El Firmware 3.50 desencriptado

1, 2, 3, 4, 57
No es por ser aguafiestas,pero, hasta donde yo se, los ficheros extraidos de las aztualizaciones siguen firmados y encriptados, como lo están en en la consola mediante el acceso a dev-flash.Si no se ha conseguido hacer un downgrade emulado fucnional, dudo mucho que se se pueda hacer lo misimo "hacia arriba"... con todo lo que esto implica.

Pero igual me equivoco [poraki]

Salu2.
nuevos avances.
I completely reversed the Update Manager that runs in Process 6 in HV.
And it decrypts CORE_OS_PACKAGE.pkg, calculates hash values of lv0 and lv1.self, sends these hash values to SC Manager (runs also in a HV Process), that stores it either in EEPROM or somewhere else. After that the decrypted CORE_OS_PACKAGE.pkg is stored on the flash. So, by decrypting of CORE_OS_PACKAGE.pkg i just did a part of what UM does.
And i have write access to FLASH but NO access to SC Manager.

During booting, System Manager (runs in HV Process 9) tells Update Manager to do integrity check. Among other things, Update Manager reads lv0 and lv1.self hash values from SC Manager, calculates hash values of these files from FLASH and compares them. If they do not match, then it reboots or power off.

So that is why i said in my earlier post, that before i will do downgrading, i need SC Manager access.

GameOS has a VUART communication link to HV Processes which provide different services to GameOS. Updater from GameOS e.g. communicates with Update Manager from HV through this link. And SC Manager can also be accessed through VUART link (Dispatcher Manager)
but unfortunately it has ACLs and denies all accesses to SC Manager from GameOS :-( . If i had access to SC Manager, i could do so many cool things :-) E.g. decrypt USB Dongle Master Key that is stored decrypted in HV Process 6 (the same process where Update Manager runs).

USB Dongle Master Key is decrypted by SC Manager :-)
I guess Jailbreak people have decrypted USB Dongle Master Key. If you have this key, then you can bring your PS3 intp product mode. In this mode e.g. integrity checks done by Update Manager are skipped :-)
BTW, USB Dongle Authenticator runs also in HV Process 6 and GameOS has free access to it, but you need the master key :-)

BTW, System Controller (SC or SYSCON) is accessed in HV through VUARTs from LPAR1. And the VUARTS send data to ioif, address somewhere 0×2400009000, don’t know exactly, have to look up it HV.
So if someone manages to map this address into LPAR’s memory, the he got access to SC.

I have now a very rock solid knowledge of HV and it’s Processes but unfortunately no HV access yet :-)

So, here is some piece of my knowledge i gathered by reversing HV :-)

I’am able to run isolated SPUs from GameOS but i didn’t use any GameOS functions. I used ONLY HV calls. I’m more intersed in HV r eversing :-)

I will soo make public how to decrypt CORE_OS_PACKAGE.pkg.


Traduccion de google lo siento mi ingles no da para mas
Estoy totalmente invertido Update Manager que se ejecuta en el proceso de las 6 de alto voltaje.
Y descifra CORE_OS_PACKAGE.pkg, calcula los valores hash de Lv0 y lv1.self, envía estos valores hash para SC Manager (se ejecuta también en un proceso de alto voltaje), que almacena, ya sea en EEPROM o en algún otro lugar. Después de que el CORE_OS_PACKAGE.pkg descifrado se almacena en la memoria flash. Así, con sólo descifrar CORE_OS_PACKAGE.pkg hice una parte de lo que UM hace.
Y tengo acceso de escritura a FLASH pero NO acceso a la SC Manager.

Durante el arranque, el administrador del sistema (se ejecuta en proceso de AT 9) dice Administrador de actualizaciones de hacer comprobación de integridad. Entre otras cosas, Update Manager lee Lv0 y lv1.self valores hash de SC Manager, calcula los valores hash de los archivos de Flash y los compara. Si no coinciden, a continuación, se reinicia o apaga.

Es por eso que he dicho en mi anterior post, que antes de que voy a hacer descalificación, necesito SC de acceso de gerente.

