Добрый день, ночь или вечер...
Суть задачи такой, есть программа quartus 11.0 и есть файл POF микросхемы: EPM9320
как можно конвертнуть его на понятный язык, лучше VHDL или еще какой нибуть.
Если просмотреть файл в хексе, то первые строки содержат следующее:
POF...........,...MAX+plus II Programmer Version 9.23 3/19/99.......EPM9320ARC208-10...+...Copyright © 1988-1999 Altera Corporation..........

Прошу откликнуться специалистам в этом деле.

Никак. Вопрос уже обсуждался на форуме. Сложность примерно та же как поднять исходник C++ из ассемблера.

А мне кажется, что в данном случае все гораздо хуже... Си-шный код получить из ассемблера менее проблематично.

Никак. Аналогия с высокоуровневыми программами не уместна.

В случае со столь небольшой микросхемой можно надеяться на успех уже через несколько месяцев изучения.
Одной из причин оптимизма может быть предположение, что функциональность прошивки несложная и авторы не слишком напрягались.

Пришлите мне этот файлик на kavlav@rambler.ru, может смогу помочь за

Высылаю, оплата *-тыс. рублей гарантировано, обязательно будет дальнейшее сотрудничество с оплатой.

Есть результат?

Пока ни каких ответов

Смотрите почту, я Вам ответил.

Письма нет, просьба писать на k1523@ya.ru


Задача состоит в следующем.
Предисловие:
Для выполнения центральным процессором задач, нужно ему их предоставить.
Коды программы для выполнения находятся в ПЗУ которые последовательно выбирает процессор для выполнения.
Так вот, возможно ли что EPM9320 может содержать коды подпрограмм аналогично ПЗУ.
Т.е. есть плата с центральным процессором с ПЗУ, ОЗУ и т.д. и EPM9320,
так вот, каким то образом хакеры записали в EPM9320 свой код, который заставляет процессор выполнять некоторые подпрограммы, т.е. аналогично ПЗУ.
Каким образом из набора логических микросхем это возможно сделать, или EPM9320 содержит буфер ПЗУ?

"...MAX 9000 EPLDs contain 320 to 560 macrocells that are combined into
groups of 16 macrocells, called logic array blocks (LABs). Each macrocell
has a programmable-AND/fixed-OR array and a configurable register with
independently programmable clock, clock enable, clear, and preset
functions..."
Что позволяет забацать ПЗУ на основе MAX9000.

По сколько EPM9320 и MCF5206 имеют общую шину данных, адресов и управляющих сигналов, то и может за процессор сделать что угодно...

Да за процессор делать и не нужно, вопрос в том что может ли EPM9320 работать как ПЗУ.
Что он будет делать за процессор? если задачи ни какой нет. Программу где он будет черпать, из ПЗУ, так это и процессор может сделать.
Программа должна быть каким то образом записана в нем EPM9320 в самом, если это возможно.

По моему товарищи вы копаете не в том направлении..
Зачем MCF5206, который иммет использовать EPM9320 который имеет как ПЗУ для выковыривания программы из него ? Или всё таки за EPM9320 стоит какая то метровая флеша ?

Наводящий вопрос:
Получается что хакеры поменяли прошивку только EPM9320 и не тронули код основного ПЗУ?

Вот именно, ПЗУ не тронули (его можно сравнить с оригиналом и узнать что они внесли изменения), а поменяли именно в EPM9320

Расскажу предысторию:

есть такой игровой автомат Новоматик (надеюсь что такое игровые автоматы вам рассказывать не нужно), так вот,
в начале хакеры прописывали в ПЗУ автомата программу-баг при активации которой он начинал выдавать очень крупные выигрыши.
Но баг легко обнаруживался при сравнении ПЗУ с оригиналом или просто при просчете контрольной суммы.
Тогда каким то образом они прописали баг в EPM9320 и залочили его (т.е. прочитать стало не возможно), благо можно записать не снимая с платы, даже разьем для этого на плате есть.
То что записали именно туда это известно точно

в чем проблема то ? внутри прописан хук на адрес, по этому адресу какая то константа влияющая на размер выигрыша

Для этого в Альтеру должны заходить шина адреса, шина данных памяти, а также формироваться CS и OE на память.
Сильно сомневаюсь, что вся шина адреса заходит на FPGA. Хотя... надо смотреть схему...

не обязательно вся, если там bidir шина данных, то можно просто на некоторых битиках подтяжки убрать %) ведь автор пишет об увеличении вероятности, а не о гарантированном выигрыше %)

Ног конечно хватит. Но процессор наверно мастером сидит на шине. С эталлонным ПЗУ он не достучится до золотого ключика.
Да и подтягивать разряды на старом CPLD нечем.
(Даже если задействован бит секретности, то вроде бы есть возможность сравнить содержимое с эталонным *.pof_ом)

Почти в точку! Вот это экстрасенсорика...

