R-JTAG-COME FUNZIONA? Discutiamone :)

[deco.gio]

ho due console jasper a disposizione sia jtag...sia rgh
posso darti tutte le info necessarie.....

[MARCHISIO80]

Visto che nn conosco il codice e quindi nn posso capire cosa e' stato esattamente glitchato(istruzioni,1 dei 3 controlli di cui parlava RF,eccetera),al momento l'unica cosa che posso fare e' vedere se il calcolo delle 2 sequenze(6723 e 6754)puo' darci qualche spunto

Tutto qui

Ma devo capire che calcolo e' questo
Sto shift mi aveva gia' fatto impazzire tempo fa,ahahahahahhah

3) Prende 5 ci sottrae 1 e shifta il 5 di 4, ottenendo 80 che è uguale a 50 esadecimale! Quindi passa questo check e infatti va correttamente avanti!

Grazie

Nelle 6754 l'ultima(nn l'unica) F a destra e' quasi certamente in questa posizione


fuseset 02: 00000000000F0000 allow cseq 12 = *0C dalla sequenza di boot nell'offset 3B1

Riprendendo il topic di RF dovrebbe essere cosi'*

Esempio di fuseset 6754
FS02: 00000000000F0000
Bytes a 3B0= 01 0C 0AD0

0C = 12
0AD0 = 173?


1) Contatore a 16. Si cerca la prima "f" partendo da destra. In questo caso si trova da destra alla posizione 5. Si compara quindi 16-5 al byte di sequenza, in questo caso 11. Non è uguale. Quindi fallito il primo controllo.

2) Lo compara anche a 0 o minore, in questo caso era 11 quindi secondo controllo fallito.




3) Prende 11 ci sottrae 1 e shifta l'11 di 4, ottenendo (173???) che è uguale a (0AD0???)esadecimale! Quindi passa questo check e infatti va correttamente avanti!

Il procedimento dell'r-jtag e come funziona ormai l'abbiamo capito,resta da capire cosa e' stato esattamente glitchato e dove nel codice

[MARCHISIO80]

Ahhahah...io a momenti nn so neanche cos'e' il branch,ahahahahh...

Meglio che ci pensi tu

Cmq riassumendo x chi si e' perso tutti i post,l'r-jtag agisce cosi' a nostro avviso
(l'SMC-hack si usa solo x nn dover glitchare 2 volte
1)sequenza di boot
2)avvio codice nn firmato)


Quindi dovrebbe funzionare cosi'

- freeboot jtag con CB jtaggabile in nand
- glitch di qualche istruzione/controllo che ha a che fare con la sequenza di boot
- CB jtaggabile che prosegue a "girare"
- classico smc-hack
- avvio di codice non firmato


Ora vediamo bene di capire dove glitchano

Tu che vedo che conosci il codice,dovresti riuscirci senza problemi,sei molto bravo

[MARCHISIO80]

Beh,il Cb e' originale,fino a quando controlla se e' stato revocato,dovrebbe girare senza problemi...a quel punto..se il glitch e' ben "eseguito" dovrebbe saltare al punto da te indicato...poi "parte" l' smc-hack

Se il glitch fallisce si ha postcode A0

[MARCHISIO80]

Ahahahah...anch'io
Sn curioso
Che sia giusto o sbagliato..ma sn curiosissimo di capire come funzionano certe cose...


Conoscendolo un po',magari e' proprio un buon segno

Beh..se fosse un buon segno..
Senza reversare niente e in poche orette...abbiamo gia' fatto moltissimo,nn credi?

[TheLinuxMafia]

Pensa te se glielo clonano prima dell'uscita Vi odierà a vita, fulmini e saette sulle vostre console

[MARCHISIO80]

Uhm...se spiegavano subito a grandi linee cosa era stato fatto,non si sbatteva certo nessuno a "capire",nn credi?

Il "mistero" fa muovere le persone


E in sto campo o ti "sbrighi" a rilasciare i chip..o se ne pubblicizzi la cosa e poi aspetti troppo...crei interesse,ma prima o poi qualcuno ci arriva,no?
La storia e' sempre quella,alla fine

Le informazioni ci sono in giro,se x primo utilizzi le informazioni che sn a disposizione di tutti...qualcuno ci arrivera' sempre(sapendo che si puo' fare)

Il glitch c'e',l'smc-hack anche...puoi cambiare qualcosina,ma il succo e' sempre quello...non e' un hack nuovo..e' stato utilizzato il glitch in un'altro punto

Un grande lavoro senza dubbio!