GameOS tiene un enlace de comunicación a los procesos VUART HV que prestan servicios diferentes a GameOS. Actualizador de GameOS por ejemplo, se comunica con el Administrador de actualizaciones de alta tensión a través de este enlace. Y SC Manager también se puede acceder a través del enlace VUART (Dispatcher Manager)
pero, desgraciadamente, ha ACL y niega todos los accesos a SC Manager de GameOS :-(. Si tuviera acceso a la SC Manager, que podría hacer cosas buenas para muchos :-) Por ejemplo, descifrar USB Dongle clave maestra que se almacena en el descifrado HV Proceso 6 (el mismo proceso de actualización donde se ejecuta el Administrador).

USB Dongle clave maestra es descifrado por SC Manager :-)
Supongo que la gente Jailbreak han descifrado USB Dongle clave maestra. Si usted tiene esta clave, entonces usted puede llevar su modo de PS3 producto INTP. En este modo, por ejemplo, comprobaciones de integridad realizada por el Administrador de actualizaciones se omiten :-)
Por cierto, USB Dongle autenticador se ejecuta también en AT Proceso 6 y GameOS tiene libre acceso a ella, pero se necesita la llave maestra :-)

Por cierto, controlador del sistema (SC o SYSCON) se accede a través de AT VUARTs de LPAR1. Y el VUARTS enviar datos a ioif, la dirección en algún lugar 0 × 2400009000, no sé exactamente, tiene que buscar lo alto voltaje.
Así que si alguien se las arregla para asignar esta dirección en la memoria LPAR, la que tiene acceso a la SC.

Tengo ahora un conocimiento muy sólido de rock de alto voltaje y los procesos, pero por desgracia todavía no tienen acceso HV :-)

Así pues, aquí es alguna pieza de mi i conocimiento adquirido mediante la inversión de AT :-)

capaz de ejecutar SPUs aislado de GameOS pero yo no uso las funciones GameOS I'am. Yo SOLO HV llamadas. Estoy más Intersed en r HV eversing :-)

Yo soo, hará pública la forma de descifrar CORE_OS_PACKAGE.pkg.


Yo no me entero de nada de lo que comenta solo dice que hará pública la forma de descifrar CORE_OS_PACKAGE.pkg. Si alguien puede explicar a que se refiere todo esto
Balbu de donde has sacado esa info...en el blog de xorloser no veo nada de eso, aunque estan teniendo un pique bonito xoroser y el tal graf_chokolo
xDDDDDDDDDD
el_aprendiz escribió:Balbu de donde has sacado esa info...en el blog de xorloser no veo nada de eso, aunque estan teniendo un pique bonito xoroser y el tal graf_chokolo
xDDDDDDDDDD

lo tienes en el blog de xorloser http://xorloser.com/?p=297 al final del todo.
acabo de leer en el blog de demonhades esto:Acabo de leer en varias webs o blogs que el FW3.50 a sido descifrado y digo voy a leer a ver que es lo que comentan,viendo lo expuesto e dicho joder si esto es mas viejo que las bragas de nefertiti.

Lo que se ha realizado es un Dump de la “NAND FLASH” que contiene el core_os,y a su vez los los loaders (motor de Inicialización),eso se lleva haciendo desde el FW 1.50 con el Moddchip “INFECTUS”.

[burla2]
maee escribió:acabo de leer en el blog de demonhades esto:Acabo de leer en varias webs o blogs que el FW3.50 a sido descifrado y digo voy a leer a ver que es lo que comentan,viendo lo expuesto e dicho joder si esto es mas viejo que las bragas de nefertiti.

Lo que se ha realizado es un Dump de la “NAND FLASH” que contiene el core_os,y a su vez los los loaders (motor de Inicialización),eso se lleva haciendo desde el FW 1.50 con el Moddchip “INFECTUS”.

