch succeeds in less than 30 seconds from power on that way.
    Details for the slim hack
    The bootloader we glitch is CB_A, so we can run the CB_B we want.
    On slims, we weren't able to find a motherboard track for CPU_PLL_BYPASS.
    Our first idea was to remove the 27Mhz master 360 crystal and generate our own clock instead but it was a difficult modification and it didn't yield good results.
    We then looked for other ways to slow the CPU clock down and found that the HANA chip had configurable PLL registers for the 100Mhz clock that feeds CPU and GPU differential pairs.
    Apparently those registers are written by the SMC through an I2C bus.
    I2C bus can be freely accessed, it's even available on a header (J2C3).
    So the HANA chip will now become our weapon of choice to slow the CPU down (sorry tmbinc, you can't always be right, it isn't boring and it does sit on an interesting bus Augenzwinkern
    So it goes like that:
    - We send an i2c command to the HANA to slow down the CPU at POST code D8 .
    - We wait for POST DA start (POST DA is the memcmp between stored hash and image hash), and start a counter.
    - When that counter has reached a precise value, we send a 20ns pulse on CPU_RESET.
    - We wait some time and then we send an i2c command to the HANA to restore regular CPU clock.
    - The cpu speed goes back to normal, and with a bit of luck, instead of getting POST error F2, the boot process continues and CB_A runs our custom CB_B.
    When CB_B starts, DRAM isn't initialised so we chose to only apply a few patches to it so that it can run any CD, the patches are:
    - Always activate zero-paired mode, so that we can use a modified SMC image.
    - Don't decrypt CD, instead expect a plaintext CD in NAND.
    - Don't stop the boot process if CD hash isn't good.
    CB_B is RC4 crypted, the key comes from the CPU key, so how do we patch CB_B without knowing the CPU key?
    RC4 is basically:
    crypted = plaintext xor pseudo-random-keystream
    So if we know plaintext and crypted, we can get the keystream, and with the keystream, we can encrypt our own code. It goes like that:
    guessed-pseudo-random-keystream = crypted xor plaintext
    new-crypted = guessed-pseudo-random-keystream xor plaintext-patch
    You could think there's a chicken and egg problem, how did we get plaintext in the first place?
    Easy: we had plaintext CBs from fat consoles, and we thought the first few bytes of code would be the same as the new CB_B, so we could encrypt a tiny piece of code to dump the CPU key and decrypt CB_B!
    The NAND contains CB_A, a patched CB_B, our payload in a custom plaintext CD, and a modified SMC image.
    The SMC image is modified to have infinite reboot, and to prevent it from periodically sending I2C commands while we send ours.
    Now, maybe you haven't realised yet, but CB_A contains no checks on revocation fuses, so it's an unpatchable hack !
    Nothing is ever perfect, so there are a few caveats to that hack:
    - Even in the glitch we found is pretty reliable (25% success rate per try on average), it can take up to a few minutes to boot to unsigned code.
    - That success rate seems to depend on something like the hash of the modified bootloader we want to run (CD for fats and CB_B for slims).
    - It requires precise and fast hardware to be able to send the reset pulse.
    Our current implementation
    We used a Xilinx CoolRunner II CPLD (xc2c64a) board, because it's fast, precise, updatable, cheap and can work with 2 different voltage levels at the same time.
    We use the 48Mhz standby clock from the 360 for the glitch counter. For the slim hack, the counter even runs at 96Mhz (incremented on rising and falling edges of clock)
    The cpld code is written in VHDL.
    We need it to be aware of the current POST code, our first implementations used the whole 8 bits POST port for this, but we are now able to detect the changes of only 1 POST bit, making wiring easier.
    We tried not to include any MS copyrighted code in the released hack tools.
    The purpose of this hack is to run Xell and other free software, I (GliGli) did NOT do it to promote piracy or anything related, I just want to be able to do whatever I want with the hardware I bought, including running my own native code on it.
    GliGli, Tiros: Reverse engineering and hack development.
    cOz: Reverse engineering, beta testing.
    Razkar, tuxuser: beta testing.
    cjak, Redline99, SeventhSon, tmbinc, anyone I forgot... : Prior reverse engineering and/or hacking work on the 360.

    Passend dazu noch paar Videos:

    Es wird ein Cool-Runner II Dev-Board Benötigt, die Kosten belaufen sich auf ungefähr 13€, und zur zeit ist es noch NICHT möglich backups davon abzuspielen. die kompletten homebrews müssen für den hack angepasst werden.

    auch gibt es noch paar probleme mit xell. dieser startet nicht auf anhieb und braucht erst paar anläufe.

    zur zeit lohnt es sich, das ganze erst zu beobachten. es wird noch einige zeit verstreichen, bis es wirklich massentauglich wird.

    falcon boards werden noch dazu kommen. diese werden grad getestet.


    ich werde mir so ein dev-board kaufen und etwas an meiner gebannten konsole rumlöten.

    was haltet ihr davon?

