Reverse engineering du PSJailbreak (Topic technique)
Posté 23 août 2010 - 11:52
#41
2)Il ne suffit pas de lire comme j'ai pu ecrire precedement
Posté 24 août 2010 - 12:15
#42
sachan que sur la plupart des PIC il est possible de protéger le proc en R/W après sa programmation, je doute que les concepteurs de cette clé ont fait la bêtise de ne pas la protéger.
PS : si c'est quand même le cas, quelqu'un ayant la clé et éventuellement un easypic sous la main pourrait-il nous procurer le .hex correspondant ? ^^
Ha oui, au passage le quartz est vraisemblablement cadencé à 12Mhz, les 2 condos qui vont à coté sont des 12pf (valeur standard que je mets sur tous mes pics).
Ha oui, dernière chose pour ceux qui voudraient se lancer dans cette aventure ^^
Pour étudier un circuit noyé dans de la résine/colle (comme c'est de plus en plus souvent le cas), il suffit de noyer le circuit dans de l'acétone pendant 24/48H et la résine s'effritera toute seule (s'il n'y a pas de condo électrochimiques ou composants comportant du plastique, ce qui n'est pas le cas de cette clé ^^)
Posté 24 août 2010 - 12:20
#43
Posté 24 août 2010 - 12:26
#44
http://www.irongeek....eystroke-dongle
Posté 24 août 2010 - 13:34
#45
Posté 24 août 2010 - 13:46
#46
Pour Neme6, le raccordement des leds ne colle pas (on ne se sert pas de broches d'IO pour faire le + et le - pour allumer
une led)"
Si tu peux.
Posté 24 août 2010 - 15:41
#47
L'objectif principale de l'étude du circuit c'était de voir si en hardware il présentait quelque chose de particulier.
Comme beaucoup le soupçonnait un dongle standard avec un micro-contrôleur USB suffit.
Par exemple le teensy (lien, merci obi76 ) pourrait peut-être suffire (comme le µC est un ATMEL il faudrait adapter).
Ou un simple montage fait chez soit :
* PIC18F4550 : ~4
* Port USB : ~1
* Quartz 12 Mhz : ~1
* R, C : ~3
Le plus dur, comme tout le monde s'en doute sera le FW à flasher sur le dongle.
Posté 24 août 2010 - 21:25
#48
Pour ce qui est des 2 leds rouge/vert, impossible de trouver le sens de branchement mais ça à la rigueur, on s'en moque pas mal (si c'est pas l'un, c'est l'autre et ça ne craint rien pour le montage).
Cependant, j'ai de bonnes raisons de penser qu'une masse vient se greffer sur le 38 du 18F (à confirmer).
Et au vu du branchement, à part un 18F4550, je ne vois pas beaucoup d'autre processeurs dont le datasheet et les montages annexes colleraient aussi bien...
Par ailleurs, le datasheet du 18F : ww1.microchip.com/downloads/en/DeviceDoc/39632b.pdf
pour faire le lien entre le schéma de Neme6 et celui du Pstrailbreak, à gauche le boitier 40-Pin PDIP et à droite le 44-PIN QFN :
13 -> 30
14-> 31
11 -> 7
12 -> 6
31 -> 29
32 -> 28
24 -> 43
23 -> 42
18 -> 37
Le schéma global reste le même, mais je pense qu'il manque quelques liens sous la puce (du genre le MCLR et/ou le reset etc).