[burla2]

si lo ha dicho demonhades, es que tiene razon
NO.
el_aprendiz escribió:Update

CORE_OS_PACKAGE.pkg from 3.42 Firmware is now also decrypted
And 1.10, the first firmware, also

Here is a small snippet:
http://pastie.org/1297704


Al lorito con el menda, esta a tope xDDDD



HERMES 2? [+risas]
por lo que parece mathieulh le tiende la mano
mathieulh says:
November 16, 2010 at 1:17 am

graf_chokolo as far as I am concerned you have the rights to publish any of your findings at the place you see fit, so if you want to publish it on the public sections of the ps3wiki, I don’t mind.

P.S. your reversing was impressive. Also if you wish to know about eeprom access, head to the chan, most of us will be glad to help you out.
sefirot_bnk escribió:
maee escribió:acabo de leer en el blog de demonhades esto:Acabo de leer en varias webs o blogs que el FW3.50 a sido descifrado y digo voy a leer a ver que es lo que comentan,viendo lo expuesto e dicho joder si esto es mas viejo que las bragas de nefertiti.

Lo que se ha realizado es un Dump de la “NAND FLASH” que contiene el core_os,y a su vez los los loaders (motor de Inicialización),eso se lleva haciendo desde el FW 1.50 con el Moddchip “INFECTUS”.

[burla2]

si lo ha dicho demonhades, es que tiene razon
NO.

xDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD
balbu14 escribió:Yo no me entero de nada de lo que comenta solo dice que hará pública la forma de descifrar CORE_OS_PACKAGE.pkg. Si alguien puede explicar a que se refiere todo esto



Basicamente y sin entrar en detalles tésnicos viene a decir que esta intentando conseguir la clave maestra descrifrada del dispositivo usb de servicio (el infame jig de $ony) para conseguir poner la consola en modo de producción (virgen total) y así poder tener acceso a escritura a dev_flash saltandose la comprobaciones de integridad,firmas, etc y que se realizan al instalar fws de forma normal.

Esto permitiría hacer downgrade y tal vez también sería posible instalar el firm de una consola debug, entre otras cosas.

Salu2.
majumia escribió:Dios existe!!!!!!

ya te digo [oki] esperemos que exista rapidoo [flipa]
Voy a tener que hacer sacrificios al dios yashin para que cumpla esta venganza 4 años de ps3 60 gb pagandole todos los caprichos xD y cuando aparecen los backups se me muere con el Ylod... ahora esta resucitada solo falta un downgrader y a quemarla!
jejej yo la mia solo queda downgrearla y comprar un buen dongle, que no se cual creo que ganara el ps3break pero si eso cual me recomienda?
garpini94 escribió:jejej yo la mia solo queda downgrearla y comprar un buen dongle, que no se cual creo que ganara el ps3break pero si eso cual me recomienda?


Yo tengo el EcliPS3 de aquí y me va de lujo.
Yo tengo suerte de poseer un ipod nano 1g pero bueno siempre es mejor un dongle que no lo tienes que reiniciar por hacer mal el timing de encendido aunque ahora mismo no sabria que recomendarte debido a que puede haber novedades y cambios (asbestos y posible 3.50 algun dia xD?) si quieres saber cual mejor pasate por modchips y softmods
Kriketo escribió:Yo tengo suerte de poseer un ipod nano 1g pero bueno siempre es mejor un dongle que no lo tienes que reiniciar por hacer mal el timing de encendido aunque ahora mismo no sabria que recomendarte debido a que puede haber novedades y cambios (asbestos y posible 3.50 algun dia xD?) si quieres saber cual mejor pasate por modchips y softmods

Tienes 1 MP.
Como siempre DEMONHADES quedando como lo que es:


UN RIDÍCULO
Donsultano escribió:Como siempre DEMONHADES quedando como lo que es:


UN RIDÍCULO


Se te ha olvidado decir que da vergüenza ajena y pena a partes iguales...
Pues con esto se les terminaria el chollo a los del psjailbreak.
Ojala lo consigan por el bien comun. [beer] [beer] [beer] [beer] [beer] [oki]
balbu14 escribió:por lo que parece mathieulh le tiende la mano
mathieulh says:
November 16, 2010 at 1:17 am

graf_chokolo as far as I am concerned you have the rights to publish any of your findings at the place you see fit, so if you want to publish it on the public sections of the ps3wiki, I don’t mind.