ну прям. что то вроде
assign output_bit = (ce & oe) ? data : 1'bz;
правим на
assign output_bit = (ce & oe) ? data : ((~ce & oe & (addr == NEED_ADDR)) ? 1'b0 : 1'bz);
и все.

Важно, что данные из ПЗУшки надо подменять только по конкретному адресу, для этого надо этот адрес дешифровать полностью, иначе есть большой риск попортить код (а там в пзушке наверняка код вперемешку с данными(константными) лежит).



Такой трюк прокатит только в случае если надо 1 из пзушки превратить в 0, в обратном случае - не получится.
Ну и адрес, естественно, нужен тут полный, иначе можно получить непредсказуемые side effects.

Процессор при старте перегружает программный код с флэшины в SDRAM и там исполняется.
При этом ресет заводится как на процессор, так и на плм-ку. Вот ей и все карты в руки...

Шина адреса, та что идёт на пзушку, заходит на Альтеру?
А шина данных?
Если всё это совпадает, то нет проблем подменить по требуемому адресу несколько байт данных.
Ведь сигналы управления пзушкой (CS, OE и WE если запись используется) наверняка рождаются в альтере.

З Ы Топикстартеру - я вот только не пойму, зачем с этми левыми прошивками разбираться? Не проще ли перезалить "родную" прошивку
в Альтеру и забыть это "кулхацкерство" как страшный сон? Заодно можно уничтожить разъём для программирования Альтеры, дабы
кулхацкерам лазить туда неповадно было. Или в данном случае играет роль, так назваемый "спортивный интерес"?

это понятно, я телепатирую, док то нет. хакинг дело тонкое, алгоритм вероятностный, куда там реально надо подвинуть константу и константу ли двигают хз. может играют на неопределенности уровня на шине данных.

Чтобы не гадать на кофейной гуще приатачил кусок схемы

Как видно из схемы, шина данных с процессора заходит в том числе и на FPGA (вероятно внутри альтеры есть какие-то регистры управления-статуса). Адрес тоже полностью заходит на Альтеру.
Все чипселекты и R/W - тоже там. Подменить данные на конретном адресе - никаких проблем. Правда, неплохо бы ещё повторить оригинальную функциональность, а это без исходников сделать
ооооооой как непросто. ИМХО сорцы альтеры из этой конторы "ушли" куда-то налево. Ну либо обидели разработчика, а он выложил сорцы в сеть, либо тупо продал "заинтересованным лицам".
Дальше лёгкая правка сорцов - и получаем "альтернативную" версию прошивки.

Хакеры так не работают.
Счетчик в каждой игре в своем месте, какая игра будет CPLD не знает.
Хакеры так же как и все не умеют восстанавливать исходники из CPLD, если еще учесть что они как правило тупее разработчиков.
Искать надо дополнительное ПЗУ где-то хитро спрятанное на плате.
Либо сам ТС извините хакер.

Я сомневаюсь. Инженер, птица пугливая. Играть на вероятности с братками, это без ног можно остаться.
Наверняка заложено по схеме управление процом. А значит все заранее было продумано.

Видал на просторах сети видео работы бага в режиме DOUBLEUP (карта всегда одна и таже).
А как выглядит новый баг (именно тот что в альтере)? И как активизируется?

Счетчик конечно может быть где угодно, но у умных разработчиков библиотека с генератором "случайного числа" может использовать один и тотже адрес и не обязательно памяти.

Вообще, непонятна решаемая TS задача при которой нет доступа к документации производителя.

А как все интересно начиналось...

Просто хакеры использовали все возможности по реализации багов с помощью штатных и дополнительно устанавливаемых девайсов и осталось только в плм баг засунуть...

Ещё как работают! Социальная инженерия используется очень активно.


В оперативной памяти - да. Но константы изначально лежат во флэшке. Место каждой константы известно,
оно не меняется от игры к игре. На месте разработчиков можно было бы замутить проверку всего образа флэшки
в рантайме, т.е. уже во время старта программы. И в случае несовпадения CRC - печатать ошибку, и не стартовать.

По поводу "не умеют" - согласен.
По поводу "тупее" - тут вы категорически не правы. Как правило для того, чтобы разобраться в чужом дизайне при минимуме информации,
квалификация нужна на порядок выше, чем для того, чтобы создать такой дизайн.

Это слишком сложно. Да и не спрячешь такое количество проволок.

ВЫИГРЫШ ГАРАНТИРОВАН НА 100%, до тех пор пока не произойдет деактивация бага



он знает какая будет карта следующей.

Т.е. существует некая процедура (последовательность действий) для активации/деактивации бага?

