R-JTAG-COME FUNZIONA? Discutiamone :)

ho due console jasper a disposizione sia jtag...sia rgh
posso darti tutte le info necessarie.....

Visto che nn conosco il codice e quindi nn posso capire cosa e' stato esattamente glitchato(istruzioni,1 dei 3 controlli di cui parlava RF,eccetera),al momento l'unica cosa che posso fare e' vedere se il calcolo delle 2 sequenze(6723 e 6754)puo' darci qualche spunto :)

Tutto qui

Ma devo capire che calcolo e' questo :)
Sto shift mi aveva gia' fatto impazzire tempo fa,ahahahahahhah

3) Prende 5 ci sottrae 1 e shifta il 5 di 4, ottenendo 80 che è uguale a 50 esadecimale! Quindi passa questo check e infatti va correttamente avanti!

Citazione:

---

Originariamente Scritto da MARCHISIO80

Grazie :)

Nelle 6754 l'ultima(nn l'unica) F a destra e' quasi certamente in questa posizione


fuseset 02: 00000000000F0000 allow cseq 12 = *0C dalla sequenza di boot nell'offset 3B1

Riprendendo il topic di RF dovrebbe essere cosi'*

Esempio di fuseset 6754
FS02: 00000000000F0000
Bytes a 3B0= 01 0C 0AD0

0C = 12
0AD0 = 173?


1) Contatore a 16. Si cerca la prima "f" partendo da destra. In questo caso si trova da destra alla posizione 5. Si compara quindi 16-5 al byte di sequenza, in questo caso 11. Non è uguale. Quindi fallito il primo controllo.

2) Lo compara anche a 0 o minore, in questo caso era 11 quindi secondo controllo fallito.




3) Prende 11 ci sottrae 1 e shifta l'11 di 4, ottenendo (173???) che è uguale a (0AD0???)esadecimale! Quindi passa questo check e infatti va correttamente avanti!

---

Il procedimento dell'r-jtag e come funziona ormai l'abbiamo capito,resta da capire cosa e' stato esattamente glitchato e dove nel codice :)

Ahhahah...io a momenti nn so neanche cos'e' il branch,ahahahahh...

Meglio che ci pensi tu :)

Cmq riassumendo x chi si e' perso tutti i post,l'r-jtag agisce cosi' a nostro avviso
(l'SMC-hack si usa solo x nn dover glitchare 2 volte
1)sequenza di boot
2)avvio codice nn firmato)


Quindi dovrebbe funzionare cosi'

- freeboot jtag con CB jtaggabile in nand
- glitch di qualche istruzione/controllo che ha a che fare con la sequenza di boot
- CB jtaggabile che prosegue a "girare"
- classico smc-hack
- avvio di codice non firmato


Ora vediamo bene di capire dove glitchano :)

Tu che vedo che conosci il codice,dovresti riuscirci senza problemi,sei molto bravo :)

Beh,il Cb e' originale,fino a quando controlla se e' stato revocato,dovrebbe girare senza problemi...a quel punto..se il glitch e' ben "eseguito" dovrebbe saltare al punto da te indicato...poi "parte" l' smc-hack

Se il glitch fallisce si ha postcode A0

Ahahahah...anch'io :)
Sn curioso :)
Che sia giusto o sbagliato..ma sn curiosissimo di capire come funzionano certe cose...


Conoscendolo un po',magari e' proprio un buon segno :)

Beh..se fosse un buon segno..
Senza reversare niente e in poche orette...abbiamo gia' fatto moltissimo,nn credi? :)

Pensa te se glielo clonano prima dell'uscita :D Vi odierà a vita, fulmini e saette sulle vostre console :D

Uhm...se spiegavano subito a grandi linee cosa era stato fatto,non si sbatteva certo nessuno a "capire",nn credi?

Il "mistero" fa muovere le persone :)


E in sto campo o ti "sbrighi" a rilasciare i chip..o se ne pubblicizzi la cosa e poi aspetti troppo...crei interesse,ma prima o poi qualcuno ci arriva,no?
La storia e' sempre quella,alla fine

Le informazioni ci sono in giro,se x primo utilizzi le informazioni che sn a disposizione di tutti...qualcuno ci arrivera' sempre(sapendo che si puo' fare)

Il glitch c'e',l'smc-hack anche...puoi cambiare qualcosina,ma il succo e' sempre quello...non e' un hack nuovo..e' stato utilizzato il glitch in un'altro punto

Un grande lavoro senza dubbio!

