PSPx форум
Страница 8 из 20 « Первая 4 5 6 7 8 9 10 11 12 18 Последняя »
Показывать 40 сообщений этой темы на одной странице

PSPx форум (https://www.pspx.ru/forum/index.php)
-   PSP хакинг и девелопмент (https://www.pspx.ru/forum/forumdisplay.php?f=195)
-   -   Размышления о возможностях взлома ТА88v3 (https://www.pspx.ru/forum/showthread.php?t=86864)

Boryan 27.03.2010 17:13
ErikPshat, А ты залей свою сборку куда нибудь. Я её могу проверить на любой модели PSP.
Цитата:
Ага, сразу 4 трояна сами себя скопировали на стик. Если комп заражен, то активен обычно один вирус, который сам себя распространяет при открытии папок, но не 4 сразу. Причём здесь не самораспространяющиеся вирусы, а трояны. И кто такому нубу из нубов доверил такую ценную флешку, неужели в корпорации Sony?
Думаю, что трояны были записаны на флэху умышленно и вероятно с этой-же целью образ распространялся.
Ни кто не с какой целью туда вирусню не пихал. Поверь мне. Просто эту карту многие пытались копировать, и есно не на одном компе. И специально этот образ ни кто не распространяет :) Тот дамп что я выложил, есть дамп из первых рук ;) И он реально с флехи снят. Что на ней было в момент снятия дампа, то и снялось.

Alex14435 27.03.2010 17:36
Короче, что это за файлы, хз. У них стёрт заголовок, в итоге они не запускаются как exeшники. Если сможешь убрать из заголовка троян код и починить файлы, может будет что интересное)

ErikPshat 27.03.2010 17:57
Alex14435, с троянами всё в порядке. Заголовок на месте, упакованы PE Compact-ом. И они запускаются как экзешники ))), только в инвизе.
При подключении такой сервисной флехи к компу, сразу запускается авторан (autorun.inf), который запускает автоматом исполняемый файл с флешки: o9bxu.exe.
Всё происходит в тихом режиме. Пользователь даже не заметит как всё быстро произойдёт, если не стоит антивирус )))
Этот файл сразу копирует себя с флешки на комп в 2 места:
  1. C:\Windows\userinit.exe
  2. C:\Windows\system32\system.exe
И прописывает себя в реестр - на автозагрузку при каждом включении компа. Так что, прощай все пароли к мылам, на форумы, номера кредитных карточек, Веб-мани и т.п. :D

Просто этот образ итак вызывает сомнения, а тут ещё с такими троянами ещё в 2 раза больше можно засомневаться, что это не розыгрыш.

Yoti 27.03.2010 18:06
ErikPshat,
пересмотри посты на куджее)

Alex14435 27.03.2010 18:13
Нет, образ полностью рабочий

ErikPshat 27.03.2010 23:35
Цитата:
Сообщение от Boryan (Сообщение 876476)
Ни кто не с какой целью туда вирусню не пихал. Поверь мне. Просто эту карту многие пытались копировать, и есно не на одном компе. И специально этот образ ни кто не распространяет :) Тот дамп что я выложил, есть дамп из первых рук ;) И он реально с флехи снят. Что на ней было в момент снятия дампа, то и снялось.
Сорри, приношу извинения! Паника отменяется )))

Разобрался полностью с образом.
Вирусов на карточке, на момент снятия образа, не было!

Вернее они были когда-то, но их удалили. Дело в том, что при удалении или даже после форматирования, файлы на самом деле не удаляются, а просто затирается первый символ из названия файла, которое хранится отдельно, в специальном блоке вначале.

А так как я извлекал все файлы вручную из образа от начала до конца, то вытащил заодно и все якобы удалённые файлы, которые оказались троянами с автораном inf. То, что они были удалены, я сообразил потом, обратив внимание на то, что у этих файлов первая буква в названии отсутствовала, тогда как у других файлов присутствовала. Хотя это давно известно, но здесь я этого сразу не учёл. Зато закрепил знания ))).