Posté 24 août 2010 - 23:59
#49
http://www.xboxhacke...14619#msg114619
<Anonimo> just saw pics
<Anonimo> on your site
<Anonimo> of the disassembled one from discoazul
<Anonimo> i was just trying to
<Anonimo> read the schematic
<Anonimo> http://img256.images...7/dsc03223c.jpg
<Anonimo> and found that
<Anonimo> this is probably not
<Anonimo> standard usb
<Anonimo> it uses the usb connector
<Anonimo> to initialize a different
<Anonimo> kind of serial connection
<Anonimo> looking at the schematic
<Anonimo> you see D- and GND
<Anonimo> connected together with a resistance
<Anonimo> this is not usb
<Anonimo> it may be a trigger
<Anonimo> to start
<Anonimo> a connection
<Anonimo> onto the other
<Anonimo> two pins
<Anonimo> i bet it is standard rs232 or i2c
<Anonimo> just like
<Anonimo> any other service port
<Anonimo> you can sniff the only active pin for the communication
<Anonimo> and see
<Anonimo> because
<Anonimo> of the 4 usb pins
<Anonimo> you have
<Anonimo> 1 gnd
<Anonimo> 2 d- connected to gnd
<Anonimo> cool
<Anonimo> you know
<Anonimo> mcu
<Anonimo> don't have a lot of flash
<Anonimo> i don't think it stores
<Anonimo> datas
<Anonimo> inside
<Anonimo> and looking at the schematics
<Anonimo> it seems
<Anonimo> also that
<Anonimo> you have some pull up resistors
<Anonimo> so i bet it is some kind of i2c
<Anonimo> just like any other service hardware from any other brand
<Anonimo> you can check with a multimeter when it arrives
<Anonimo> i'm looking forward to see the complete schematic
<Anonimo> on some website
<Anonimo> so, to sum up
<Anonimo> 1. Probably not usb, but a trigger onto one side to start a different protocol onto the other
<Anonimo> 2. quite sure only one pin to sniff with logic
<Anonimo> 3. mcu doesn't have a big flash, the magic datas are probably very little
<Anonimo> 4. don't think they are using asic or fpga, more likely cheap mcu
<Anonimo> and finally
<Anonimo> the upper part of the board
<Anonimo> is not interesting
<Anonimo> it only handles lighting
<Anonimo> the only thing
<Anonimo> i can not understand
<Anonimo> is the diode
<Anonimo> probably used for reading
<Anonimo> from the ps the reply
<Anonimo> i have
<Anonimo> another
<Anonimo> theory
<Anonimo> probably
<Anonimo> if it is correct usb
<Anonimo> protocol
<Anonimo> and not using a tricky method
<Anonimo> probably the
<Anonimo> key is
<Anonimo> the device id
<CORAGON> ?¿
<Anonimo> of the usb dongle
<Anonimo> you know
<CORAGON> yes i know
<Anonimo> usb devices has a device id
<CORAGON> but...
<CORAGON> the id is the same in all ps jailbreak?
<Anonimo> which
<Anonimo> tells
<Anonimo> the usb host
<Anonimo> what kink of hardware
<Anonimo> you connected
<CORAGON> yes...
<CORAGON> only with the id, the ps3 comes in to debug mode?
<CORAGON> it can be
<CORAGON> in the SAT, the technics use an usb called "ID Stick" or something else
<CORAGON> wait a second
<CORAGON> i search it
<Anonimo> k
<CORAGON> ID swapping For Target USB
<CORAGON> its the name
<CORAGON> you say that the jaibreak changes the ID os the PS3
<CORAGON> ?¿
<Anonimo> no
<Anonimo> every usb device
<Anonimo> has got an id that tells
<Anonimo> the kind of object connected
<Anonimo> eg. printer, hid, wifi dongle ...
<CORAGON> yes
<Anonimo> if the ps3 has got inside a dongle with the correct id
<Anonimo> goes into service
<Anonimo> however
<Anonimo> we only have to wait
<Anonimo> monday
<Anonimo> so that you can
<CORAGON> It's easy to copy this ID?
<Anonimo> open up the jig with your hands
<Anonimo>
<CORAGON>
<Anonimo> when you use any mcu with usb
<Anonimo> you can
<Anonimo> decide it
<CORAGON> mmm
<Anonimo> if i'm not wrong
<Anonimo> someone
<Anonimo> tried
<Anonimo> to connect it to a pc
<CORAGON> yes
<Anonimo> and the pc recognized it
<CORAGON> no
<Anonimo> in some way
<CORAGON> the pc not recognized it
<Anonimo> what happened?
<CORAGON> nothing
<CORAGON> when connect it
<CORAGON> nothig happens
<CORAGON> we will try to connect to linux
<Anonimo> tried to search for hardware?
<Anonimo> *drivers'
<CORAGON> it finds a strange drive
<Anonimo> oh this is good
<CORAGON> but it havent got drivers
<Anonimo> so it has a strange device id
<CORAGON> yes
<Anonimo> Tongue
<CORAGON> but the mcu have memory
<Anonimo> very little
<CORAGON> it have a secret partition
<Anonimo> generally
<CORAGON> very very litte
<CORAGON> 256 kb i think
<Anonimo> ok!
<Anonimo> so that
<CORAGON> whith the debug kernel
<Anonimo> they can
<Anonimo> update
<CORAGON> yes
<Anonimo> it
<Anonimo> probably
<Anonimo> that is
<Anonimo> the eeprom
<Anonimo> inside
<Anonimo> the mcu
<Anonimo> ps3 debug kernel?
<CORAGON> yes
<CORAGON> it enables ps3 to run unsigned code
<CORAGON> i have any idea about what mcu is it?
