1BL.bin

[MARCHISIO80]

Mi servirebbero ste 3 versioni dell'1BL.bin dumpato da:

-slim
-corona
-corona WB

Il dump si fa via Linux,con dump32 [URL="http://home.x-pec.com/~ivc/sites/ivc/xbox360/files/arnezamidump32.tgz"]http://home.x-pec.com/~ivc/sites/ivc/xbox360/files/arnezamidump32.tgz[/URL]


Grazie

Mi servono per verificare una cosa che ho notato su FAT giorni fa(avevo postato qualcosa a riguardo)ed ora ho qualche info in piu',ma l'1BL nn e' sempre identico,ne ho gia' 2 versioni,ma entrambe dumpate da FAT(xenon e falcon)

E si,la buona causa e' la Winchester

Appena riusciro' a metter mano a qualcuno di sti file potro' aprire topic con tutte le info necessarie

Resta sottointeso che al momento e' teoria,ma e' una buona teoria ed e' da verificare

@patrickstar
qui,sotto a Get CPU Key,trovi qualche info in piu' x dumpare l'1BL,partendo dal punto 2
la versione di linux da utilizzare probabilmente cambia

[url=http://beta.ivc.no/wiki/index.php/Xbox_360_Timing_Attack]Xbox 360 Timing Attack - ivc wiki[/url]

[patrickstar]

Sono riuscito ad avviare linux gentoo sulla xbox.
Sto seguendo questo tutorial
[url=http://forums.xbox-scene.com/index.php?/topic/621052-tutorialhow-to-dump-the-1blbin-fusesbin-and-the-nand-with-gentoo/][tutorial]how To Dump The 1bl.bin, Fuses.bin And The Nand With Gentoo - Software Exploits Development / Research - Scenyx Entertainment Community[/url]

Ma non riesco ad interfacciare la xbox al pc tramite winscp perché non ho capito le impostazioni da settare sul pc, in modo da poter trasferire dump32 sulla xbox ed eseguirlo.

EDIT: In effetti è molto più facile di quanto io potessi pensare.
Una volta avviato linux la console è di fatto una specie di pc.
Mica potevo immaginare di poter scaricare il file dump32 stesso dalla xbox... aprendo stesso quel sito che mi hai dato dal browser della console.

[MARCHISIO80]

Credo che si possa fare ancora anche senza collegare PC e xbox,io ho sempre avuto problemi


Potresti provare cosi,scaricando sta cartella(arnezamidump32.zip) che ho preparato sul tuo PC

[url=http://s000.tinyupload.com/index.php?file_id=85329330251638267556]TinyUpload.com - best file hosting solution, with no limits, totaly free[/url]

estrai la cartella
prendi la cartella estratta(arnezamidump32)e la metti su usb

colleghi usb alla xbox e con linux copi/incolli la cartella arnezamidump32 in /var/tmp

poi salti il primo passaggio,visto che hai gia' la cartella estratta

ti posizioni in /var/tmp se nn ci sei gia' ed inizi da qui

cd arnezamidump32
sudo ./dump32


dopo aver dumpato copi il file 1BL.bin presente in /var/tmp sulla usb

[patrickstar]

Cavolo, ho fatto tutto, ma si freeza tutto quando esce scritto dumping nand e sono costretto a riavviare.
Ha già estratto il BL però, ora dovrebbe stare sull'hdd esterno collegato alla xbox.

[MARCHISIO80]

Perfetto

Il "bug" del dump della nand con quel tool e' noto,quindi dovresti essere a posto ed aver concluso il tutto con successo

the 360 crashes when i launch dump32 (ok fuses and 1bl work but when it starts nand everythign freezes)

[patrickstar]

Eccolo, ora però come faccio a prenderlo?
Nel senso, se riavvio la console riparte l'installazione di linux tramite cd daccapo, e l'hdd collegandolo al pc windows non viene riconosciuto ovviamente.
Uso un cd ubuntu portable sull'altro pc che ho? Dovrebbe riuscire a leggere il contenuto dell'hard disk?

[gledian]

Se provi a mettere l' applicativo su una chiavetta usb e lo avvii direttamente da lì, dovrebbe salvarti il file 1BL.bin sulla USB così anche se si freeza il file resta sulla chiavetta.

[MARCHISIO80]

SI,dovrebbe leggerlo

Se nn riesci puoi provare a comprimerlo con "create archive..." cosi' puoi upparlo tramite browser su un file hosting,da cui si puo' sempre scaricare in un PC,anche windows

[patrickstar]

Se provi a mettere l' applicativo su una chiavetta usb e lo avvii direttamente da lì, dovrebbe salvarti il file 1BL.bin sulla USB così anche se si freeza il file resta sulla chiavetta.