Немного инфы о структуре записи файлов
Вот эта служебная область почти в начале карты памяти. Здесь записывается структура Папок и Файлов, находящихся на карте, в порядке записи.
  1. Видно, что сначала были записаны MEMSTICK.IND и MSTK_PRO.IND
  2. Затем была создана папка PRX
  3. После был записан файл PSPBTCNF.TXT
  4. Затем были созданы папки: VSH, ID, JIG.
  5. Далее видно, что были на карте, а затем удалены файлы: Secret.exe, AUTORUN.INF, 01VMQ.EXE и т.д. Это как раз были вирусы. Что они удалены, видно по удалённому первому символу из названия, написанного ЗАГЛАВНЫМИ буквами.
http://s61.radikal.ru/i173/1003/fa/d03809f9f4a6.png

Ниже я выделил в прямоугольник область, чтобы более уточнить детали.
Рассмотрим снизу вверх (область справа).
  1. Тут внизу видем GUYEN~1EXE - заглавными буквами пишется сокращённое Досовское название (не более 8 символов, не считая расширение после точки). Здесь первый символ "N" удалён от названия NGUYEN~1EXE, что означает, что файл был удалён.
  2. Выше видим 2 строки с полным названием файла + 2 строки ещё выше, как продолжение названия, если оно длинное. Название в каждых 2-ух строках, как видно, записывается в определённой последовательности, строго по формуле:
    • 1-я строка: 1-3-5-7-9-E
    • 2-я строка: 0-2-4-6-8-C-E
  3. Итак, получается - Nguyen Tu Quang.exe
Далее выше записаны точно так-же аналогично остальные файлы. Отличие у них только в том, что первый символ у названия ЗАГЛАВНЫМИ буквами - не удалён. Значит они реально присутствуют на карте.

http://s58.radikal.ru/i161/1003/03/8e0aef8d1b9f.png

Все эти перечисленные файлы (тела) находятся дальше, сразу после этой служебной таблицы, в такой-же последовательности и конечно без названий, т.к. названия записаны здесь.

Каждый новый файл может начинаться только с нового блока, даже если предыдущие секторы свободны. 1 блок - 32 сектора по 512 байт.

Все удалённые файлы так-же остаются целыми на карте памяти, просто они становятся невидымы. Они затираются, когда на это место запысываются новые файлы, по мере заполнения карточки.
Кстати, вот что по этому поводу выдают в сети: http://tinyurl.com/yfllreo
Цитата:
Сообщение от ErikPshat (Сообщение 876383)
И ещё 4 странных сопутствующих файла рядышком:
  • o9bxu.exe
  • 01vmq.exe
  • secret.exe
  • Nguyen Tu Quang.exe
Сборку выложу позже, как всё соберу и рассортирую

ANDPSP 28.03.2010 00:57
Цитата:
Сообщение от ErikPshat (Сообщение 876542)
Сорри, приношу извинения! Паника отменяется )))
Вот ты напрягся :-) Там этих авторанов с комами и екзешниками пара десятков, при восстановлении данных только три проявляют активность но каспер рубит их на корню. Думаю вряд ли они влияют на работоспособность ipl и prx... Тебе так и не удалось запустить ipl и декриптованные файлы на своей консоли ? у тебя вроде ж фатка....

Цитата:
Сообщение от ErikPshat (Сообщение 876542)
Сборку выложу позже, как всё соберу и рассортирую
Интересно а что именно ты собрался выкладывать ?

И еще объясните плиз почему некоторые проги пашут только под кернел 1.5 - это связано с кернел эксплойтом на старых моделях и прошивках, а на новых доступен только юзер эксплойт ? Т.е на 5.03Gen нельзя получить доступ к системным функциям или просто никто не знает как переписать старые проги ?

ErikPshat 28.03.2010 01:10
Цитата:
Сообщение от ANDPSP (Сообщение 876577)
И еще объясните плиз почему некоторые проги пашут только под кернел 1.5
Это связано с тем, что потом, на 3-их прошивках полностью изменили ядро, названия папок, расположение файлов. Поэтому на старших прошивках, нужно во флешь записать прошивку 1.5 (урезанное ядро прошивки 1.5).

ErikPshat 28.03.2010 03:24
Вложений: 7
Цитата:
Сообщение от Boryan (Сообщение 876476)
ErikPshat, А ты залей свою сборку куда нибудь. Я её могу проверить на любой модели PSP.
Комплект сервисной карты и MSID Dumper:
Структура папок в архиве:
  • Extracted Files Original - все оригинальные извлечённые файлы с образа - по сути комплект сервисной карты.
  • MSID 512mb Original - это дамп MSPro ID оригиальной сервисной карты, снятый с помощью MSID Dumper
  • Original Dump MS - полный образ сервисной карты в формате IMG. Можно посмотреть через WinHex.
  • Write IPL to MS - утилита записи сервисного IPL-загрузчика в 16-ый сектор карты памяти. Сам IPL уже там лежит: multiloader_ipl.bin

Изготовление волшебной сервисной карты:
  1. Необходима карта MS PRO DUO неоригинал на 512 Мб, 2 Гб или 4 Гб.
  2. Оригинал SONY не подходит, т.к. имеет свои чипы нанда и к ним нет спецификаций (даташита) и программаторов.
    Такие оригиналы НЕ подходят
    Это MS PRO DUO Mark2.
    Контроллёр, микросхема и плата залиты в один монолитный корпус, даташитов к ним нет и программатор к ним не найдёшь.

