Welcome Anonymous !

[Bhaal]

Après nous avoir présenté son PS3 Exploit Fix et la Première partie du Tutoriel, XorLoser continue son tutoriel pour l'exploitation du PS3 Exploit, initialement développé par GeoHot.

Cet article traitera du matériel nécessaire pour déclencher l'exploit de l'accès à la mémoire de l'HyperViseur de la PS3. Le but de ce matériel est d'arrêter la PS3 enregistrant un changement et de sauvegarder une valeur que nous ne voulons pas changer. La PS3 sauvegarde ce changement de valeur en l'écrivant dans la RAM. Par conséquent, afin de l'empêcher de sauvegarder cette valeur nous devons stopper l'écriture avant qu'elle ait lieu.

La PS3 envoie la commande d'écriture à la RAM via quelques lignes de commande, donc nous interférons avec ces lignes de contrôle quand la commande d'écriture en envoyée. Le résultat que nous recherchons que que la PS3 pense avoir réussi à écrire la valeur dans la RAM, mais la RAM n'a pas reçu la commande d'écriture à cause de notre intervention et donc l'opération d'écriture n'a pas eu lieu.

Le moyen le facile (et le plus sûr) pour interférer avec ces lignes de contrôle est de les mettre à la masse. Cela est faisable assez aisément en connectant un fil entre une des ligne de contrôle et la masse. La partie délicate est d'avoir un timing parfait pour interférer avec les lignes que nous voulons stopper, et pas avec ce qui se passe avant ou après. Cela doit être réalisable avec du matériel couteux et beaucoup de travail, toutefois GeoHot à utiliser une "simple" méthode de chance. Il s'agit de préparer à plusieurs reprises la situation pour avoir les meilleures chances possible d'écraser la bonne commande d'écriture en mettant à la terre la ligne de contrôle jusqu'à ce que quelque chose qui ne devrait pas "planter" ou bien jusqu'à ce que la commande d'écriture soit stoppée. A ce point, l'exploit a été déclenché avec succès.

Maintenant que vous savez comment ça fonctionne, il est temps de passer à la pratique. Une connexion est requise pour la ligne de contrôle que l'on va mettre à la terre ainsi qu'une connexion à la terre. Ces deux fils doivent être connectés entre eux momentanément. Si vous essayez manuellement aussi vite que vous pouvez, vous les connecterez qu'un millième de seconde au mieux, cependant les ligne de contrôle de la RAM sont si rapide qu'une 1 ms risque d'interférer avec d'autres commander. Au contraire, ces lignes doivent être connecté à un appareil capable de ponter les connections entre elle pendant de très faible période. GeoHot a suggéré une connexion d'environ 40 ns (nano secondes).

Il y a de nombreux matériel susceptible de réussir ces courte connexions. GeoHot à utiliser un FPGA qu'il avait sous la main. D'autres ont suggérer d'utiliser un Timer 555, cependant je n'ai jamais entendu parler de quelqu'un qui a réussi avec cette méthode. J'ai utilisé un petit Micro-Contrôleur SX28 que j'avais sous la main suite à un projet il y a quelques année. Il fonctionne à 50 MHz avec un cycle d'instruction de 20 ns, ce qui veut dire qu'il sera assez rapide pour créer une connexion de 40ns.

La 1ère étape est de démonter votre PS3 pour exposer le coté supérieur de la carte mère. Une fois fait, regardez la photo suivante, cela dépends de la PS3 que vous avez.

Cette première image vient d'une vielle PS3 60 Go avec 4 ports USB et un lecteur de carte mémoire. Vous pouvez voir que j'ai soudé un fil sur un coté d'une résistance. C'est la connexion de la ligne de contrôle de la RAM de la PS3 que vous aurez besoin de souder. Je vous suggère de tirer le fils vers le bas et puis vers la gauche de la prise d'alimentation que vous pouvez voir. Mon fil continue plus bas dans l'image, mais cela causait des interférences. Pour éviter cela, vous devez le mettre vers la gauche en-dessous de la prise d'alimentation pour qu'ils viennent ensuite du côté gauche du boîtier PS3. Vous pouvez utiliser un long fil pendant votre installation, mais essayer de conserver un un fil le plus court possible lorsque vous finaliser sa mise en place. Vous pouvez voir que que j'ai utiliser un pistolet a colle chaude pour éviter tout effort sur le point de soudure.

Image Introuvable

Cette seconde image vient d'une PS3 80 Go avec 2 ports USB et pas de lecteur de carte mémoire. C'est le modèle qui était d'actualité avant que les modèles "Fat" ne soit remplacé par les "Slim", donc c'est une nouvelle révision de carte mère où il y a 2 puces de RAM de chaque coté de la carte mère au lieu de 4 d'un seul coté. Dans cette image j'ai entouré la piste sur laquelle vous devez souder votre connexion pour les lignes de contrôle de la RAM. Afin de réaliser la soudure, j'ai utilisé un cutter pour gratter soigneusement le vernis sur le dessus de la piste afin d'exposer le cuivre où j'ai ensuite soudé un fil dessus. Une fois connecté vous devez tirer le fil tout droit vers le devant du boitier afin d'éviter au mieux les interférences entre le fil et les autres parties de la PS3. Une fois de plus, essayez de garder un fil propre et court.

