Debido a que una persona ingrata filtrado mis archivos explotar metldr ahora se explica cómo funciona realmente, ven esto como mi liberación definitiva de todos los tiempos para una escena ingrata (y las escenas en el futuro)

Eso es lo que estoy molesto ahora mismo, porque, por supuesto, la persona que filtró estos archivos no tiene ni idea de cómo funcionan realmente.

Cómo propia metldr el camino "fácil":
Esto es más probable que lo geohot explotados en el primer sentido, esto tiene (más o menos) unos 10 minutos para llevar a cabo. (Sí, no tanto de un "yo hackeado la PS3 todo en mi propio trabajo, sobre todo cuando se basa en el trabajo parcialmente Segher, nunca uno de los geohot razón compartida de la forma en que explotan metldr a nadie)

Voy a suponer aquí que usted no tiene las llaves del cargador que se pongan a disposición de Geohot. Este pequeño tutorial también asume que usted tiene un trabajo. Herramienta de auto generación de

Ahora quiere ganar la ejecución de código a metldr, usted sabe que las cargas metldr cargadores de su propio espacio, pero no se puede ejecutar un gestor porque el gestor debe ser firmado y aunque usted sabe acerca de la señal no que Segher introducido en el CCC, no se puede usar, ya que no tienen firmas descifrado para el cálculo de una clave privada y conseguir las firmas que necesitan las claves que usted está tratando de volcar, por lo lejos que están atrapados en un escenario de pollo y huevo.

La pregunta es, ¿realmente necesitamos claves para conseguir una firma descifrado?
Bueno, la verdadera respuesta es no, gracias a un ingenioso que no dejó de sony en metldr (y el gestor de arranque), usted puede tener la ldr para descifrar los metadatos para usted, ¿no es genial?

Así es como funciona:

PASO I)

En un archivo de uno mismo, en la dirección 0x0C un valor se utiliza para calcular si los metadatos va a ser descifrado, el "desplazamiento" se encuentra en cabecera de auto + 0x0C
el de la "cabecera meta offset" en la estructura de SCE, se necesita la SCE offset + que el valor, así que lo que tienes que hacer es tener un cálculo que es igual a 0x3E01F0 que pasa a ser en metldr copias en los metadatos compartidos de la buzón de correo (que se envía a través de la PPU), el truco está en tener metldr para descifrar los metadatos ubicado en.
Así que básicamente lo que tienes que
1) establecer el desplazamiento + = 0x2000
descarga compartida lsa
y seguir aumentando 0x2000
hasta que en algún lugar de los cambios compartida lsa 0x40 bytes
2) cuando cambia de bytes 0x40, usted puede añadir / restar la cantidad adecuada para que sea descifrar los lugares adecuados
3) después descargar lsa compartida y hemos descifrado cabecera
sabiendo que metldr usa la cabecera de SCE 0xECF0, podría calcular que saber la dirección 0x3E01F0 - 0xECF0 = el valor que se revisaría en cabecera SCE + 0x0C

ROM: 0000F6C0 D2 68 87 E6 metadata_erk: int 0xD26887E6; DATOS XREF:. ROM: 0000F178o
por ejemplo, en Čecha, la dirección que desea descifrar que es 0x3E1F0
por lo que debe ser 0x3E1F0 - 0xF6C0

Una vez que el encabezado descifrado, usted tiene la llave para descifrar el resto de los metadatos. Aquí tienes, tienes tu firma descifrada.

Hasta aquí todo bien, ahora ¿qué sigue?

PASO II)

Contrario a la creencia popular, no es necesario conocer la clave pública para calcular la clave privada, sólo tiene dos firmas descifrado, usted ya sabe cómo volcar estos, así que vamos a suponer que usted acaba de hacer, ahora todo lo que tienes que hacer es fuerza bruta de la curva de tipo mediante la constante recarga de un auto a metldr, el tipo de curva que sólo 1 byte, que sería de 64 posibilidades.

FELICIDADES, que acaba de firmar un cargador!

¿Y ahora qué?

Así tu primera reacción sería firmar un cargador y lo utilizan para volcar lo que hay en su tienda local aislada, lo primero que notará es que usted tiene un poco de código metldr como un residuo, después de unos segundos de desmontaje se cifra en realidad es un pedazo de código que limpia el código metldr y registros y salta a alguna dirección que coincide con el gestor de punto de entrada firmada por el.