Ok ora provo, la chiavetta formattata in fat32?

[MARCHISIO80]

se hai chiavetta fat32 puoi inserirla nella xbox e trasferirci l'1bl che hai gia' dumpato,cosi puoi trasferirlo su pc

[patrickstar]

Ci sono riuscito finalmente, la chiavetta non veniva rilevata, il perché non lo so, comunque alla fine in quei 10 secondi tra dump del bl e freeze ho avuto il tempo per mandarmelo in allegato via email.
L'ho già uppato su mediafire. Ti mando il link tramite PM su raziel. Lì mi chiamo ninocervasio.

[G1zm0]

io ho due slim a casa, se aspetti le ferie natalizie posso mandarti i file...

...sempre che ti servano ancora.

se vuoi su skype ci sono: riccardo.garattini

Ciao e grazie per la passione che ci metti
Fammi sapere

[MARCHISIO80]

xD


Grazie a chi si e' offerto x dumpare l'1BL dalle slim ma nn e' piu' necessario,e' identico alla corona di patrickstar,che ringrazio nuovamente

Da Xenon a Corona ci sn solo 2 versioni dell'1BL(copyright 2004-2005 e copyright 2008) e differiscono solo nel controllo del CB-CB_A,nn usano piu' una XeCryptBnQwBeSigVerify "pulita" e da quel poco che posso capirci io sembra una mossa anti timing-atk sulla verifica della firma

NN so pero' se il risultato delle 2 funzioni diverse cambia,se cambia potrebbero aver blacklistato qualche vecchio CB

DrScottky ne sapra' sicuramente di piu' a riguardo

Ma x il timing-atk nn ci vorrebbe troppo tempo?Qualcuno sa all'incirca quanto?
Il timing-atk veniva fatto solo per 0x30-0x3F,qui invece riguarderebbe 0x40-0x13F

C'e' pero' da considerare che il timing-atk originale aveva a che fare con la cpukey,,quindi il CB doveva girare sull'xbox,l'1BL invece nn usa chiavi che noi non conosciamo,quindi si puo' far "girare" su PC


Cmq nn era questo che dovevo controllare xD
Ma una cosa riguardante il post sniffer

[Babilozzo]

Mi servirebbero ste 3 versioni dell'1BL.bin dumpato da:

-slim
-corona
-corona WB

Il dump si fa via Linux,con dump32 [URL="http://home.x-pec.com/~ivc/sites/ivc/xbox360/files/arnezamidump32.tgz"]http://home.x-pec.com/~ivc/sites/ivc/xbox360/files/arnezamidump32.tgz[/URL]


Grazie

Mi chiedevo se da shell, cat /proc/mtd ed eventualmente un successivo cat /dev/mtdX > /tmp/memorydump.bin
potessero funzionare evitando il freeze dipeso dal bug del dump32 (usare cat come dumper, sto smanettando con ROOter su tl-mr3220 e sono incappato in questa procedura per "leggere" le aree di memoria) Il che a ben pensarci è una funzione fondamentale dei sistemi basati su linux ma non ho ovviamente tempo per provare anche se tipo boottare gentoo live ci vuole un minuto , ho altro per la testa eheh) apparte il fatto che non ti serve più, a titolo accademico sarebbe interessante sapere se è funzionale. Ciao.

[zeruel85]

Se il freeze riguarda il solo dump della nand, non è più immediato ricompilare commentando le righe in questione?

[Babilozzo]

Se il freeze riguarda il solo dump della nand, non è più immediato ricompilare commentando le righe in questione?

Ci si potrebbe rispondere da soli guardando il codice sorgente e vedendo quale "tecnica" usa per leggere la memoria certo.
Ma non è che mi interessi se si inchioda il programma, il concetto semmai è quello che usando "cat" sia forse possibile dumpare qualsiasi cosa mi venga rilevato dal kernel in /dev (mtd compresi) anche perchè cosa ci può essere di più immediato del diretto utilizzo di un comando standard del sistema base? Lol

Cmq se "cat /proc/mtd" non riporta risultati ovviamente è inutile procedere, ma del resto non saprei bene cosa ci sia nel /proc di interessante, dovremmo guardarci ..