P.S. your reversing was impressive. Also if you wish to know about eeprom access, head to the chan, most of us will be glad to help you out.


Pero el franchute no decia que esto ya lo tenia hecho? Cada vez me cae peor el tipo este.
tonialc escribió:
balbu14 escribió:por lo que parece mathieulh le tiende la mano
mathieulh says:
November 16, 2010 at 1:17 am

graf_chokolo as far as I am concerned you have the rights to publish any of your findings at the place you see fit, so if you want to publish it on the public sections of the ps3wiki, I don’t mind.

P.S. your reversing was impressive. Also if you wish to know about eeprom access, head to the chan, most of us will be glad to help you out.


Pero el franchute no decia que esto ya lo tenia hecho? Cada vez me cae peor el tipo este.


No te referiras al downgrade?
yo espero que entre los dos dentro de poco nos den algun tipo de alegria o nos hagan ver un poquito de luz por lo que parece se estan poniendo en ello

Mathieulh says:
November 16, 2010 at 4:09 am

I don’t think it is worthed to reproduce the jig, you still need to use leaked signed selfs that can (and will) be revoked the first chance sony gets, not to mention besides the obvious dongle id revocation, they can also update any part of the SPM (that includes the update manager) and change the whole jig authentication process. This makes such a hack a lot less appealing, that’s my personal opinion though.

Sony should have done the whole challenge/response inside an isolated module though and kept the “master key” in there as well.
#
graf_chokolo says:
November 16, 2010 at 5:06 am

Holy shit, guys !!! Just decrypted CORE_OS_PACKAGE.pkg from service jig PUP. There are new SPUs in there :-)

Here is a snippet:

http://pastie.org/1300195
#
Mathieulh says:
November 16, 2010 at 5:38 am

Nice find :) I don’t know the spu_mode_auth.self and fdm_spu_module.self, the others are common though.
Yo no se que opinais, pero en menos de una semana la PS3 la han desmantelado.

Sony estas con el culo al aire, ¿no creeis?

Saludos!
Desmantelada no, no han conseguido desencriptar del todo el firm 3.42 y 3.50, para jugar, de momento 3.52 y nada de juegos nuevos
Que buena noticia, esperemos que salga adelante y podamos ver un cfw pronto.
NGC_BCN escribió:Desmantelada no, no han conseguido desencriptar del todo el firm 3.42 y 3.50, para jugar, de momento 3.52 y nada de juegos nuevos


ein? ¿Ha salido la 3.52?
pues yo le preguntao a un vecino y ma dixo ke no la salio nada para actualizar,sigue con 3.50
pero quien a dicho que ha salido la 3.52?? dios mio...
3.52 no hay,de momento,pero fijo que algun firmware nuevo sacarán.
pupila1992 escribió:pero quien a dicho que ha salido la 3.52?? dios mio...

NGC_BCN [fumando]
Q saquen nuevos firm no cabe duda. lo suyo es q consigan desencriptar el primer firm, q es el 3.50 mejor, cambiarlo y volverlo a empaquetar para q la ps3 lo trague. una vez conseguido creo q ya sony se tendria q bajar los pantalones. y a saber q medidas tomaria pq la actualizacion, q es en lo q han basado la seguridad se vendria a bajo y no se dedicarian a quemar efuses sin mas
Pd: perdon por los puntos y las comas jejeje
esto pinta cada vez mejor, a ver si sacan un custom firmware que de por si entre en modo debug sin el procedimiento del pendrive que es un coñazo
esto pinta cada vez mejor, a ver si sacan un custom firmware que de por si entre en modo debug sin el procedimiento del pendrive que es un coñazo
hombre yo creo que esto todavia va para largo no creo que vayan a tardar poco pero tendremos paciencia por que yo apuesto que de aqui sale algo bueno.
Ya ha desencriptado la dev-flash y la dev-flash 3
astrilo escribió:
Kriketo escribió:Yo tengo suerte de poseer un ipod nano 1g pero bueno siempre es mejor un dongle que no lo tienes que reiniciar por hacer mal el timing de encendido aunque ahora mismo no sabria que recomendarte debido a que puede haber novedades y cambios (asbestos y posible 3.50 algun dia xD?) si quieres saber cual mejor pasate por modchips y softmods

