Post winchester...o pesce?

[xboxbs]

Sembra che il post sia vivo sulle winchester...o sarà un pesce?


[url=http://www.eurasia.nu/modules.php?name=News&file=article&sid=3483]EurAsia - Winchester POST bus signal with new CPU[/url]
[url]http://www.hackfaq.net/xbox360/winch_news/[/url]
[url=http://www.teamx360.co.uk/showthread.php?4269-Winchester-POST-bus-signal-with-new-CPU]HOT Winchester POST bus signal with new CPU[/url]

[url]https://www.youtube.com/watch?v=qT_hrel_Z_4[/url]

[leonemax81]

il primo di aprile sembra proprio un pesce!!!!..

[patrickstar]

Si parla di sostituire la cpu mettendone una nuova trinity o corona, ancora senza fuses.
Ma se non vado errato la cpu winchester è più piccola di quella trinity/corona, 30 vs 34 balls per lato
Improbabile, penso anch'io che sia un pesce d'aprile.

EDIT: E invece no, pare sia vero, ma hanno corretto, nella winchester del video è stata impiantata una cpu winchester comprata nuova di fabbrica, ancora senza fuses.
Direi che questo dimostra il fatto che il post_out c'è ancora ma è disabilitato solo per via software.
Con il POST_IN @marchisio80 alla fine hai trovato qualcosa?

[shebang]

Si parla di sostituire la cpu mettendone una nuova trinity o corona, ancora senza fuses.
Ma se non vado errato la cpu winchester è più piccola di quella trinity/corona, 30 vs 34 balls per lato
Improbabile, penso anch'io che sia un pesce d'aprile.

EDIT: E invece no, pare sia vero, ma hanno corretto, nella winchester del video è stata impiantata una cpu winchester comprata nuova di fabbrica, ancora senza fuses.
Direi che questo dimostra il fatto che il post_out c'è ancora ma è disabilitato solo per via software.
Con il POST_IN @marchisio80 alla fine hai trovato qualcosa?

Sulle winchester è ancora possibile usare il POST_IN per entrare in debug mode, ma serve a poco.
Il postbus al 99% non è disattivato dal software.

[MARCHISIO80]

Io credo che il POST_IN attivo e funzionante e' molto molto importante
Se riesci ad avviare codice non firmato,come recuperi la cpukey(x decryptare il CBB)senza i POST_OUT?
La seriale se nn sbaglio viene inizializzata nel CBB,non si puo' usare senza codice,che e' cryptato con l'aiuto della cpukey
I POST_OUT invece funzionano fin dall'accensione..

I POST_OUT nn ci sn,usiamo il POST_IN
Le "porte" sn I_O,e' il codice che dice se leggere o scrivere a tal indirizzo
Si modifica codice dumpa-cpukey cambiando l'indirizzo post_out con l'indirizzo post_in
L'unico inconveniente e' che il POST_IN ha solo 5 punti,ma e' facilmente risolvibile via codice facendo uscire la cpukey a 4 bit x volta invece di 8


xD ma nn sn un esperto ne ho studiato,potrei aver scritto qualche castroneria
cmq e' facilmente testabile su una qualsiasi scheda madre xD

[shebang]

Se i post_out non ci sono come lo avvii il cbb?

[zeruel85]

Se devi glitchare il cba (che deve essere firmato) come fai a editarlo per farti stampare i postcode sulla post_in anziché sulla post_out? O ho capito male quello che intendevi?

[MARCHISIO80]

Se i post_out non ci sono come lo avvii il cbb?

Se nn si esce dall'ottica di far a meno del post_out x avviare codice nn firmato sulla winchester probabilmente rimarra' inviolata...nn tutti gli hack hanno avuto bisogno del post_out x avviare codice nn firmato,ma quasi tutti gli hack hanno sfruttato i post_out x prendere la cpukey

Alternative ai post_out x glitchare nn saprei...ma ad esempio su xboxhacker anni fa si "agganciavano" al punto R/B della nand x aver misurazioni di tempo piu' accurate rispetto ai post_out..le variazioni di "tempo" tra i vari avvii si diceva fossero derivati dalla lettura della nand..anche perche' un processore esegue sempre le stesse operazioni nello stesso tempo,quindi il responsabile di ste differenze tra varie console e vari avvii nn e' certo lui

Se devi glitchare il cba (che deve essere firmato) come fai a editarlo per farti stampare i postcode sulla post_in anziché sulla post_out? O ho capito male quello che intendevi?