    Вложение 3812
    Вложение 3813
  3. Скачиваем "MSID Dumper", вставляем карту памяти в PSP и запускаем программу. Видим на экране номер "Серийный номер" и MSProID вашей карточки и записываем, хотя дамп области MSID всё равно сохранится в корне карты памяти и вы можете его потом посмотреть хекс-редактором. Это вам может пригодиться, когда вы будете искать эти данные в дампе микросхемы.
  4. Тонким скальпелем располовиниваем корпус карты пополам, не поностью, а только заднюю часть и чуть больше половины по краям.
  5. Затем пинцетом достаём из корпуса плату, она не приклеена, а просто лежит в пазах.
  6. Из платы выпаиваем микросхему памяти (nand), которая самая большая 48 ножек. Рядом небольшой квадратный контроллёр памяти, его не трогаем.
    Подходящие карты памяти и nand
  7. Вставляем микросхему в программатор с панелькой TSOP-48 под эту микросхему: http://www.soft-center.ru/reader/
  8. Нужно учитывать, что с виду карты одинаковые, но внутри могут быть разные нанды, например Hynix или Samsung. Поэтому под вашу микросхему уже потом ищется программатор. Смотрим список поддерживаемых микросхем: http://www.soft-center.ru/reader/NAND_List.php Hynix, насколько я знаю, все имеют одинаковый стандарт выводов по даташиту среди TSOP-48, поэтому если буквы или цифры отличаются от списка поддерживаемых моделей, то это не имеет значения.
  9. Микросхема вставляется в панельку программатора очень просто, там она имеет конструкцию прищепки, нажимаем сверху на панельку, контакты отходят, ставится микруха и отпускается панелька, контакты прижимаются к ножкам микросхемы, так что новичку это как два пальца об асфальт.
  10. Далее, программатор подключается к компьютеру, с заранее установленной программой, поставляемой с программатором. В программе указывается диапазон страниц, которые нужно сдампить и дампится часть памяти.
  11. Сразу дампить 2 Гб всей памяти очень долго, да и не нужно. Сразу скажу, что нужная нам служебная область, где прописан MS ID карты, выступающий в роли ключа декриптовки файлов анбрикера, находится в самом конце микросхемы, во 2-ом банке. Данная область находится на микросхемах Hynix HY27UH08AG5M 2Гб или аналогах, т.к. она состоит из двух банков памяти по 1 Гб. Поэтому нужно сдампить только последние несколько страниц 2-го банка. Программатор сам покажет, на какой странице заканчивается нанд. Вам нужно указать только диапазон (от и до). В моём случае эта страница с MSID находится в диапазоне 07FFC4-07FFC5
  12. Затем, открывается файл дампа в хекс-редакторе, вводите в поиск, что нужно искать, а именно кусок хекс-кода MSID: 204D5350534E5930, что в буквенном выражении означает _MSPSNY0, то есть, это половина 16-значного ключа MSID, которая у всех карт памяти MS PRO DUO одинаковая.
    Скриншот MSID
  13. Если не нашли, значит дампим следующие несколько страниц от конца, пока не найдем искомое. Узнав адрес, теперь снимаем только одну страницу, где находится MSID - это ровно 512х4+16х4=2048+64=2112 байт. Микросхему, по спецификации, можно считывать и записывать не менее этого размера, т.е. постранично, но можно сразу больше, многостранично.
  14. В хексе меняем 16-значный ID данной карты на ID той карты, с которой был снят комплект оригинальной сервисной карты. Необходимый код ID вы найдёте в папке "MSID 512mb Original" в файле ID.txt.
    Дело в том, что каждый сервисный комплект шифруется уникальным MSID той карты, на которую он записывается, а соответственно им же и расшифровываются все файлы при работе. Это точно так же, как вы делаете запароленный архив WinRAR - какой пароль устанавливаете, таким же паролем разархивируете.
  15. После замены ID, не забудьте сохранить файл. Затем обратно вшиваем этот дамп страницы по тому же адресу, откуда сдампили.
  16. Впаиваем микросхему на место. Тут нужна осторожность, чтобы не перегреть микросхему и не замкнуть ножки припоем, т.к. ножки мелкие и находятся очень близко друг к другу. Контролируем пайку через лупу, как минимум тут потребуется 8-кратная, профессионалы в мастерских это делают через микроскоп. Хотя профи паяют с закрытыми глазами, но тут нужен опыт, хороший флюс, который сам притягивает припой к ножкам, оплётка, чтобы снимать излишки припоя и т.п.
  17. Форматируем изготовленную карту памяти на PSP.
  18. Из папки "Write IPL to MS" запускаем "install_psp_ms_multi_loader_ipl.cmd"
  19. Только после этого, делаем подключение PSP к компьютеру.
  20. В окне консоли видим, как определяется флешка и нажимаем английскую "Y"
  21. Видим сообщение "Write MS BOOT CODE" - значит всё отлично.
    • Если выдаётся сообщение "Canceled" - значит не ту букву нажали или не в той раскладке.
    • Если выдаётся сообщение "Check free reserved sector : to small reserved sectors" - значит идём изучать эту тему (Способ №2).
  22. Монтируем в Хекс-редактор флешку, как физический диск и удостоверяемся, что в 16-ом секторе присутствует знакомый нам IPL.
  23. Из папки "Extracted Files Original" копируем содержимое на флешку и идём прошивать брикнутые ТА-088v3 =)