Tienes 1 MP.

contestado :)
Esto avanza que da gusto, a ver si pronto nos vemos con un CF [beer]
No se me da espina que no se llegara a nada.
graf_chokolo has posted some exciting findings over on xorloser's blog. He states he can now decrypt the CORE_OS_PACKAGE.pkg from PS3 Update/PUP files. So whats this mean to the end user? He goes on to explain:

I am able now to decrypt and decompress CORE_OS_PACKAGE.pkg from PS3 PUP-Files. The decrypted and decompressed package is a copy of FLASH region where all the important SELFs and isolated SPUs stored, e.g. lv1.self or isoldr.

So, now i could downgrade PS3 by writing this decrypted image to FLASH manually, without Update Manager from HV. In fact, Update Manager just do this But the problem is, that the SHA-1 hash values for these files are stored not in flash but in SC EEPROM and i don’t have access to it yet
This is exciting news indeed, and may lead to a free public method to downgrading, without the need for a device like PS Downgrade. +1000000

Vamos machote, que tu puedes
no me di cuenta y puse 3.52, quise poner 3.41, lo malo de un teclado de un smartphone
atorsilver escribió:graf_chokolo has posted some exciting findings over on xorloser's blog. He states he can now decrypt the CORE_OS_PACKAGE.pkg from PS3 Update/PUP files. So whats this mean to the end user? He goes on to explain:

I am able now to decrypt and decompress CORE_OS_PACKAGE.pkg from PS3 PUP-Files. The decrypted and decompressed package is a copy of FLASH region where all the important SELFs and isolated SPUs stored, e.g. lv1.self or isoldr.

So, now i could downgrade PS3 by writing this decrypted image to FLASH manually, without Update Manager from HV. In fact, Update Manager just do this But the problem is, that the SHA-1 hash values for these files are stored not in flash but in SC EEPROM and i don’t have access to it yet
This is exciting news indeed, and may lead to a free public method to downgrading, without the need for a device like PS Downgrade. +1000000

Vamos machote, que tu puedes


A puntito a puntito, espero que no se quede en nada o alguien pueda aprovechar el trabajo de este compañero.
Ozone escribió:
atorsilver escribió:graf_chokolo has posted some exciting findings over on xorloser's blog. He states he can now decrypt the CORE_OS_PACKAGE.pkg from PS3 Update/PUP files. So whats this mean to the end user? He goes on to explain:

I am able now to decrypt and decompress CORE_OS_PACKAGE.pkg from PS3 PUP-Files. The decrypted and decompressed package is a copy of FLASH region where all the important SELFs and isolated SPUs stored, e.g. lv1.self or isoldr.

So, now i could downgrade PS3 by writing this decrypted image to FLASH manually, without Update Manager from HV. In fact, Update Manager just do this But the problem is, that the SHA-1 hash values for these files are stored not in flash but in SC EEPROM and i don’t have access to it yet
This is exciting news indeed, and may lead to a free public method to downgrading, without the need for a device like PS Downgrade. +1000000

Vamos machote, que tu puedes


A puntito a puntito, espero que no se quede en nada o alguien pueda aprovechar el trabajo de este compañero.


y para los que el ingles no es nuestro fuerte.. algun resumen en spanish?
Parece que el tipo comparte su conocimiento...

