As you may know if you’ve been following my progress, last week I took a short break from Wi-Fi Sync to look at the PS3 and how it works behind the scenes. The PS3 homebrew scene is currently at a point where you can install userland packages, such as FTPDs and SNES emulators, but you still don’t have any access to the hypervisor or GameOS kernel. It’s still very much a closed system.

As an iPhone developer with an app on Cydia, I can see great potential within the PS3. It’s crying out for a decent package manager, but you need OS-level access to do that effectively. Unlocking the PS3 in this way has other benefits too; the system can effectively be modified in any way you wish.

So today I’m releasing three tools which open the PS3’s hypervisor (lv1) and GameOS (lv2) to full read/write access from packaged userland applications. These tools can be used to create and test lv1/lv2 patches in RAM, which negates the risk of bricking your PS3 by flashing it with an incorrectly patched lv1 or lv2 binary. You can also use the tools to create a patched lv1 or lv2 binary, if you wish, although I suggest thoroughly testing your patches in-memory first.

I will make a few things clear before continuing: I do not condone piracy and these tools DO NOT enable copied games to run on the PS3. Again: these tools will not allow backup managers to suddenly start working on firmware 3.55. The tools are packaged in source code form and do not include any Sony code or other Sony assets such as encryption keys. If you’re not a developer, these tools will be useless to you, so please do not try to use them. They are made available with no implied warranty of fitness for a particular purpose.

Three tools are being made available today:
resign_self.py. This allows you to automatically replace any segment within a self and re-sign the self so the signatures and hashes are all valid again. Similar to makeself, but it is more suited towards patching lv1 and lv2 (and has been tested for this purpose).
insert_lv1_lv2.py. This is just a convenience ****** I made to take a modified, re-signed lv1.self and lv2_kernel.self, and automatically create a PUP which is identical to an original PUP except for those two files.
lv1dumper. This is an application which runs on the PS3 that you can compile and package using PSL1GHT and geohot’s tools. After running it, lv1 will be mapped at 0x8000000014000000 with read/write access, and you will be able to poke lv2 without the system shutting down. It disables the new lv2 memory hashing feature Sony added to 3.55 (probably to stop future USB jailbreaks).

lv1dumper requires that some patches to lv1 and lv2 are already in place. I’ll describe how to add these patches. They have been tested but I cannot guarantee that they won’t brick your PS3. Do not do this unless you’re comfortable with that.

Firstly, you need to extract the decrypted code segments from lv1.self and lv2_kernel.self (just use unself and copy them directly out of the ELF), and make the following changes to to them, assuming you’re using 3.55:
lv1_undocumented_function_114 in lv1 must be patched so that it can be used to map any area of real memory. graf_chokolo found this trick months ago, but it still applies here. Patch the byte at D5A47 from 00 to 01 (2D5A47 if you’re looking for it in IDA).
You then need to add peek and poke to lv2. Patch 1933C to E8 63 00 00 60 00 00 00 and 19348 to F8 83 00 00 60 00 00 00.

You can then use resign_self.py to re-insert your patched code segment back into the self. You’ll firstly need to change a few bytes in some useless strings because of the way zlib deflate works; the ****** will tell you what to do. I found that changing strings was the easiest way to do this, it just takes a bit of trial and error.

Finally, use insert_lv1_lv2.py to create your modified PUP. You’ll need to update to the PUP, then install geohot’s jailbreak PUP over the top of it. If you’ve done everything right, lv1dumper should just exit after you run it and you’ll have r/w access to lv1 and lv2 (peek and poke). The lv1_peek, lv1_poke, lv2_peek and lv2_poke functions in lv1dumper show how to use that access.

I’m hoping that some interesting and innovative stuff can come out of this, and maybe we can start to see ‘unofficial’ apps enjoying the same success on the PS3 that they do on the iPhone.

перевод!!!
перевёл через переводчик ибо текста много но тем не менее все понятно))
Вы можете знать если наблюдали за моей работой на прошлой неделе я сделал короткий перерыв от разработки Синхронизации по WIFI для iPhone, чтобы доделать работу с PS3. Homebrew на PS3 в настоящее время на этапе, где Вы можете установить userland пакеты, такие как FTPDs и эмуляторы SNES, но у Вас все еще нет никакого доступа к ядру GameOS или hypervisor. Это - все еще очень закрытая система.
Как разработчик iPhone с приложением на Cydia, я могу видеть большой потенциал в пределах PS3. Это жить не может без приличного диспетчера пакетов, но Вы нуждаетесь в доступе на уровне OS, чтобы сделать это эффективно. Разблокирование PS3 таким образом обладает другими преимуществами также; система может эффективно быть изменена в любом случае,как Вы желаете.

