Protection anti-downgrade TI-83 Premium CE Boot 5.1.5

→ **MyCalcs** profile · by **critor** » 31 Mar 2017, 23:35

critor wrote:Voilà, deviné où la valeur minOS est inscrite.

Dans la page de certificats à partir de 0x3B0000, dans un champ 0370 :

Ici sur un dump de TI-83 Premium CE HW-E, nous avons comme champs :
0420 (17 octets) : nom de modèle affiché au démarrage (TI-83 Premium CE)
0370 (3 octets) : version minimale d'OS installable (5.1.5)
0340 (1 octet) : ?
0B00 (8 octets) : langue (ENGLISH)

Et si vous voulez mon avis, le mode examen n'est pas bien loin...

C'est fun, en modifiant la valeur du champ 0420, sur CEmu on peut avoir un nom de modèle patché.

L'OS se débrouille pour centrer le nouveau texte :

Sur machine, ce serait un bon moyen de signer son modèle, le protégeant ainsi contre le vol.

(une fonctionnalité qui existe chez Casio d'ailleurs)

→ **MyCalcs** profile · by **Wistaro** » 31 Mar 2017, 23:36

Très bel article.

Personnellement je ne vois pas vraiment l'intérêt de downgrader, chaque nouvelle mise à jour apportant son lot de corrections de bugs...

critor wrote:Voilà, deviné où la valeur minOS est inscrite.

Dans la page de certificats à partir de 0x3B0000, dans un champ 0370 :

Ici sur un dump de TI-83 Premium CE HW-E, nous avons comme champs :
0420 (17 octets) : nom de modèle affiché au démarrage (TI-83 Premium CE)
0370 (3 octets) : version minimale d'OS installable (5.1.5)
0340 (1 octet) : ?
0B00 (8 octets) : langue (ENGLISH)

Et si vous voulez mon avis, le mode examen n'est pas bien loin...

Super

Comment avez-vous trouvé ça ?

→ **MyCalcs** profile · by **critor** » 31 Mar 2017, 23:42

J'avais déjà remarqué cette zone bizarre lors de nos premiers dumpings de prototypes, et y ai juste repensé ce soir en me disant qu'ils avaient dû se faire une sorte de zone BootData comme sur TI-Nspire.

Sur les CE prototypes elle était vers le début de la ROM (page à 0x020000 ou 0x030000 selon les prototypes entre le Boot Code et l'OS), donc il était difficile de la rater.

→ **MyCalcs** profile · by **critor** » 01 Apr 2017, 00:04

Encore deviné juste, pour la 3ème fois de suite.

C'est bien à cet endroit qu'est enregistré le mode examen, par concaténation de 2 champs au format TI-Certificate :

un deuxième champ 0B00 pour la langue en mode examen
un champ 0C00 (3 octets), probablement pour la config du mode examen vu que tout le reste de la ROM est identique

Super, comme ça pour ceux qui oublient la combinaison d'activation, on va avoir de quoi faire un programme asm qui active le mode examen !

(mais pas qui le désactive, vu que la commande d'exécution des programmes asm est de toutes façons bloquée en mode examen - ce serait trop facile

)

→ **MyCalcs** profile · by **Epharius** » 01 Apr 2017, 10:51

Très intéressant ! Merci de nous faire partager toutes ces découvertes ! Dans le cas où le programmeur aurait accès à la mémoire d'archive, ça veut donc dire qu'il pourrait modifier ces valeurs ou y a t-il d'autres protections ?

Après pour le moment de ce que l'on voit, ce n'est pas en changeant le nom de la calculatrice et le type de mode examen que l'on va casser l'Internet.

→ **MyCalcs** profile · by **critor** » 01 Apr 2017, 13:16

La mémoire dite d'archive n'est qu'une partie de la mémoire Flash.
Elle couvre 3 Mio sur le 4 Mio de la puce, et est réinitialisable via le menu d'installation d'OS du Boot Code.

Ici, la page des TI-Certificats en bien en mémoire Flash mais hors de la zone d'archive, et donc dans une zone non réinitialisable officiellement.
Donc y écrire n'est pas évident.

→ **MyCalcs** profile · by **critor** » 10 Feb 2018, 18:19

Quelques test, histoire de confirmer les hypothèses.

Voici les infos du certificat d'une machine :

Le champ 037 contient 000305.
Cela implique en pratique selon mes tests :

si on est en OS 5.3.0 qu'il est impossible d'installer un OS 5.3.0 plus ancien
dans tous les cas qu'il est impossible d'installer un OS plus ancien que 5.3.0

Il est bien possible de downgrader en modifiant ce champ :

Il contient maintenant 050105, ce qui permettra de downgrader jusqu'en OS 5.1.5.

Pourquoi ne pas avoir autorisé plus ancien que 5.1.5, en programmant par exemple 000000 comme sur TI-Nspire ?
Parce que le Boot Code est en 5.1.5.
Et si on lui force une version plus ancienne que 5.1.5, il ne va pas y trouver l'information sur la limite de downgrade (champ 80D manquant dans le certificat de l'OS), et va alors corrompre le contenu du champ 037 avec une valeur très supérieure qui empêchera probablement pour toujours toute installation d'OS.

→ **MyCalcs** profile · by **UnCurieux** » 10 Feb 2018, 20:21

Cool la mienne est une 5.0.0

critor wrote:Super, comme ça pour ceux qui oublient la combinaison d'activation, on va avoir de quoi faire un programme asm qui active le mode examen !
(mais pas qui le désactive, vu que la commande d'exécution des programmes asm est de toutes façons bloquée en mode examen - ce serait trop facile )

Mais sur les versions 5.3 et plus nous n'avons plus besoin du Asm( pour exécuter un assembleur, qu'on soit en mode examen ou pas. Donc techniquement on pourrait faire un programme qui désactive le mode examen pendant ce dernier ? C'est fou x)

→ **MyCalcs** profile · by **critor** » 10 Feb 2018, 20:23

Ah... maintenant que tu le dis, effectivement... La commande Asm( est bloquée en mode examen, mais comme elle est devenue optionnelle en 5.3...

Bref, en théorie oui.
En pratique, je suppose que ton programme de désactivation du mode examen va éteindre la diode comme sur Casio Graph 35+E/75+E.

Donc les surveillants vont le voir et se jeter sur toi. Sans grand intérêt donc, je pense.