[MARCHISIO80]

Cmq,anche senza bug,il dump nand fatto con il dump32 nn e' buono,bisogna usare il tool originale di tmbinc o utilizzare altre soluzioni(tipo il memdump)che nn mancano,potendo dumpare anche tramite file xex


dump32.c e' cosi'

#define MEM_FUSESET_LOC 0x20000020000ULL
#define MEM_FUSESET_SZ 0x10000

#define MEM_1BL_LOC 0x8000020000000000ULL
#define MEM_1BL_SZ 0x8000

#define MEM_NAND_LOC 0xC8000000ULL
#define MEM_NAND_SZ 0x1000000

#include <stdio.h>
#include <stdlib.h>

#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/mman.h>

volatile void * ioremap(unsigned long long physaddr, unsigned long size)
{
static int axs_mem_fd = -1;
unsigned long long page_addr, ofs_addr, reg, pgmask;
void* reg_mem = NULL;

/*
* looks like mmap wants aligned addresses?
*/
pgmask = getpagesize()-1;
page_addr = physaddr & ~pgmask;
ofs_addr = physaddr & pgmask;

/*
* Don't forget O_SYNC, esp. if address is in RAM region.
* Note: if you do know you'll access in Read Only mode,
* pass O_RDONLY to open, and PROT_READ only to mmap
*/
if (axs_mem_fd == -1) {
axs_mem_fd = open("/dev/mem", O_RDWR|O_SYNC);
if (axs_mem_fd < 0) {
perror("AXS: can't open /dev/mem");
return NULL;
}
}

/* memory map */
reg_mem = (void *) mmap64(
0,
size + (unsigned long) ofs_addr,
PROT_READ,
MAP_SHARED,
axs_mem_fd,
page_addr
);
if (reg_mem == MAP_FAILED) {
perror("AXS: mmap error");
close(axs_mem_fd);
return NULL;
}

reg = (unsigned long) reg_mem + (unsigned long) ofs_addr;
return (volatile void *)reg;
}

int iounmap(volatile void *start, size_t length)
{
unsigned long ofs_addr;
ofs_addr = (unsigned long)start & (getpagesize()-1);

/* do some cleanup when you're done with it */
return munmap((unsigned char*)start-ofs_addr, length+ofs_addr);
}


void read64(void * addr, unsigned long long * ptr)
{
__asm__ (" ld %r3, 0(%r3); std %r3, 0(%r4) ");
}

int main(int argc, char **argv)
{
int i;
FILE * fp;

unsigned long long * ptr_u64;
unsigned char * ptr_u8;
unsigned char * b;

printf("dumping fuses...\n");
ptr_u64 = (unsigned long long *) ioremap(MEM_FUSESET_LOC, MEM_FUSESET_SZ);
unsigned long long tt;
fp=fopen("FUSES.TXT", "w");
for (i = 0; i < 12; ++i) {
read64((void *) ptr_u64 + i * 0x200, &tt);
printf("%02x: %016llx\n", i, tt);
fprintf(fp, "%02x: %016llx\n", i, tt);
}
fclose(fp);
printf("done!\n");

printf("dumping 1BL...\n");
ptr_u8 = (unsigned char *) ioremap(MEM_1BL_LOC, MEM_1BL_SZ);
b = (unsigned char *) malloc(MEM_1BL_SZ);
memcpy(b, ptr_u8, MEM_1BL_SZ);
fp = fopen("1BL.BIN", "wb");
fwrite(b, MEM_1BL_SZ, 1, fp);
fclose(fp);
free(b);
printf("done!\n");

printf("dumping NAND...\n");
ptr_u8 = (unsigned char *) ioremap(MEM_NAND_LOC, MEM_NAND_SZ);
b = (unsigned char *) malloc(MEM_NAND_SZ);
memcpy(b, ptr_u8, MEM_NAND_SZ);
fp=fopen("NAND.BIN", "wb");
fwrite(b, MEM_NAND_SZ, 1, fp);
fclose(fp);
free(b);
printf("done!\n");

}

memdump.c
che funziona x estrarre solo la nand e' cosi'

/*
* Usage:
* volatile void *p = ioremap(c8000000, 4096);
* ...
* out_8(p, state ^= 0x1);
*
*
* Copyright (C) 2003 Stephane Fillod
*/


#include <stdio.h>
#include <stdlib.h>

#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/mman.h>
#include <memory.h>

#define BUFSIZE 16777216

#ifdef __PPC__
extern inline void out_8(volatile unsigned char *addr, unsigned val)
{
__asm__ __volatile__("stb%U0%X0 %1,%0; eieio" : "=m" (*addr) : "r" (val));
}
/* etc., cf asm/io.h */
#else
extern inline void out_8(volatile unsigned char *addr, unsigned val)
{
*addr = val & 0xff;
}
#endif

volatile void * ioremap(unsigned long physaddr, unsigned size)
{
static int axs_mem_fd = -1;
unsigned long page_addr, ofs_addr, reg, pgmask;
void* reg_mem = NULL;