ANDPSP 28.03.2010 03:56
Цитата:
Сообщение от ErikPshat (Сообщение 876600)
Из папки "Extracted Files Original" копируем содержимое на флешку и идём прошивать брикнутые ТА-088v3 =)
Ты серьезно ??? Я понимаю что 1 апреля уже скоро, но ведь не завтра :-)


Цитата:
Сообщение от ErikPshat (Сообщение 876600)
Кстати, проверь, правильная-ли структура папок. А то мне кажется, что что-то лежит не так.
Структура правильная и все лежит так как и було, разве что пары скрытых или системных файлов не хватает - они видать при форматировании появляются сами - MEMSTICK.IND и MSTK_PRO.IND

А у тебя с этим IPL и декриптованными файлами в нужных папках и остальными bin и psar удалось запустить процесс или нет ? Хотя наверное и правда не выйдет - ведь IPL наверное при своей отработке дает команду декриптовать prx.enc а они уже декриптованы или он их просто не найдет раз у них расширение другое, без enc в конце....

ErikPshat 28.03.2010 04:03
Цитата:
Сообщение от ANDPSP (Сообщение 876602)
Ты серьезно ??? Я понимаю что 1 апреля уже скоро, но ведь не завтра :-)
Это генеральная подготовка к 1 Апреля =)

Да, два скрытых файла итак появляются после форматирования, хоть через комп, хоть на PSP. Они восстанавливаются из чипа MSID, как и MBR (FAT16, FAT32, в зависимости от объёма).
MSID - это фактически ровно 3 сектора MBR флешки. Его ты можешь найти поиском в хексе на сигнатуру FAT16, если флешка до 4 Гб. От 4 Гб и выше, ищи FAT32. И сравни с MSID.

С декриптованными не выйдет, т.к. нет подписи, а она должна проверяться. Нужны только оригинальные подписанные файлы.

ANDPSP 28.03.2010 04:04
Цитата:
Сообщение от ErikPshat (Сообщение 876583)
Это связано с тем, что потом, на 3-их прошивках полностью изменили ядро, названия папок, расположение файлов. Поэтому на старших прошивках, нужно во флешь записать прошивку 1.5 (урезанное ядро прошивки 1.5).
3-и прошивки - это что такое ? старшие прошивки - это от 3.95 и выше ?
и во флеш записать это урезанное ядро соответственно получается только у прошиваек, а на непрошивайке это может привести к брику ? или точно приведет к брику ? Если проще - то есть ли какой нить способ адаптировать старые программы для запуска на непрошивайках под соответственно виртуальной прошивкой - вроде как она тоже прошивается все же в флеш хоть и работает в оперативке или просто напросто из под нее закрыт доступ к ядру ?

ErikPshat 28.03.2010 04:33
ANDPSP, 3-и прошивки - это вроде сменили принцип ядра уже на 3.03. А может на 3.40, точно не могу сказать, т.к. особо не на это не обращал внимания.

А ядро 1.5 крепится следующим образом...
Прошивка функционирует на 2-ух папках - KD и VSH/module
Остальные, как FONT и RESOURCE у всех одинаковые почти.
Так вот, чтобы внедрить ядро 1.5 и чтобы одинаковые файлы не пересекались, DAX переименовал папки от 1.5 - KD как KM, а MODULE как PODULE. И что-то там ещё где-то подхимичил. Вот и всё ядро.

