Re: [PS3 ] PS Jailbreak 原理分析

作者cassine (Savannah)

看板Modchip

標題Re: [PS3 ] PS Jailbreak 原理分析

時間Fri Aug 27 20:48:30 2010

http://www.gamefreax.de/psjailbreak-reverse-engineered.html Wir haben das PSJailbreak Dongle doch nochmal aus der Versenkung geholt um es genauer uter die Lupe zu nehmen. Wir erklären Euch hier in Kürze die wichtigsten Schritte des internen Ablaufs vom PSJailbreak. 我們對PSJB做了一些研究，現在我們可以大略描述一下PSJB的運作原理。 Wir können bestätigen, dass es sich bei dem PSJailbreak nicht um einen Clone von Sony's "Jig" Modul handelt. PSJailbrak ist ein ehrlich selbstentwickelter Exploit. Der Chip ist kein PIC18F444 sondern ein ATMega mit Software USB. Das bedeutet, der Chip ist intern in der Lage USB zu emulieren. PSJailbreak emuliert hauptsächlich einen 6Port USB Hub, an den in einem bestimmten Ablauf verschiedene USB Geräte angeschlossen und wieder abgeklemmt werden. Eines dieser Geräte trägt die ID von Sony's "Jig" Modul, das bedeutet, dass bei der Entwicklung des PSJailbreaks das "Jig" Modul eine gewisse Rolle gespielt hat. 首先，PSJB並非$ONY內部 JIG模組的複製版，PSJB所使用的是一個已知的漏洞。那顆晶片只是 PIC18F444而已，內部有燒錄特殊程式碼讓PSJB可以模擬一個 6埠的 USB集線器，然後模擬有些裝置連接到這個假的集線器上，其中一個裝置的ID 就是$ONY的 JIG模組。換言之 JIG在PSJB的開發上扮演了某種角色。 Aber fangen wir vorne an: Beim Einschalten der PS3 wird in der USB Emulation ein Gerät angeklemmt, welches einen viel zu großen Configuration Descriptor hat. Dieser Descriptor überschriebt den Stack mit einem enthaltenen PowerPC Code, welcher ausgeführt wird. Nun werden verschiedene USB Geräte in der Emulation angeschlossen. Ein Gerät verfügt über einen 0xAD großen Descriptor, der Teil des Exploits ist und statische Daten enthält. Wenige Zeit später (wir bewegen uns hier im Milisekundenbereich) wird das Jig Modul angeschlossen, und es werden verschlüsselte Daten an das Jig Modul ü bertragen. Eine (im Milisekundenbereich) Ewigkeit später antwortet das Jig Modul mit 64Byte statischen Daten, sämtliche USB Devices werden disconnected, ein neues USB Device wird connected und die PS3 startet im neuen Gewand. 這樣說好了：當 PS3開機的時候， USB模擬器也會隨之啟動，而這個模擬器卻包含了一個過大的控制描述子(Configuration Descriptor)，而這個過大的描述子剛好可以讓裡面包含的 PowerPC程式指令蓋進主機的特定堆疊中（譯註：非常類似緩衝區溢位攻擊的原理），然後非法的程式指令就被執行了。開機時一堆 USB元件又連了上主機，其中一個元件的描述子大小竟然有0xAD這麼大（ 173個字元），這就是漏洞的一部分而且資料是固定的。一段非常短的時間後（千分之幾秒），假的 JIG模組也連了上去，主機會將一段加密的資料送到假的 JIG模組，然後又過了千分之幾秒，PSJB的模擬 JIG模組將預先準備好的64位元組之料回傳，完成後所有的 USB裝置離線，接著又有新的裝置連線，此時 PS3 就能夠執行自製程式了。 ****** 如果是緩衝區溢位的話，那要看出問題的程式片段是寫在什麼地方。如果是沒辦法靠更新韌體來反制的話，就只能夠藉由硬體修掉這個問題再用封掉主機連接 PSN功能的方式來壓制。但如果這個洞也可以被用來將零售版主機韌體更新 debug版韌體的話或是駭客們改造過的官方相容版本韌體，那$ONY要反制就有一定的難度了。 -- ○ ____ _ _ _ _ ____ _ _ ____ _____ ____ 。 ★(_ _)( \( )( \/ )( ___)( \( )(_ _)( _ )( _ \ ｏ _)(_ ) ( \ / )__) ) ( )( )(_)( ) / ● ‧ (____)(_)\_) \/ (____)(_)\_) (__) (_____)(_)\_) ★ ｏ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.126.61.141