Кто "он"? Игрок?


И всетаки интересно сколько можно запихнуть в EPM9320 32-х битных слов?
Если предположить что альтере кроме имитации ROM больше вообще ничем заниматься не нужно?

активация осуществляется последовательным нажатием комбинации линий и ставок, деактивация -снятие выигрыша.

не игрок а взломщик (человек который установил или знает про баг)

демонстрацию можно посмотреть здесь http://www.chipfiles.ru/gaminator.htm

он же писал что раньше автомат ломали перешивкой ПЗУ, но это легко вычислялось. Значит ребята в курсе что лежит в ПЗУ и для чего. По поводу функциональности альтеры может сорцы ушли, может дизайн повторили. И сделали свою закладку. Потом остается только перешить и рубить бабло.

так значит можно в альтеру программу закладку внедрить, которую проц будет выполнять?

нет, но можно на лету пропатчить кое что в программе

Зы. и сделать включение такого режима управляемым.

Прогу под такие процы хранят в сжатом виде, а то и зашифрованном. Распаковывается возможно она не без помощи CPLD.
Распаковывается прога прямо в DRAM.

Насчет хакеров, вы просто не в курсе. Я думаю тут каждый второй может признаться, что начинал карьеру с реверса.
Но не видел людей которые бы реверсом заканчивали карьеру.

Проволки прятать не нужно.
Хакерам проще всего скопировать схемотехнику платы, поскольку это поставлено на поток и известны цены на такие услуги.
Потом воспроизводится видимая топология.
А обновить прогу возможно они могут и по последовательному интерфейсу воспользовавшись неумышленным бэкдором разработчиков.
Во всяком случае в сложных дивайсах частенько есть отладочные мониторы на RS232.
Кстати, не такая уж редкая фишка как перекорпусирование микросхем. Тож услуга не интеллектуальная, но убойная.

Вы правы, на плате даже предусмотрен штатный разъем BDM, через который и делали задуманное...

Плата огромная и менять ее это слишком долго, тем более они пронумерованы вытравлено на плате).
Подключение для обновления предусмотрено.
Мы меняли на оригинал все что можно перешить, все равно баг работал.
Прошивали баг в течении 5-ти минут прямо возле аппарата, ни чего не вытаскивая и не переставляя

Но ведь это не значит что людей, зарабатывающих реверсом на жизнь, не существует? Они просто в силу специфики
профессии не любят светиться. Ну а то обстоятельство, что "каждый второй реверсом занимался, а потом оттуда ушёл"
может быть связано совсем с другими причинами нежели профессиональная квалификация.
Могу сказать за себя - я перестал этим заниматься потому что детство кончилось. Посчитал риски и бонусы,
и пришёл к выводу, что рисковать своей судьбой из-за сиюминутного барыша вряд ли стОит.
Кроме того если раньше ещё стоял вопрос типа "а слабО или не слабО сломать вот эту штуку?".
То теперь он уже давно не стоИт. Сломать можно всё. Вопрос лишь во времени и в деньгах.

Это видеонаблюдение показало? или со слов очевидцев?
И еще вопррос: EPM9320 единственная мс с LOCKBITом?

это рассказал сам участник взлома, да и мы пользовались несколько раз услугой перепрошивки EPM9320 для получения выигрышей чтобы увести аппарат в минус.

Нет, это не единственная микруха с защитой, есть еще геймселектор, но он не может это 100% -проверено!

Увести в минус?! с какой целью? повлиять на вероятностную модель? И что, был "положительный" результат?

Есть такая стратегия, когда аппарат начинает выплевывать крупные выигрыши его нужно увести в минус.
Алгоритм выдачи выигрышей упирается в данные входных и выходных счетчиков, для того чтобы владельцы не обонкротились и чтобы игроки были довольны.
Процент отдачи аппаратом в среднем равен 95%, т.е. если кто то проиграл в него 100т.р. то следующий после него закинув всего 1000р. может выиграть 95т.р., но это конечно в теории, потому что очередь следующего невозможно просчитать.
Но когда аппарат обнулить (счетчики равны 0), аппарат начинает сразу выдавать при крупных ставках. Чтобы это предотвратить нужно его увести в минус, т.е. выиграть на нем к примеру 500т.р. После этого аппарат будет неделю играть в свою сторону, но затем снова вернется в нужный алгоритм.
Это было до того как запретили игровые автоматы.
Для новых -лотерейных, процент занижен практически до 0, т.е. играет только на хозяина.

Уверен что это НЕ верно по отношению к новоматику.


Лотерейные? Очередные перлы наших разработчиков? Т.е. выигрышей нет вообще?
Видать во время запрета ИБ изголодавшийся народ будет играть даже в это