    (nein kein fake! nein nicht fixable per update! nein xbl wird wahrscheinlich nicht gehen!)
  2. #2 29. August 2011
    AW: Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden nutzlos!)

    XeLL Reloaded, Codename 2Stages wurde released. Die modifizierte bzw. stark aktualisierte und weitaus umfangreichere XeLL Version von Cancerous, [cOz], Ced2911, GliGli, RedLine99 und Tuxuser kann auf eigene Gefahr auf Eure JTAG bzw. Reset Glitch Hack Konsolen geflasht werden.
  3. #3 29. August 2011
    AW: Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden nutzlos!)

    Lustig dass die Dev Boards sofort wieder überall ausverkauft sind.

    Naja werde mir morgen vielleicht mal ne Slim holn. Jedenfalls wenn es noch eine in Piano Schwarz gibt.
    Und dann erstmal paar Wochen abwarten und beobachten.

    Dumm für die Entwickler des x360Key. Die schauen nun wieder in die Röhre
  4. #4 29. August 2011
    AW: Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden nutzlos!)

    gewagter threadtitel wenn man dann später doch ganz kleinlaut sagt, dass alles in der entwicklungsphase ist.

    naja, große worte!

    freut mich für die community

    zwar schade fürs ausgegebene geld ...aber lieber auf rauchen und saufen verzichten und dafür ne saubere jtag in reserve zu haus stehen haben!
    btw: bei 360hacks steht was von ca. 50EUR kosten ...kein plan wie du auf deine 13EUR kommst.
    und wenn das nur ein bestandteil ist, dann ist die beschreibung unvollständig!
  5. #5 29. August 2011
    AW: Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden nutzlos!)

    13 mark fürs devboard
  6. #6 29. August 2011
    AW: Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden nutzlos!)

    Zudem warum sollten JTAG Konsolen nutzlos werden??(
  7. #7 29. August 2011
    AW: Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden nutzlos!)

    weil die konsolen für 500EUR vertickt werden.

    war falsch gewählt von mir....sagen wir eher "wertlos"

    //edit: @S3ThCoLe diesbezüglich habe ich noch nie it gepostet man erinner sich an meinen ps3 usb hack thread.

    ebenso funktioniert es. dass es noch in entwicklung ist sollte einem klar sein. dafür gibt es halt noch nichts aber es funktioniert. ist für dich vllt nutzlos, für die devs aber nicht.
  8. #8 29. August 2011
    AW: Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden nutzlos!)

    Endlich mal wieder eine erfreuliche Nachricht für alle Xbox´ler.
    Der Hack steckt zwar noch in den Kinderschuhen wird sich aber falls die Entwicklung schnell genug geht, mMn durchsetzen, da erstens die Kosten sehr gering sind und zweitens keine ständigen Ausgaben für Rohlinge von Nöten sind. Hoffen wir mal, dass es zügig voran geht und die Xbox so noch ein wenig offener wird als sie es ohnehin schon ist. Was mich besonders reizt ist es, dass es anscheinend möglich ist, dass man seine favorisierten Gamez endlich mit einem DLC aufwerten kann und so wieder neues in einem alten Spiel erleben kann
  9. #9 29. August 2011
    AW: Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden wertlos!)

    Hier mal der Bericht von dazu :

    Hacker überwinden angeblich Sicherheitssystem der Xbox 360

    Weil die Hacker das Sicherheitssystem der Software der Xbox 360 nicht überwinden konnten, leiteten sie Störsignale auf die Hardware-Platine der Konsole. Vergrößern
    Bild: GliGli Die beiden Hacker GliGli und Tyros haben am Wochenende eine Beschreibung und ein Youtube-Video veröffentlicht, die zeigen, wie sie das Sicherheitssystem von Microsofts Spielkonsole Xbox 360 überwunden haben, um eigenen Code einzuschleusen und auszuführen. Im Unterschied zu bisherigen Attacken, die entweder auf die Laufwerke abzielten oder Fehler in der Spiele-Software ausnutzten, galt der neue Angriff der CPU und könne durch künftige Software-Updates seitens Microsoft nicht mehr abgewehrt werden, behaupten die Hacker.

    Um die Sicherheitsabfragen der Xbox 360 zu überwinden, verlangsamten die Angreifer den CPU-Takt während des Boot-Prozesses. Dazu nutzten sie etwa beim Slim-Modell einen von außen zugänglichen Bus (I2C) des HANA-Chips, um die Teilerregister im Taktgenerator neu zu beschreiben. Beim Runtertakten sendeten sie mit einer aufgelöteten Platine zu einem bestimmten Zeitpunkt einen 20 Nanosekunden dauernden Impuls auf der Reset-Leitung. Dieser bewirke laut ihrer Beschreibung allerdings keinen Neustart der CPU. Anschließend takteten sie die CPU wieder hoch. Nach Meinung der beiden Hacker lässt sich so ein Befehl zum Vergleichen von Speicherbereichen (memcmp) manipulieren. Mit etwas Glück führt dies dazu, dass die Xbox die Signatur eines Bootloaders nicht richtig prüft – womit man eigene Bootloader starten kann.