[MARCHISIO80]

Fidati che da qui a clonare un hw ne passa...


Anche per il DGX avevamo fatto un brainstroming per capire come funzionasse, e appena si capì come funzionava lui fu il primo a confermare la bontà dell'ipotesi, quindi non credo si faccia problemi a dire se l'abbiamo imboccata giusta.

Anche se un esperimento che mi incuriosisce sarebbe provare a replicare la soluzione con un classico coolrunner(xc2c64a) e vedere se gira lo stesso

Esatto,RF e' un grande


Penso proprio di si,ma servono i timing e il codice cpld
Poi fai il classico collegamento jtag dei diodi


Tempo che ne vendono un po'(almeno x rifarsi del tempo perso..ore e ore di lavoro sicuro)e se c'e' qualcuno disponibile sul forum si puo' provare..senza reversare nulla sarebbe perfetto

[MARCHISIO80]

Rgh1 o RGH2 puo' essere pure una scelta,magari avevano piu' esperienza o del codice quasi pronto su RH2 avendoci gia' lavorato quando hanno fatto uscire rgh2,ma penso proprio funzioni anche con rgh1


I cb nuovi si,ma qui si usa un vecchio CB,il 6723 x le jasper...altrimenti nn abbiamo capito niente

[MARCHISIO80]

UPDATE: che poi non è nemmeno il wiring dell'RGH2. 'ndo sta il RST?

C7R112 se nn sbaglio

[zeruel85]

C'è qualche motivo particolare secondo voi perchè viene usato C7R112 anziché il solito punto?

Inviato dal mio GT-I8150 con Tapatalk 2

[spyro82]

wau mi sono letto tutto il post non ci ho capito una mazza ma lo seguo comunque grande marchisio del tuo ritorno

[zeruel85]

Si, è il D.
Ma se il quarzo è onboard e il Post arriva da flat il K a che serve?
Sai a cosa è collegato?

P.S.:C7R112 non è il RST delle Xenon?

Il kiosk serve per accendere la console tramite il il jrp v2 quando usi il rater.

Inviato dal mio GT-I8150 con Tapatalk 2

[MARCHISIO80]

@cirowner

Si,e' stato trovato x prima nelle xenon,poi utilizzato anche sulle altre fat..Rf aveva spiegato tempo fa qualcosa di sto punto



@spyro


grazie

Faremo un riassunto

[Pa0l0ne]

...Non dite che con il C7R112 non ero stato "profetico": Due chiacchiere e tre cazzate



AArrghhh....ma non mi ricordo....non mi ricordo....!!! Ma il punto è proprio li.

[pocoyo2]

Perchè c7r112 è il primo punto che va diretto alla CPU

from Galaxy Note

[MARCHISIO80]

C7r112 l'aveva trovato e utilizzato per primo RF su Xenon

Well.. you might be right. Actually i did some tests, and all i can say is that using an alternate cpurst point it does send the glitch correctly.* Theres also an interesting difference on pll bypass and pulse limit bypass.

I left the cpld installled on stock nand using various timings and it *did* load dash fine. The glitch is sent as per debug led. Good thing is that i doesnt always start at first it does usually a couple of reboots the loads dash. So it is not crashing. Ive prepared a proper ecc so to test timings. Too bad i really have no time..

Per quanto riguarda RGH2

NN so,ma penso sia perche' con RGH2 hanno piu' esperienza,visto che ci hanno lavorato parecchio(fat rgh2,slim,corona)
Cambiano i timing e il punto di glitch,ma per il resto il codice cpld e' uguale...perche' cambiare?

PEnso proprio si possano usare i punti RGH1,rendendo utilizzabili i vecchi chip,con buone prestazioni(si rallenta molto di piu' con RGH1,rendendo piu' "facile" azzeccare l'istante esatto)


Ma nn e' una cosa facile trovare i timing e il punto in cui glitchare

Un buon punto di partenza potrebbe essere questo post(l'equivalente su Fat con dash jtaggabile,forse cambia il nome del post-code,servirebbe un log del post sniffer..basta flashare un xell-jtag o un freeboot su una xbox con qualsiasi dash e catturare i post-code)

2BLL_0xd1_S_READ_FUSES = 0xD1

[MARCHISIO80]

Che informazione?