<CORAGON> probably an atmega?
<Anonimo> probably
<CORAGON> i finf an atmega 44 pin with memory and usb capable
<Anonimo> you can also
<CORAGON> ATmega 32U4
<Anonimo> check for the pin
<Anonimo> where the external
<Anonimo> oscillator is connected
<CORAGON> ok
<Anonimo> the side i mean
<CORAGON> Atmega datasheet: http://www.atmel.com...nts/doc7766.pdf
<CORAGON> 16/32K Bytes of
<CORAGON> ISP Flash
<Anonimo> the problem is not the mcu
<Anonimo> i think any mcu
<Anonimo> with usb
<Anonimo> can handle the job
<Anonimo> we have only to see sniffing
<CORAGON> how to sniff a usb connection?
<CORAGON>
<Anonimo> you only need a strong logic analyzer
<Anonimo> D- on pin 11
<Anonimo> on this mcu
<Anonimo> of photos
well, this is the first time I saw a true "tech" talk. I also have the questions regarding to the resistors connecting the D+ and GND, also D- and VCC. from the photos, one can see that the D- pin got connected to 3 different places. the speculation of possible I2C or other serial protocol being used in this dongle might also be possible. but using the USB isn't a wrong thing, one can still make a dongle with high security via USB connection. we can only know more after someone figure out the circuit connections, and better with logic analyzer sniffing data.
Posté 25 août 2010 - 07:25
#50
Et effectivement, comme ils le disent si bien, le schéma du circuit c'est une chose dont on se fout pas mal, il est simple. Non c'est le programme qu'il faut copier/faire. Pour ça un minimum de matos s'impose et plusieurs PS3...
Posté 25 août 2010 - 08:15
#51
C'est super d'avoir un point de vue différent avec des arguments bien fondés !
Je vais regarder la datasheet du Atmega
Sinon pour vérifier l'ID du device il existe un soft M$ pour lister toutes les infos qu'il est possible d'avoir sur les périph USB connectés.
Je vais essayé de le retrouver...
Ça relance le sujet
Posté 25 août 2010 - 09:57
#52
Posté 25 août 2010 - 10:08
#53
Posté 25 août 2010 - 11:03
#54
"répondre" -> créera un new post avec en citation le post sur lequel tu as cliqué
"multi-citation" -> permet de créer une multi-citation en en pré-sélectionnant les post souhaité, puis cliquez sur "ajouter une réponse" en bas ou en haut du topic
et sur tes propres post, tu as un item "modifier" qui te permet de mettre a jour ton post
ps: il faut etre sur le forum et non le site
++
Modifié par Nbz360, 25 août 2010 - 11:03.
Posté 25 août 2010 - 11:13
#55
si t'en a tu l'utilise si non je pense que ca reviendra moins cher de le faire soit même@manethon 1) pourquoi s'embeter a faire soit meme un lecteur de puce alors qu'il en existe a t on avis comment ils ont fait pour programmer la puce ?
2)Il ne suffit pas de lire comme j'ai pu ecrire precedement
Mes tutos :
1-Protection de la PS3 contre la surchauffe Méthode 1 Méthode 2
3-Problèmes de détection des lecteurs sous JF
Posté 25 août 2010 - 13:01
#56
Posté 25 août 2010 - 21:30
#57
Encore désolé...
Posté 26 août 2010 - 08:09
#58
Je suis actuellement en train de programmer un éventuel émulateur de ce dongle sur psp.Malheureusement, je n'ai pas ce dongle.J'aurai besoin qu'on me poste certain information (qui pourrait être lu sous le panneau de config de windows):
bLength bDescriptorType bcdUSB bDeviceClass bDeviceSubClass bDeviceProtocol bMaxPacketSize idVendor idProduct bcdDevice iManufacturer iProduct iSerialNumber bNumConfigurations
Thanks
Modifié par mellos, 26 août 2010 - 08:11.
Posté 26 août 2010 - 10:40
#59
Posté 26 août 2010 - 11:33
#60
Pourquoi ne pas directement récupérer le signal de la clé et le reprogrammer tel-quel, si les comm sont indépendantes de la PS3 bien entendu...
Il y a deux maniéres de cracker un dongle:
-La plus simple est de sniffer et logger les bytes d'échanges (nécessite dans notre cas du matériel)
-La second est de faire un reverse complet de l'algo utilisé dans la clé(donc un dump )
2 utilisateur(s) li(sen)t ce sujet
0 invité(s) et 2 utilisateur(s) anonyme(s)