    Für diesen würden keine Überprüfungen der Revokation-Sicherungen mehr stattfinden, sodass der Eingriff durch ein Software-Update nicht verhindert werden könne. In dem Video starten die Hacker einen Linux Loader (Xell) und einen N64-Emulator. Der Angriff soll unabhängig von der aufgespielten Firmware- oder Dashboard-Version funktionieren. Allerdings brauche es durchschnittlich vier Versuche, bis der Reset-Impuls die gewünschte Wirkung hervorrufe. Verwundbar seien die neuen Slim-Modelle der Konsole und die letzte Revision (Jasper) der älteren Modellreihe. An den ersten Hardware-Generationen der Xbox 360, deren Netzteil noch für 175 Watt oder mehr ausgelegt ist (Xenon, Falcon), wurde der Angriff bislang nicht getestet. (hag)
  10. #10 30. August 2011
    AW: Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden wertlos!)

    Team Xecuter bringt jetzt ein NAND Kit raus im Forum schreiben sie die Produktion hat angefangen.

    mfg Gman
  11. #11 30. August 2011
    AW: Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden wertlos!)

    Echt cool

    Denke an dieser Stelle ist es angebracht den gesamten Beitrag des Xecuter Teams zu zitieren, damit jeder weiß worums geht:

    Ich find spitze, dass sich wieder was tut in Sachen Xbox 360 Hack Hoffe das es nicht zu lange dauert sonst ist die Xbox 3 schneller da ^^
  12. #12 19. März 2012
    AW: Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden wertlos!)

    hat es schon einer von euch ausprobiert, wollte meine xbox die tage mal fertig machen lassen
  13. #13 19. März 2012
    AW: Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden wertlos!)

    Schon lange
    Läuft bestens.
    Kommt aber auch auf deine Box an. Bzw. jede Box glitcht anders. Ich hab bis jetzt meine Slim und noch 3 Slims von paar Kumpels umgebaut. Die glitchen alle in höchstens 20 Sekunden.
    Man kann aber auch pech haben und die Box braucht mehrere Minuten um zu booten. Besonders Jasper Boxen sollen da sehr rumzicken. Da muss man dann sehr viel probieren mit Kabellängen und Kondensatoren.
    Wenn dus nicht selber machen kannst dann such dir nen Privaten Flasher. Die Shops sind nicht nur teuer sondern liefern in den meisten fällen auch schlechtere Arbeit ab.
  14. #14 20. März 2012
    AW: Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden wertlos!)

    hast du auch eins der sachen drauf?

    Das XeXMenu ist wie der Explorer. Damit ist es möglich auf das Datensystem der Xbox360 zu zugreifen und Ordner und Daten zu verschieben/kopieren und zu löschen. Wie man dies auch auf einen Rechner kennt. Dies ist auch per FTP möglich. Das XeXmenu ist somit für die ersten schritte, um weitere Programme zu installieren sehr wichtig.

    ist ein alternatives Dashboard. Dort kannst kannman sich alle games die man auf der festplatte hat anzeigen lassen, dies sogar mit Cover (sehe Video). aber auch Supernintendo/N64/... Emulatoren kann man von dort aus direkt starten. Natürlich in einer schönen Übersicht.
    Games direkt vom PC aus, durch FTP-Zugang streamen.

    Auch nach den Glitch Hack bottet die Xbox360 ganz notmal in das Originale Dashboard. Durch den DashLaunch ist es möglich, dass direkt FSD/ReX gebootet wird. Man kann dies durch drücken von Tasten beim booten beeinflussen. z.B: Knopf X = FSD, Knopf Y = XeXmenu
  15. #15 20. März 2012
    AW: Xbox 360 Reset Glitch Hack (ja, jtag konsolen werden wertlos!)

    Ich nutze auf meinen Boxen das FSD. Find ich am besten. XeXMenü ist im prinzip das selbe nur mMn etwas unübersichtlicher.
    RxE soll die nächste Version vom FSD sein. Ist aber noch nicht draußen.

    Und dank Dashlaunch startet die Box auch automatisch ins FSD. Das normale Dash nutze ich überhaupt nicht mehr. Ist eh total hässlich

  16. Videos zum Thema
    Video Script
Die Seite wird geladen...

Ähnliche Themen mit den Stichworten: Xbox 360 Reset

  1. Alte Xbox 360 per HDMI anschließen
    bigbear467, 3. Februar 2016 , im Forum: Gamer Support
  2. Antworten:
  3. Antworten:
  4. Antworten:
  5. Xbox 360 Cloud Speicher
    bur, 16. Januar 2015 , im Forum: Konsolen