TGFC俱乐部>>游戏业界综合讨论区>>
- 刷新/显图/登录/注册/WEB
标题:Xbox One被皮角
时间:26-03-16 12:17
作者:Loslandy
在近日举行的RE//verse 2026安全会议上,安全研究员马库斯·加塞德伦公布了一项重磅成果:初代Xbox One的完整皮角方案。这台微软主机自2013年发售以来,整整12年未被攻破。
https://www.bilibili.com/video/BV1j9wHzCEgK
加塞德伦将这一方法命名为“The Bliss Hack”。与软件漏洞不同,该皮角需要物理接触主板——通过在系统启动的特定几分之一秒内对电压进行精确干扰,绕过64KB bootrom内存的保护,最终获得代码执行权限。这个64KB的bootrom是整个主机安全体系的“信任根”。
在启动初期获得控制权,意味着用户可以对系统拥有完全访问权限。加塞德伦表示,这可以用于解密任何游戏、固件和更新,甚至在任何操作系统层级运行未签名代码。他强调,自己的主要动机是保护游戏遗产,否则随着硬件老化,这些老主机终将变成废铁。不过,实现这一皮角需要在主板上焊接大约三根线,并使用额外的微控制器来注入信号。
需要说明的是,该方法仅保证在2013年发售的初版Xbox One上有效。后续的Xbox One S和Xbox One X采用了更新的安全架构,配备两颗启动验证处理器。加塞德伦并未在新机型上测试,但他推测未来可能会有爱好者适配这套硬件攻击方法。预计很快就会有基于此项研究的现成芯片问世,让主机改装变得简单。
另转一篇知乎大佬的分析:
Xbox One在软件安全上采用了虚拟机架构,系统核心是一个Hyper-V虚拟机平台,上面跑两个虚拟机,一个是系统UI+商城app的app OS,一个是专门预留给游戏的game OS。
将所有游戏、app开发者所能接触到的环境都虚拟化,有效避免了任何开发者制造bug入侵系统底层的可能性。
硬件上,Xbox One采用物理安全处理器和SoC上独立的线路处理启动引导验证、升级版本验证、加密密钥传输等核心安全功能,在内存控制器、I/O接口上均添加硬件加密、输入输出安全管理等硬件模块。
不仅硬盘、闪存文件全部加密,通过SoC的流媒体加密引擎解密,连内存控制器输出到内存颗粒的数据都是实时加密的。可以说CPU代码只有在SoC内部才处于解密状态,在任何外部存储状态都是加密的。
物理安全处理器有独立的固件,独立的eFuse保险丝烧录保护。启动时初始化SoC、验证下一步启动文件是否正确加密签名、版本是否高于eFuse已经烧录的升级计数,如果有任何问题都拒绝启动。
由于微软在Xbox 360上吃了芯片供电时钟保护不足导致被干扰跳过验证的亏,微软在Xbox One的SoC硬件和固件上做了额外的保护措施。
SoC内部会有硬件监测电路,检查温度、电压、时钟信号的可靠性,如果被恶意干扰就拒绝启动。(重点:这个检测保护措施在第一批SoC上是禁用的,因为稳定性不够。所以目前只有第一批机器能皮角,没有在后期机器上验证过)
安全处理器有调试用的POST报错、JTAG调试等功能,但在启动早期会读取eFuse检测芯片被烧录成什么模式,只有硬件开发机会继续启用POST。如果是零售机、游戏开发机测试机这种,就会禁用POST、JTAG等等功能,防止黑客利用POST代码检测引导程序运行到哪一步哪一条指令,进而针对性地干扰电压。
最有创意的一招是用硬件随机数生成器生成密钥等各种随机数,随机数被用在往引导程序里面随机插nop stall。第一段启动引导程序大约耗时30万条指令周期,大约有一半是nop,分布在程序各处用随机生成的参数控制开闭。
这样从开始启动到运行到需要干扰皮角的指令,所需的时间是随机的,再加上POST禁用掉以后等于开了战争迷雾,没法确定在哪里触发干扰,确定一次,即使能成功触发,也无法用在下一次,因为下次启动,随机nop时隙又变了。
当年微软做过一次安全演讲,Xbox硬件安全大佬Tony Chen的评估是:
• 只有第一段引导程序被皮角才能对我们造成威胁,因为第一段程序是烧死在芯片里的,已经卖出去的机器没法修改,之后阶段的引导程序都可以软件更新修复。
• 硬件皮角的成本方面,只要最终客户安装皮角的成本高于十张游戏,那么就不具备可实施的商业基础。那种要拿电镜直接读取芯片原始数据的皮角方式,他们不管。
基于以上评估,微软大力加强了第一段引导程序和运行环境的安全,使用了很多在游戏安全领域超前十年的技术。
但仍然有大佬真就用显微镜手段读取了引导程序的代码做静态分析尝试找到可以干扰的点,并且用了一堆旁路攻击的方法成功实现了干扰。
大佬的PPT视频我还没看完,不过大概思路是:
• 通过精密电源和示波器,检测供电线路的微小波动对启动引导程序的运行状态做一个“剪影”,大致看出啥时候在运行、在干什么。