推 givemeback:原文是德文? 08/27 21:08

→ cassine:是德文沒錯 08/27 21:41

推 aifam:Good! 08/27 21:47

推 p587868:所以這是原PO自己翻譯!? 太強啦推推 08/27 22:35

推 MrRoto:推翻譯 08/27 22:38

推 makigoto123:樓上蘿德大大 08/27 22:42

→ MrRoto:QQ 正在受託關注這根棒子 08/27 22:57

推 lien1618:哪根棒子XD 08/27 23:00

→ makigoto123:蘿德推文果然很____ GJ 08/27 23:05

→ cloudzero:現在已經傳出sony開始告販賣者了 08/27 23:23

→ hipposman:蘿德金變態…逃 08/27 23:24

→ ninjaxin:開放團購嗎XD 08/28 00:44

→ luhc:團購 +1 08/28 01:49

推 secv:團購 = =+ 08/28 02:07

推 coolcliff01:這個已經正式出貨了嗎? 不曉得台灣有沒有人敢拉進來? 08/28 02:13

推 goodsnk:盜版王國哪有不敢的.. 08/28 02:13

→ coolcliff01:手上的PS3二手片上面有裂紋每次玩都怕怕 08/28 02:13

→ coolcliff01:goodsnk 不一定唷看看Wii改機抓得多兇... 08/28 02:16

推 mimicMouse:羅德大是受正版商之託嗎XDDD 08/28 08:09

→ zzeta010:連clone都說準備好了…看樣子會擋不住啊…ps3(泣 08/28 09:36

→ tsairay:看來以後ps3只能學pc上那一套,玩單機也強制你連線了 08/28 11:51

→ ShenMue:這部分我有些想請教一下，JIG裝置的ID算是SONY智慧財產的 08/28 15:37

→ ShenMue:一部分嗎？ 08/28 15:37

推 tsairay:ID只是一組數字吧... 08/28 16:01

推 tsairay:基本上能不能禁要看sony的法務部門有沒有腦 08/28 16:09

推 wantsu:ID非硬體也非軟體，要禁很難，除非出新型主機 08/28 16:15

推 tsairay:與其主張智慧財產權不如主張這東西有能力植入惡意程式 08/28 16:15

→ tsairay:會竊取使用者個資,套個大義的名份上去,可能還比較容易達成 08/28 16:17

→ tsairay:禁制的目的 08/28 16:17

→ wantsu:澳洲法院:植入惡意程式屬個人行為，與該裝置無關(誤) 08/28 16:20

→ tsairay:應該直接從usb driver去ban掉JIG device就行了 08/28 16:34

→ tsairay:只要還需要透過usb driver,那os都還能control的到 08/28 16:36

→ wantsu:PS3的usb driver是寫在機版內的，與OS無關(類似bios) 08/28 16:47

→ wantsu:所以無解 08/28 16:47

→ wantsu:而且一旦自製韌體出現，嗯....就是這樣 08/28 16:48

推 tsairay:你沒看過別人刷bios ? 08/28 16:54

推 wantsu:你看過PS3(orPSP)刷過BIOS? 08/28 16:58

→ ShenMue:不知道PS3的安全性可以到什麼程度就是了。這種封閉式系統 08/28 17:02

→ ShenMue:當初怎麼設計的只有SONY和IBM完全確知。 08/28 17:02

→ wantsu:這沒什麼好爭的，就看SCE如何去應對了，上次geohot事件， 08/28 17:03

→ wantsu:SCE迅速拔掉otherOS，這次過這麼多天沒反應.... 08/28 17:03

推 tsairay:如果有usb device可以不透過os就直接access hardware 08/28 17:04

→ tsairay:那我還真是孤陋寡聞了... 08/28 17:04

推 ShenMue:很多天嗎？一月分geo事件後，SONY隔了兩個月，三月底才禁 08/28 17:04

→ ShenMue:other os。而PSJB到目前才十天左右…XDXD 08/28 17:04

推 tsairay:大公司做事很囉唆的,不是看到洞就馬上補起來,他們會先研究 08/28 17:08

→ tsairay:有哪幾種補起來的方法,而這些方法的副作用又各是甚麼 08/28 17:08

→ tsairay:除了這個洞之外還有哪些類似的洞,能不能一起補起來 08/28 17:10

推 wantsu:不過這次的洞看樣子是更大條的問題了，還是希望SCE有辦法 08/28 17:11

→ tsairay:對產品的變更會不會違反合約或是法律,等決策完之後,技術部 08/28 17:11

→ wantsu:補起來，不然遊戲界要更昏暗了 08/28 17:12

→ tsairay:門的人才會開始做patch,做完patch之後還要跑一連串的測試 08/28 17:12

→ tsairay:流程,等流程跑完以後,patch才會standby,總之很冗長就是了 08/28 17:13

推 llwopp:請問一下 http://tinyurl.com/36zdr6t 底下faq有提到 08/29 03:18

→ llwopp:若光碟內有單檔超過4gb 就無法rip到ps3內的硬碟 08/29 03:18

→ llwopp:這是否表示以後所有遊戲都弄4g以上的垃圾檔就可以防rip了 08/29 03:19

推 lien1618:想太多了，4GB是因為FAT32的限制，只要改code， 08/29 03:37

推 lien1618:有很多方法可以解決這個問題。像是改用NTFS或是切割等。 08/29 03:37

→ llwopp:不過ps3可以抓到ntfs的硬碟嗎？我記得好像只能吃fat32？ 08/29 03:49

→ cassine:可以用Linux格式的硬碟或是外掛ntfs-3g套件支援 08/29 09:50

→ cassine:反正檔案格式不是什麼大問題 08/29 09:50

→ HolyBugTw:linux NTFS-3g的速度慢到逆天，最好檔案格式不是問題 08/30 10:49

→ HolyBugTw:PS3我可不覺得會是使用NTFS 08/30 10:49

推 Modchip:FAT32? orz 08/30 13:26

推 tsairay:NTFS的專利在ms手上,不是公開規格 08/30 13:49

→ HolyBugTw:除非每一台PS3都願意附paragon或是NTFS-3G錢，可能嗎？ 08/30 14:00

推 lien1618:PS3當然不會附，但是有買的人可以自己想辦法裝上去。 08/30 14:37

推 lien1618:而且通常這些套件都會有神人幫忙處理好，等著用就好。 08/30 14:38

→ lien1618:看看Wii就知道了，真的想玩遊戲不會是問題。 08/30 14:39

推 tsairay:ps3的環境比wii複雜多了,你拿360去類比還比較恰當... 08/30 16:44