Quando glitchano e/o hackano x la prima volta una scheda madre(come ha fatto anche gligli per le slim)di cui nn hanno il CBB in chiaro,il codice dumpa-cpukey lo mettono all'inizio del CBB ,ci sn abbastanza byte sempre uguali

Quindi nn cambia nulla rispetto a prima,si glitcha il CBA immacolato e nel CBB invece di mettere codice con indirizzo post_out si mette indirizzo post_in
Cmq nn e' difficile provare su un'altra scheda madre,tipo una slim(sulla fat nn ho ben capito dove sn i punti del post_in )

[shebang]

Usare la nand per come trigger per il glitch è assai arduo.
Per estrarre la cpukey si puoy usare sia il post che la uart:il codice necessario c'è e non si è più limitati in spazio dallo XOR hack.

[MARCHISIO80]

Su xboxhacker usavano quel punto perche' era piu' preciso dei post,poi come detto nn sn un esperto

Nn so se ricordo la pass del sito,se la trovo linko la discussione

Per la UART...nn saprei,nuova scheda madre potrebbe aver bisogno di nuovo codice..e probabilmente prima di inizializzare la seriale devi inizializzare anche altro hardware...nn saprei davvero..quello che so x certo e' che il codice dumpa-cpukey fa uscire la cpukey dai post_out e nn dalla seriale,un motivo ci sara'...o ci sara' stato...

Nel codice dumpa-cpukey da seriale del russo,ci sn delle patch,senza patch nn credo che ci arrivi ad usare la seriale,ma potrei sbagliarmi..anche qui test facile...si mette solo codice seriale e si vede cosa succede...

Piccola considerazione..perche' ha pubblicato solo codice da seriale?
Codice da post_out su fat permetteva a molta piu' gente di usufruirne,un post_sniffer ormai e' molto comune...

Forse perche' e' molto piu' importante il codice dumpa-cpukey da post che quello da seriale..


Nn serve lo xor solo e soltanto se il CBA_mfg nn e' stato blacklistato nell'1BL,se sn stati "attenti" nn lo puoi piu' avviare

[shebang]

Il CBA non è blacklistato e gli indirizzi dei bus sono i soliti.
All'epoca si usava il post soprattutto per ragioni di dimensione del codice da cifrare, visto che bisognava ricavare il ks con lo XOR hack.

[MARCHISIO80]

Uhm...ma il codice per inizializzare la seriale c'e' gia' nel CBB,necessita solo di qualche modifica(nn certo piu' byte di quanto necessita l'intero codice dumpa-cpukey da post)..quindi il cryptato lo avevano eccome..se c'e' stato un motivo nn e' certo quello...sempre a mio parere,da ignorante



Se ti basi su sta cpu vergine..la cpu vergine ha perfino ancora aperta la porta cpujtag e puo' anche esser usata su una devkit,nn penso che bisogna farci troppo affidamento... a meno che mamma MS nn vuol farsi hackare anche sta scheda madre...tutto e' possibile...magari ha i POST perche' ha un classico 1BL..dalle immagini quella scheda madre e' una winchester classica o e' una winchester rara e/o ibrida?

Nn mi ricordo piu' l'articolo,ma se nn sbaglio diceva che aveva le piste dei post...ma era scritto in russo ehehe..con google traduttore posso aver capito male



EDIT: aggiunto link all'articolo
[URL="https://translate.google.it/translate?hl=it&sl=ru&tl=en&u=http%3A%2F%2Fwww.hac kfaq.net%2Fxbox360%2Fwinch_news%2F"]https://translate.google.it/translate?hl=it&sl=ru&tl=en&u=http%3A%2F%2Fwww.hac kfaq.net%2Fxbox360%2Fwinch_news%2F[/URL]

[shebang]

Le winchester hanno lo stesso 1bl, non cambia da una cpu mfg ad una retail.
In fondo la seconda è una versione castrata della prima.
Stesso discorso per il postbus e il suo pinout.