Citazione:

---

Originariamente Scritto da cirowner

Fidati che da qui a clonare un hw ne passa...


Anche per il DGX avevamo fatto un brainstroming per capire come funzionasse, e appena si capì come funzionava lui fu il primo a confermare la bontà dell'ipotesi, quindi non credo si faccia problemi a dire se l'abbiamo imboccata giusta.

Anche se un esperimento che mi incuriosisce sarebbe provare a replicare la soluzione con un classico coolrunner(xc2c64a) e vedere se gira lo stesso :D

---

Esatto,RF e' un grande :)


Penso proprio di si,ma servono i timing e il codice cpld
Poi fai il classico collegamento jtag dei diodi


Tempo che ne vendono un po'(almeno x rifarsi del tempo perso..ore e ore di lavoro sicuro)e se c'e' qualcuno disponibile sul forum si puo' provare..senza reversare nulla sarebbe perfetto

Rgh1 o RGH2 puo' essere pure una scelta,magari avevano piu' esperienza o del codice quasi pronto su RH2 avendoci gia' lavorato quando hanno fatto uscire rgh2,ma penso proprio funzioni anche con rgh1


I cb nuovi si,ma qui si usa un vecchio CB,il 6723 x le jasper...altrimenti nn abbiamo capito niente :)

Citazione:

---

Originariamente Scritto da cirowner

UPDATE: che poi non è nemmeno il wiring dell'RGH2. 'ndo sta il RST?

---

C7R112 se nn sbaglio

C'è qualche motivo particolare secondo voi perchè viene usato C7R112 anziché il solito punto?

Inviato dal mio GT-I8150 con Tapatalk 2

wau :) mi sono letto tutto il post non ci ho capito una mazza ma lo seguo comunque :) grande marchisio del tuo ritorno

Citazione:

---

Originariamente Scritto da cirowner

Si, è il D.
Ma se il quarzo è onboard e il Post arriva da flat il K a che serve?
Sai a cosa è collegato?

P.S.:C7R112 non è il RST delle Xenon?

---

Il kiosk serve per accendere la console tramite il il jrp v2 quando usi il rater.

Inviato dal mio GT-I8150 con Tapatalk 2

@cirowner

Si,e' stato trovato x prima nelle xenon,poi utilizzato anche sulle altre fat..Rf aveva spiegato tempo fa qualcosa di sto punto



@spyro


grazie :)

Faremo un riassunto :)

...Non dite che con il C7R112 non ero stato "profetico": [url]http://www.consoleopen.com/forum/off-topic/5833-due-chiacchiere-e-tre-cazzate-10.html#post158952[/url]

http://i41.tinypic.com/k4i99y.jpg

AArrghhh....ma non mi ricordo....non mi ricordo....!!! Ma il punto è proprio li.

Perchè c7r112 è il primo punto che va diretto alla CPU

from Galaxy Note

C7r112 l'aveva trovato e utilizzato per primo RF su Xenon

Citazione:

---

Originariamente Scritto da rf1911

Well.. you might be right. Actually i did some tests, and all i can say is that using an alternate cpurst point it does send the glitch correctly.* Theres also an interesting difference on pll bypass and pulse limit bypass.

I left the cpld installled on stock nand using various timings and it *did* load dash fine. The glitch is sent as per debug led. Good thing is that i doesnt always start at first it does usually a couple of reboots the loads dash. So it is not crashing. Ive prepared a proper ecc so to test timings. Too bad i really have no time..

---

Per quanto riguarda RGH2

NN so,ma penso sia perche' con RGH2 hanno piu' esperienza,visto che ci hanno lavorato parecchio(fat rgh2,slim,corona)
Cambiano i timing e il punto di glitch,ma per il resto il codice cpld e' uguale...perche' cambiare?

PEnso proprio si possano usare i punti RGH1,rendendo utilizzabili i vecchi chip,con buone prestazioni(si rallenta molto di piu' con RGH1,rendendo piu' "facile" azzeccare l'istante esatto)


Ma nn e' una cosa facile trovare i timing e il punto in cui glitchare

Un buon punto di partenza potrebbe essere questo post(l'equivalente su Fat con dash jtaggabile,forse cambia il nome del post-code,servirebbe un log del post sniffer..basta flashare un xell-jtag o un freeboot su una xbox con qualsiasi dash e catturare i post-code)

2BLL_0xd1_S_READ_FUSES = 0xD1

Che informazione?