/*
* looks like mmap wants aligned addresses?
*/
pgmask = getpagesize()-1;
page_addr = physaddr & ~pgmask;
ofs_addr = physaddr & pgmask;

/*
* Don't forget O_SYNC, esp. if address is in RAM region.
* Note: if you do know you'll access in Read Only mode,
* pass O_RDONLY to open, and PROT_READ only to mmap
*/
if (axs_mem_fd == -1) {
axs_mem_fd = open("/dev/mem", O_RDWR|O_SYNC);
if (axs_mem_fd < 0) {
perror("AXS: can't open /dev/mem");
return NULL;
}
}

/* memory map */
reg_mem = mmap(
(caddr_t)reg_mem,
size+ofs_addr,
PROT_READ|PROT_WRITE,
MAP_SHARED,
axs_mem_fd,
page_addr
);
if (reg_mem == MAP_FAILED) {
perror("AXS: mmap error");
close(axs_mem_fd);
return NULL;
}

reg = (unsigned long )reg_mem + ofs_addr;
return (volatile void *)reg;
}

int iounmap(volatile void *start, size_t length)
{
unsigned long ofs_addr;
ofs_addr = (unsigned long)start & (getpagesize()-1);

/* do some cleanup when you're done with it */
return munmap((unsigned char*)start-ofs_addr, length+ofs_addr);
}

main(int argc, char *argv[])
{
int fd = open("./flashdump", O_RDWR | O_CREAT, 0644);
volatile void *d_PtrA = ioremap(0xc8000000, BUFSIZE);
char *buffer = malloc(BUFSIZE);
memcpy((void*)buffer, d_PtrA, BUFSIZE);
int ret = write( fd, buffer, BUFSIZE );
close(fd);
return 0;
}

Guardando il codice del dump.32 probabilmente il metodo usato x dumpare fuse e 1BL nn puo' essere utilizzato x dumpare la nand

ci sn 2 "parametri",ma x le nand ne servirebbero 3


dump32
ioremap(MEM_NAND_LOC, MEM_NAND_SZ)
che sarebbe
ioremap(0xC8000000, 0x1000000)

invece nel memdump e'

#define BUFSIZE 16777216
ioremap(0xc8000000, 4096);
ioremap(0xc8000000, BUFSIZE);


Cmq come scritto da Zeruel si puo' benissimo "eliminare" il codice riguardante il dump nand,visto che oltretutto sarebbe pure un dump nn buono

4096 nn e' riferito alle nand?4096 page size?
Senza penso che si dumpa come fosse una rom,nn una memoria nand..da qui credo il prche' l'eventuale dmp sia nn buono

E il BUG,vedendo che nel dump32 manca il buffer...probabilmente e' riferito a quello,freeza appena inizia a dumpare,16 MB sn tantini,se confrontati con fuse e 1BL(32kb circa)

pero' potrei aver scritto delle castronerie,come sempre XD

[Babilozzo]

@MARCHISIO80 a me sembra "strano" che non si possa dumpare direttamente un qualsiasi mtd flash nand nor o altro, quando viene riconosciuto correttamente dal kernel linux (tramite modulo driver , viene interfacciato allo "stio"?? standard input-output, credo..) leggendo a riguardo nelle centinaia di guide sul cat, ho capito che cat appunto,funziona con tutti gli "stio" del sistema, e del resto la mtd (la flash dei router nel mio caso) viene caricata e gestita come un block device (/dev/mtd0), ma forse è più corretto utilizzare "dd" per un dump raw di una qualsiasi periferica inserita nel kernel come "stio". Sicuraamente dd offre le opzioni specifiche della lettura nei block devices , ad esempio il classico "bs=(bytesector)" ecc appinto impostando la giusta grandezza per il blocco, che è riportata anche da "fdisk" con la flag -l si guardano tutti i block devices e i loro default bs , in teoria con un dd si potrebbe avere una immagine attinente? Scusate se non provo sulla mia console ma non ho tempo, adesso ho i router custom per la testa Ciao

[MARCHISIO80]

Certo che si puo' dumpare la nand,ma il dump32 e' un parziale porting che serve solo a compilare e dumpare l'1BL con linux 32
Ha permesso a tutti di dumparsi l'1BL,anche a chi nn sa manco cosa sia linux
Chiamiamola soluzione "pappa pronta" x i sistemi linux 32,senza tanti fronzoli...e' stato come un "regalo",nn come un tool alternativo a quelli gia' esistenti

Chi sa smanettare con Linux nn ha bisogno di nessun tool x dumparsi 1bl,fuse e nand

[MARCHISIO80]

Qualcuno ha l'1BL RSA pub key?
Avevo letto che qualcuno ce l'aveva ma nn trovo piu' il topic con il tasto cerca

Grazie