Так сегодня я выпускаю три инструмента, которые открывают hypervisor PS3 (lv1) и GameOS (lv2) к полному доступу чтения-записи из упакованных userland программ. Эти инструменты могут использоваться, чтобы создать и проверить участки lv1/lv2 в RAM, которая отрицает риск брика Вашей PS3, высвечивая это с неправильно исправленным lv1 или lv2 набором из двух предметов. Вы можете также использовать инструменты, чтобы создать исправленный lv1 или lv2 набор из двух предметов, если Вы желаете, хотя я предлагаю полностью проверить Ваши участки в памяти сначала.

Я ясно дам понять несколько вещей перед продолжением: Я не потворствую пиратству, и эти инструменты НЕ позволяют скопированным играм работать на PS3. Снова: эти инструменты не будут позволять бэкап менеджерам внезапно начинать работать над программируемым оборудованием 3.55. Инструменты упакованы в исходном коде, не формируют и не включают секретных материалов Sony или других активов Sony, таких как ключи шифрования. Если Вы не будете разработчиком, то эти инструменты будут бесполезны Вам, так, пожалуйста, не пытайтесь использовать их. Они сделаны доступными без подразумеваемой гарантии пригодности для конкретной цели.

Сегодня три инструмента стали доступными:
resign_self.py. Это позволяет Вам автоматически заменять любой сегмент в пределах сам и уходить в отставку сам так подписи, и мешанины все действительны снова. Подобный makeself, но это является более подходящим к внесению исправлений lv1 и lv2 (и был проверен с этой целью).
insert_lv1_lv2.py. Это - только подлинник удобства, который я сделал, чтобы взять измененный, оставил lv1.self и lv2_kernel.self, и автоматически создайте PUP(файл прошивки), который идентичен оригинальному PUP(файл прошивки) за исключением тех двух файлов.
lv1dumper. Это - заявление, которое бежит на PS3, который Вы можете собрать и пакет, используя инструменты geohot и PSL1GHT. После управления этим lv1 будет нанесен на карту в 0x8000000014000000 с доступом чтения-записи, и Вы будете в состоянии ткнуть lv2 без закрывающейся системы. Это повреждает новую lv2 память, крошащую особенность Sony, добавленная к 3.55 (вероятно, чтобы остановить будущие побеги из тюрьмы USB).
lv1dumper требует, чтобы некоторые участки к lv1 и lv2 уже были в месте. Я опишу, как добавить эти участки. Они были проверены, но я не могу гарантировать, что они не будут облицовывать Ваш PS3 кирпичом. Не делайте этого, если Вы не довольны этим.

Во-первых, Вы должны извлечь расшифрованные сегменты кода из lv1.self, и lv2_kernel.self (только используют unself и копируют их непосредственно из ЭЛЬФА), и произведите следующие изменения в ним, предполагая, что Вы используете 3.55:
lv1_undocumented_function_114 в lv1 должен быть исправлен так, чтобы это могло использоваться, чтобы нанести на карту любую область реальной памяти. graf_chokolo нашел эту уловку несколько месяцев назад, но это все еще применяется здесь. Исправьте байт в D5A47 от 00 до 01 (2D5A47, если Вы ищете это в МЕЖДУНАРОДНОЙ АССОЦИАЦИИ РАЗВИТИЯ).
Вы тогда должны добавить быстрый взгляд и ткнуть к lv2. Участок 1933C к E8 63 00 00 60 00 00 00 и 19348 к F8 83 00 00 60 00 00 00.
Вы можете тогда использовать resign_self.py, чтобы повторно вставить Ваш исправленный сегмент кода назад в сам. Вы должны будете во-первых измениться на несколько байтов в некоторых бесполезных последовательностях из-за пути zlib, выкачивают работы; подлинник скажет Вам, что сделать. Я нашел, что изменение натягивает, был самый легкий способ сделать это, только требуется немного метода проб и ошибок.
Наконец, используйте insert_lv1_lv2.py, чтобы создать Вашего измененного PUP(файл прошивки). Вы должны будете обновить PUP(файл прошивки), затем установить PUP(файл прошивки) побега из тюрьмы geohot поверх этого. Если Вы сделали все правильно, lv1dumper должен только выйти после того, как Вы будете управлять им, и у Вас будет r/w доступ к lv1, и lv2 (посмотрите и ткните). lv1_peek, lv1_poke, lv2_peek и lv2_poke функционирует на шоу lv1dumper, как использовать тот доступ.
Я надеюсь, что некоторый интересный и инновационный материал может выйти из этого, и возможно мы можем начать видеть, что 'неофициальные' приложения обладают тем же самым успехом на PS3, который они делают на iPhone.
.