Este parece ser un más que probable candidato para explotar, como en su meta sería para sustituir dicho trozo de código con los suyos, de esa manera usted tiene el derecho de metldr código en su totalidad antes del punto donde todo se limpió.

Vamos a tratar de hacer precisamente eso, desde el volcado anterior, es obvio que sabemos que el código de claro se encuentra de 0x400 a 0x630, (0x410 estar donde metldr salta cuando se borra) su primer intento, naturalmente, sería contar con una sección de cargador para cargar en 0x400, bueno, no tan sorprendentemente, se produce un error, porque no dejan de tener un cerebro (por lo menos no se supone que si estás leyendo esto y el entendimiento), que se supone que es probable que metldr cheques si usted aren 't de carga de su cargador / auto sección debajo de una determinada dirección, lo que teniendo en cuenta que conocer los cargadores de' punto de entrada es más probable que se 0x12C00, esta suposición es de hecho correcta metldr se asegurará de que no se puede cargar cualquier cargador en 0x12BFF y por debajo, parece como una enorme decepción ...

Bueno, quizá no, porque una vez más, que no dejan de tener un cerebro, que echa un vistazo a las propiedades de hardware para el almacenamiento local, y se entera de que la memoria se envuelve alrededor de (la memoria es un donut como alguien dijo una vez en alguna conferencia ccc) .

Entonces, ¿qué ocurre cuando se carga el gestor en el que vamos a decir de 0x3F000 a 0x40000 + alguna dirección? (0x40410 como, por ejemplo)?

Bueno, funciona!
Se puede poner en la sección 0x3F000, si usted hizo la longitud 0x1414 y las ramas de la última instrucción de "arriba" en el código de descarga

ROM: 000008AC 33 7F 80 6C brsl lr, cleanup_and_jump_entry
ROM: 000008B0 32 00 11 80 br loc_93C
ROM: 00000410 cleanup_and_jump_entry:; CÓDIGO XREF: cuatro principales Cp
ROM: 00000410 32 7F FF 80 br sub_40C
esto es lo que el exploit que se filtró (sí, eso no es realmente su trabajo eh pero imaginé que tanto por ahora ¿no?) lo hace.
Sobrescribe de 0x000 a 0x480, porque se cargó originalmente el tamaño de la sección o 0x880 de 0x3FC00

Así que ahora te la ejecución de código en metldr en el mejor momento posible debido a que su código se ejecuta inmediatamente después de metldr copias las claves raíz de 0x00 a 0x30, lo que significa llegar a volcar estos también. (A pesar de que están codificados en el código metldr de todos modos)

Aquí tienes, tienes un volcado metldr!

Ahora, como última línea, me gustaría decir filtraciones de tornillo, tornillo de la escena, y esta es mi última contribución para SIEMPRE. Parece que ni siquiera puede confiar en los desarrolladores de compañeros para mantener mi trabajo en seguridad y no habrá pérdidas. (No es como cualquiera de ellos habría sido capaz de decirle cómo todo esto funciona incluso en el primer lugar)

En tanto, todo el mundo.
Recuerde, nunca morder la mano que le alimentan.

PS ¡Oh! y por cierto, si el talento suficiente para hacer que el hardware para volcar la LSA compartida, puede descifrar cualquier LV0 utilizando esta técnica.

Es como encontrar la llave de oro en la barra de Caramilk ... ¿Dará lugar a cosas más grandes y mejor? Tal vez ... sólo tal vez. Ahora es obvio que no me va a servir y que (los usuarios jailbreak) ningún propósito real ahora mismo, pero para los hackers y los desarrolladores, es otra historia. Esto podría ser la llave que abre totalmente la PS3 en su estado actual.

Archivo: http://www.multiupload.com/MU_XI0HDRJ3QO

Os aclaro, este exploit consigue desencadenar la metldr, sin pega alguna, de ahi solo falta desarrollar un hardware para obtener el lv0 que se encuentra en un spu(posiblemente aislado bajo el bootldr), en caso de obtener mediante ingenieria inversa el bootldr podremos conseguir todo tipo de keys, pero eso no es lo más probable. La otra opción es hacer dump y pillar la eid key0 la cual nos dará paso a las consolas debug, o quizás a un dump del lv1/lv2_kernel que se encargarían de conseguir cargar vuestras copias de seguridad más preciadas.
Como siempre a esperar, esperemos que la scene no oculte nada.