PS Jailbreak 原理分析

ylsquall

技术贴

Macs

牛逼大猫

耗子高达

金山民科机器猫

ふん雑魚め

学习

leafboat

每个字我都看的懂，但是放在一起就搞不清楚了系列。
-------献给楼主技术帝

Miwiki

技术贴
不懂纯顶

nimabi

PS Jailbreak通过精心构造的特殊USB描述符，使PS3处理这些描述符的时候Heap overflow，导致代码注入进而获取了GameOS的访问权限。


前面一堆简介不需要，这一句就够了......

secondii

前排

老师 我有问题：
1、

PS3 is looking for the Jig .....ps3 spends around 5 seconds doing nothing but initializing devices on the USB bus

sony能通过固件升级对开机后的这个动作做出限制么？

2、sony能通过固件升级对usb设备的描述符长度做出限制么？

eternia

牛B，看起来很兴奋

fcmorrowind

我对ps3不熟悉，ps3的OS是用c系语言写的么

JR史密斯

原来是溢出- -

chenke

我关心的是SONY今后封堵的原理是啥，JB可以持续更新来对抗吗？

fcmorrowind

从整个破解过程来看，有几个吐糟点：

最关键的就是，PS3系统分配的内存数量小于实际收到的，这个很容易改掉，只要分配足够多或者复制的时候忽略超长的就可以了。如果这块是c写的，只需要改几行代码而已。

其次就 ...
HyperIris 发表于 2010-9-9 13:37

分配内存时检测长度是C系码农的基本素养，估计不是c系写的

02dPublicAcc

看了原文，这是弄反向工程弄出来的，还没搞清楚到底是怎么干掉内存边界tag的。为了堵口子，索尼彻底屏蔽hub功能也是有可能的。

summerist.l

也就是说JB的攻击核心就是两个：一个是PS3启动时的HUB USB设备侦测，另一个是内存的HEAP OVERFLOW？

那么JB这玩意确实太脆弱了

shinobu

就调用LV1_Panic宕机
这是何其SB！何其SB啊！

shinobu

就调用LV1_Panic宕机
这是何其SB！何其SB啊！

shinobu

就调用LV1_Panic宕机
这是何其SB！何其SB啊！

shinobu

本帖最后由 shinobu 于 2010-9-9 15:27 编辑

艹，人家才不是在反复抽插服务器呢

nilren

每个字我都看的懂，但是放在一起就搞不清楚了系列。
-------献给楼主技术帝
leafboat 发表于 2010-9-9 12:53

+123456789

nilren

每个字我都看的懂，但是放在一起就搞不清楚了系列。
-------献给楼主技术帝
leafboat 发表于 2010-9-9 12:53

+123456789

绝霜

MARK，空了看

眼魔

问两个个问题
1.PID/VID其实是包含在descriptor里边的吧？

2.descriptor的传输都是走端点0的吧？

fcmorrowind

nintendo 还用 strcmp 来 compare signature
HyperIris 发表于 2010-9-9 14:06

怎么说呢，我没破解过游戏，不知道这是任地狱啥时候写的的代码，软件工程发展到现在边界条件不检测的码农基本上都找不到工作了……

lostchild

本来想说技术贴mark 后来发现这个我基本这辈子不打算弄懂了 算了

dennisyy

基本看懂了，不过不是做操作系统的，上层这些东西不精通
我们设计的CPU支持misalign访问的，效率低就是了，要load两次

eternia

为何是FACEBOOK？

虽然此刻很想说FACEBOOK立功了

眼魔

感谢回答，继续问

1.在psgroove的HUB_task里，先清空端点0数据然后往端点1里发了一个字节，这个不是很明白，可以理解为HUB初始化？

2.在JIG_task里很好玩，PS3对JIG发来64个字节验证的验证字，是分8次每次8个字节发来的，psgroove直接把这些包丢掉发回构造的应答字。

fcmorrowind

wii
HyperIris 发表于 2010-9-9 16:17

那就只能说任地狱这种大企业也有劣质码农了，或者就是以前那一批确实很牛逼但是工程素养不够的老码农