[MARCHISIO80]

Mi mandi sto dump dell'1BL please?
Almeno vedo cosa c'e'
Dal codice si capisce subito come mai nn vediamo i post code

e questo update sul sito che ho linkato prima sai mica cosa significa?

UPDATE:

POST can not be included
even with the replacement proca Postfix does not make it

UPDATE:

включить POST нельзя
даже с заменой проца Postfix не дотянется

[shebang]

Significa che né post_0 né post_1 sono su ball esterne.

[MARCHISIO80]

Per chi fosse interessato,ho ritrovato pass e link alle info sull'uso del punto R/B,inizia da pagina 5 se nn sbaglio

[url=http://www.xboxhacker.org/index.php?topic=8221.80]Login[/url]

e qui una piccola "premessa"

I've attached a probe to the R/B pin of the nand, from datasheet it goes down for a while at the end of the nand page reading.
Now i see nand activity during postcode18 (should be CB reading) and postcode21 (should be smc reading you pointed).

I'll let you know as soon as possible if lastnandactivity-A4 is more stable (about 3500us, at first 4 tests it seems oscilling no more than +-1us)

Forse e' possibile invece di contare i post_code,far contare al chip quante volte la nand viene letta prima di far partire lo start del timing?Bohhh xD

La precisione necessaria sembra esserci,riguardo ai post_code si parlava di circa +-25/50us di differenza tra i vari boot,invece con punto R/B soltanto +-1us

Per far fermare il chip a glitch avvenuto,si puo' far uscire e leggere con chip il post_code 21 dai post_in


Ovvio che una soluzione interamente basata sui post_code e' moooolto piu' semplice,ma se nn si riusciranno a vedere su cpu "classiche"...qualcosa tocca inventarsi

[The Pusher]

Scusa, ma possibile fare una prova su una piastra rghabile con il codice che fa partire il conto dalle letture nand invece che dai post? Ad esempio su una corona si sa quante volte "cambia di stato" la nand orima di inizializzare la dash?

[MARCHISIO80]

Credo sia fattibile,da una piastra rghabile si possono prendere tutti i riferimenti ed effettuare le misurazioni

La teoria potrebbe essere questa

Su una xbox con post_code si puo' contare quante letture di nand ci sn dall'avvio dell'xbox fino al punto piu' vicino in cui di solito si glitcha
Si ricava il nuovo timing e si prova a glitchare


Esempio

-dopo quarta lettura,aspetta tot e poi rallenta
-dopo sesta lettura,aspetta tot e poi resetta
-dopo uscita post_code 21 su post_in,stoppa il chip,xbox correttamente glitchata
-se dopo tot nn esce post_code 21,glitch fallito,riinizia a contare da zero le letture della nand

[The Pusher]

Si puo' sniffare i cambi di stato su RB, ma nn ho idea di come ricavare lo stop & Go del rallentamento. Potrebbe pero' coincidere con il valore dell' "entrata" del reset; cioè in soldoni si potrebbe provare su una corona a sostituire il Pcount con RB count?

[MARCHISIO80]

Per trovare i timing riferiti al cambio di stato R/B penso si possa adattare/modificare il [URL="https://github.com/DrSchottky/TicksPicker"]https://github.com/DrSchottky/TicksPicker[/URL] di DrSchottky,lui ne sa sicuramente di piu'

ad esempio per rallentare il riferimento e' il post_code

D8 2BLL_0xD8_S_RC4_DECRYPT_CB_B

e sicuramente prima di decryptarlo la xbox ad un certo punto deve leggerlo dalla nand

calcolando quanto tempo passa dall'ultima fine lettura pre post_code D8 all'uscita del post_code D8 si ha il "tempo" che bisogna aspettare prima di rallentare


Con TicksPicker e' anche facile verificare se il timing e' sempre costante nei vari tentativi