На слимках и 3000 это делать невозможно, т.к. на Слимках с первой прошивкой 3.60 уже на железном уровне не поддерживалось ядро 1.5. Правда потом он сделал TimeMachine 3.40/1.5 скрещенные, запускающиеся с карты памяти, но при наличии Пандора-комплекта. Таким образом на Слимках можно запускать проги 1.5.
Конечно о непрошивайках здесь речи не идёт.

Потом сделал LEDA, но она системные функции 1.5 не может эмулировать, только USER MODE. Тут что-то железное.

Boryan 28.03.2010 05:19
ErikPshat, Короче проверил на брике TA88V3.........от дохлого осла уши ....как и с клоном сервисной ....зажигается зелёный СД с батарейки пандоровской и через 15 сек вырубается.....чота не так ....ни какого намёка на чтение стика....оранжевый СД молчит :(
Объём стика имеет значение? Я на 2 гига зафигачил.

ErikPshat 28.03.2010 05:56
Boryan, объём не имеет значения. Просто MSID не тот, который в свою очередь конечно содержит данные о стике. Может быть даже проверка не только по каким-то данным в MSID, а может проверяться типа MD5 или CHA1 всего файла MSID (3x512=1536 байт).
А может вообще никакой проверки нет, а хозяин флешки перед тем, как дать кому-то сдампить, просто мог сбэкапить какие-нибудь файлы или переименовать. Может у нас не хватает элементарно какого-нибудь файла.

Странно просто, что в папке VSH лежит файл обновления прошивки, да ещё под таким замысловатым именем. Папка VSH вообще отвечает за графические ресурсы GUI. Это то, что мы видем на экране - кнопочки, пимпочки, надписи, картинки, фон. Интерфейс меню вобщем.

Можно попробовать хексом записать данные из MSID в MBR флешки, но не затирая данных MBR.

Boryan 28.03.2010 14:25
И так ребята нужна ваша помощь. Тех кто шарит в хексах. Сюда http://slil.ru/28866831 закинул дампы с адаптера, описание и фотку ....нуно разобраться что и как. Архив без пароля, весит 64 кб
Зы кста на фотке видно что есть шесть точек для пайки, это выводы для внутрисхемного программирования флехи....зачем они сделаны? :)
Boryan добавил 28-03-2010 в 14:18
ErikPshat, В том то и вся муть, что ни кто реально не знает каким ключиком зашифровано всё..:( Если это MSID ...то функция проверки MSID зашита в самом ЦП, или это встроено в загрузчик на карте? Что заставляет зызу проверять MSID? И вообще проверяется ли он?
ЗЫ дамп снимался с флехи которая отработала на бриках и сразу в картоприёмник бука. Так что удаление файлов с неё невозможно. Ну разве что тот чел фокусник, и у него в каждом рукаве по куче стиков, и для дампа он дал другой :)

Boryan добавил 28-03-2010 в 14:25
да забыл вложить в архив данные адаптера: MSID 204D5350534E59300078490000000001 и серийник 2301А300

pronvit 28.03.2010 15:43
Boryan, а дампы, которые не программатором, как сняты?

Boryan 28.03.2010 16:06
Цитата:
Сообщение от pronvit (Сообщение 876712)
Boryan, а дампы, которые не программатором, как сняты?
Это секрет...это не для паблика :) ну типа специальным девайсом

pronvit 28.03.2010 16:15
погоди, я запутался. у тебя там три дампа, один программатором, фиг сним, про другие написано типа дамп снятый psp с переходника блаблабла, они вот как, тоже чем-то секретным?

Boryan 28.03.2010 16:18
Цитата:
Сообщение от pronvit (Сообщение 876726)
погоди, я запутался. у тебя там три дампа, один программатором, фиг сним, про другие написано типа дамп снятый psp с переходника блаблабла, они вот как, тоже чем-то секретным?
Блин какая разница чем и как сняты. Это мешает работе? :) не могу озвучить метод снятия ....это секрет. Я ошибся написав PSP....но это без разницы...есть специальный девайс...он и снимает дампы контроллера в процессе его работы ...но в отличии от программатора который снимает дамп с флехи напрямую ....переписывать их не может. В этой ветке да и вообще в нете нельзя говорить секрет снятия дампа....просто это ещё пригодиться в будущем....и люди не должны это знать


Текущее время: 20:23. Часовой пояс GMT +3.
Страница 8 из 20 « Первая 4 5 6 7 8 9 10 11 12 18 Последняя »
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc. Перевод: zCarot
PSPx Forum - Сообщество фанатов игровых консолей.