https://ps3wiki.lan.st/index.php/Hyperv ... ngineering

Que empiece el espectaculo ;)
Parece que dentro de poco sacara algo para que los sceners empiecen a trabajar
And i will also upload my PSGroove payload source code soon. And then you will be able to decrypt packages from PUP files by yourself, dump your FLASH memory, dump your LV2 kernel, run isolated SPU’s on GameOS and other cool things :-) So use this knowledge and code to help the PS3 developer community to reverse PS3 Hypervisor and GameOS :-)
Traduccion de google
Y yo también me carga el código fuente de la carga útil PSGroove pronto. Y entonces usted será capaz de descifrar los paquetes de archivos de PUP por sí mismo, un volcado de memoria Flash, un volcado de núcleo LV2, ejecute aislados SPU en GameOS y otras cosas interesantes :-) Así que usar este conocimiento y el código para ayudar a la comunidad de desarrolladores de PS3 invertir PS3 Hypervisor y :-) GameOS
balbu14 escribió:Parece que dentro de poco sacara algo para que los sceners empiecen a trabajar
And i will also upload my PSGroove payload source code soon. And then you will be able to decrypt packages from PUP files by yourself, dump your FLASH memory, dump your LV2 kernel, run isolated SPU’s on GameOS and other cool things :-) So use this knowledge and code to help the PS3 developer community to reverse PS3 Hypervisor and GameOS :-)
Traduccion de google
Y yo también me carga el código fuente de la carga útil PSGroove pronto. Y entonces usted será capaz de descifrar los paquetes de archivos de PUP por sí mismo, un volcado de memoria Flash, un volcado de núcleo LV2, ejecute aislados SPU en GameOS y otras cosas interesantes :-) Así que usar este conocimiento y el código para ayudar a la comunidad de desarrolladores de PS3 invertir PS3 Hypervisor y :-) GameOS

este tio se va a ser grande si consigue dar las herramietas a ke dice a los scener la negrita va a ser la mas grande de la scene
pupila1992 escribió:
Ozone escribió:
atorsilver escribió:graf_chokolo has posted some exciting findings over on xorloser's blog. He states he can now decrypt the CORE_OS_PACKAGE.pkg from PS3 Update/PUP files. So whats this mean to the end user? He goes on to explain:

I am able now to decrypt and decompress CORE_OS_PACKAGE.pkg from PS3 PUP-Files. The decrypted and decompressed package is a copy of FLASH region where all the important SELFs and isolated SPUs stored, e.g. lv1.self or isoldr.

So, now i could downgrade PS3 by writing this decrypted image to FLASH manually, without Update Manager from HV. In fact, Update Manager just do this But the problem is, that the SHA-1 hash values for these files are stored not in flash but in SC EEPROM and i don’t have access to it yet
This is exciting news indeed, and may lead to a free public method to downgrading, without the need for a device like PS Downgrade. +1000000

Vamos machote, que tu puedes


A puntito a puntito, espero que no se quede en nada o alguien pueda aprovechar el trabajo de este compañero.


y para los que el ingles no es nuestro fuerte.. algun resumen en spanish?

Así lo traduzco yo, disculpad si algo no es correcto del todo, pero es lo que entiendo...


graf_chokolo ha posteado algunos excitantes descubrimientos en el blog de xorloser. Dice que puede desencriptar el CORE_OS_PACKAGE.pkg de los archivos del Update/PUP. Y esto que significa, aquí una explicación:

Soy capaz de desencriptar y descomprimir el CORE_OS_PACKAGE.pkg de los archivos del Update/PUP. El paquete desencriptado y descomprimido es una copia de la región FLASH donde se guardan todo los SELFs y los SPUs importantes, por ejemplo lv1.self o isoldr.

Entonces, ahora podría downgradear una PS3 escribiendo esta imagen desencriptada manualmente en la FLASH, sin el Updater Manager del hipervisor. De hecho Updater Manager solo hace eso, pero el problema es que los valores de la SHA-1 hash de estos ficheros no están guardados en la flash si no en SC EEPROM y no tengo acceso a ellos aun.

Esta es la gran noticia, y puede dar lugar a un método gratuito de hacer downgrade, sin la necesidad de un dispositivo como el PSDowngrade.
y lo ke digo yo si sera posible un downdgrade,tambien sera posible un cf no?
muchas gracias, haber si es verdad que lo consigue, la cosa esta muy interesante estos dias en ps3.. :)
Parece que el Sr. Chokolo nos va a hacer muy muyy felices, deseado ver sus herramientas xDDDD
346 respuestas
1, 2, 3, 4, 57