Image Introuvable

Ensuite vous devez obtenir une connexion de mise à la terre. C'est la même chose pour les 2 versions de carte mère et c'est très facile. Vous pouvez simplement enrouler un fil autour de l'une des vis en métal qui se vissent dans le blindage métallique recouvrant la partie supérieure de la carte mère. Vous n'avez pas besoin de la souder, juste de l'enrouler autour de la vis sous la tête de vis et ensuite de visser la vis dans son emplacement. Ce fil doit être amené hors de la PS3 à coté de votre fil de contrôle de ligne.

Ces deux câbles de connexion sont commun à n'importe quel implantation de déclencheur matériel. Ce qui suit est spécifique à mon déclencheur matériel mais vous pouvez implanter votre déclencheur comme vous voulez. Remarquez que j'ai initialement essayer de câbler une alimentation de 5 V près de ces lignes mais j'avais continuellement des interférences non voulues dans la ligne de contrôle de la PS3, ce qui causait des plantage pendant le démarrage.

Pour mon déclencheur matériel, j'ai utilise un Micro-Contrôleur SX28 que j'avais acheté il y a quelques années en même temps que ce kit de programmation. Pour utiliser le SX28 vous avez besoin d'une puce SX28, d'un moyen de programmer la puce (habituellement un SX-Key ou un SX-Blitz) et un oscillateur pour amener la puce SX28 à 50 MHz. Tout cela est inclus dans le kit de programmation ci-dessus. Peut-être que si suffisamment de personne leur achète ce kit et qu'ils mentionnent XorLoser, ils m'enverront une version USB de la SX-KEY au lieu de ma vieille version sur port série.

Ci-dessous, voici un schéma de mon circuit que j'ai dessiné sous Paint. Remarquer que j'utilise le kit de programmation que j'ai mentionné ci-dessus qui utilise le programmateur SX-KEY au lieu de de l'oscillateur puisque le SX-KEY est "attaché". Je n'ai pas besoin d'un oscillateur externe donc je vais laisser le raccordement juste pour vous. Noter simplement que vous avez besoin soit d'un oscillateur soit d'un SX-KEY "attaché" afin de faire fonctionner la puce.

Image Introuvable

Ce code source du SX28 est la dernière pièce du puzzle. Programmer cela dans votre SX28 grâce au logiciel gratuit SX-Key Editor de Parallax. Une fois que tout cela est relié à votre PS3, vous devriez être capable d'envoyer une pulsation (en mettant la ligne de contrôle à la terre) à la PS3 en pressant l'interrupteur. Vous devrez utiliser un bouton poussoir à impulsion sur front montant pour faire cela car il permet de conserver l'envoi des impulsions toutes les 100 ms si le commutateur reste appuyé. La D.E.L. sur la droite du schéma est juste là pour vous donner quelques retour. Elle s'allumera quand une impulsion sera envoyé pour vous faire savoir que le circuit fonctionne comme il le devrait. Je dois mentionner que si vous regardez le code source de mon SX28 vous verrez que la D.E.L. s'allume si j'envoie une longue pulsation de 360 ns. Je ne connait pas la longueur exacte de la pulsation qui est réellement envoyée étant donné que je n'ai pas (encore) de matériel capable de mesurer la pulsation. C'est possible qu'il y ait des retards, imputables au matériel, qui se produisent lors du changement de direction du port ce qui signifie que même si j'attends 360 ns, il envoie toujours une pulsation d'environ 40 ns. Pour arriver à la valeur de 360 ns, j'ai essayé plein de valeurs en faisant une impulsion aussi courte que possible jusqu'à ce qu'il ne déclenche plus, ensuite j'ai augmenté la valeur un petit peu pour obtenir la plus petite pulsation fonctionnant.

Juste une petite image de tout les appareils fonctionnant ensemble parce que tout le monde aime les images !

C'est la PS3 avec la nouvelle carte mère avec devant le socket que j'ai installé, l'autre était un peu limite pour le Hack.

Source : Blog de XorLoser (PS3 Exploit: Hardware) et Blog de XorLoser (PS3 Exploit Setup)

[Antonito]

Merci pour la news !

[Bhaal]

Voilà, désolé pour le retard, j'ai fini la traduction du tuto

[Dangernet]

Merci c'est énorme comme traduction.

[Plt2so6]

bon et clairmeent on en est ou dans le hack de la ps3 ?? paske bon ya rien de concret pour nous utilisateur lambda si??

[minimorphee]

bah il n'y a rien a faire pour nous et ci tu touche a ta PS3 bah il n'y aura plus jamais rien (maj de Sony)

Voilà sa résume bien je trouve XD

Mini

[Bhaal]

wep rien de concret, tout ce que nous a apporte GeoHot c'est un brevet anti-hack lol