• 通过和显微镜读出的代码静态分析的结果比对,尝试找到可以干扰的弱点。
• 安全处理器固件初始化和内存控制器加密初始化是两个过程,需要分别找准干扰时机。前期研究花了很长时间找到第一阶段干扰时机,成功率可能在1/100左右,但要完整取得系统控制权,还要在第一次干扰成功的基础上进行第二次干扰。
• 为了找准两次干扰的最佳时机,大佬尝试了上百万次(通过脚本自动化测试排列组合,人工不可能试出来)。期间由于反复重启读写错误log,干废好多次emmc芯片,不得已用上了更换耐久度极高的工业级芯片等等策略。
一般层面的攻防已经不稀奇了,已经进化到实验室拼堆料的阶段了。
而且这个皮角比以往更厉害的地方在于:微软在安全系统里设计了多层防御纵深,比如安全处理器设计了类似TPM启动哈希验证的方式,可以以不可逆的方式检测安全处理器初始化以后加载启动所有系统模块的正确性。内存加密、NX位、IOMMU之类硬件层面的模块也都进一步加大了稳定皮角不冲突崩溃或者被检测到的可能性。
但是这个安全处理器固件被干扰进而获得系统控制权,发生在上述所有安全机制初始化之前,且固件烧死在芯片里无法修改。
也就和Tony Chen说的一样,只有这个模块能对他们造成威胁,后面所有的防御都会失效。
现在威胁出现了,直接一发入魂全部干穿(仅限2013款初代主机)
可以说马奇诺防线又一次上演了,虽说并不是微软真的疏忽了,而是黑客实在太强了。
[ 本帖最后由 Loslandy 于 2026-3-16 14:35 编辑 ]
https://www.bilibili.com/video/BV1j9wHzCEgK
加塞德伦将这一方法命名为“The Bliss Hack”。与软件漏洞不同,该皮角需要物理接触主板——通过在系统启动的特定几分之一秒内对电压进行精确干扰,绕过64KB bootrom内存的保护,最终获得代码执行权限。这个64KB的bootrom是整个主机安全体系的“信任根”。
在启动初期获得控制权,意味着用户可以对系统拥有完全访问权限。加塞德伦表示,这可以用于解密任何游戏、固件和更新,甚至在任何操作系统层级运行未签名代码。他强调,自己的主要动机是保护游戏遗产,否则随着硬件老化,这些老主机终将变成废铁。不过,实现这一皮角需要在主板上焊接大约三根线,并使用额外的微控制器来注入信号。
需要说明的是,该方法仅保证在2013年发售的初版Xbox One上有效。后续的Xbox One S和Xbox One X采用了更新的安全架构,配备两颗启动验证处理器。加塞德伦并未在新机型上测试,但他推测未来可能会有爱好者适配这套硬件攻击方法。预计很快就会有基于此项研究的现成芯片问世,让主机改装变得简单。
另转一篇知乎大佬的分析:
Xbox One在软件安全上采用了虚拟机架构,系统核心是一个Hyper-V虚拟机平台,上面跑两个虚拟机,一个是系统UI+商城app的app OS,一个是专门预留给游戏的game OS。
将所有游戏、app开发者所能接触到的环境都虚拟化,有效避免了任何开发者制造bug入侵系统底层的可能性。
硬件上,Xbox One采用物理安全处理器和SoC上独立的线路处理启动引导验证、升级版本验证、加密密钥传输等核心安全功能,在内存控制器、I/O接口上均添加硬件加密、输入输出安全管理等硬件模块。
不仅硬盘、闪存文件全部加密,通过SoC的流媒体加密引擎解密,连内存控制器输出到内存颗粒的数据都是实时加密的。可以说CPU代码只有在SoC内部才处于解密状态,在任何外部存储状态都是加密的。
物理安全处理器有独立的固件,独立的eFuse保险丝烧录保护。启动时初始化SoC、验证下一步启动文件是否正确加密签名、版本是否高于eFuse已经烧录的升级计数,如果有任何问题都拒绝启动。
由于微软在Xbox 360上吃了芯片供电时钟保护不足导致被干扰跳过验证的亏,微软在Xbox One的SoC硬件和固件上做了额外的保护措施。
SoC内部会有硬件监测电路,检查温度、电压、时钟信号的可靠性,如果被恶意干扰就拒绝启动。(重点:这个检测保护措施在第一批SoC上是禁用的,因为稳定性不够。所以目前只有第一批机器能皮角,没有在后期机器上验证过)
安全处理器有调试用的POST报错、JTAG调试等功能,但在启动早期会读取eFuse检测芯片被烧录成什么模式,只有硬件开发机会继续启用POST。如果是零售机、游戏开发机测试机这种,就会禁用POST、JTAG等等功能,防止黑客利用POST代码检测引导程序运行到哪一步哪一条指令,进而针对性地干扰电压。
最有创意的一招是用硬件随机数生成器生成密钥等各种随机数,随机数被用在往引导程序里面随机插nop stall。第一段启动引导程序大约耗时30万条指令周期,大约有一半是nop,分布在程序各处用随机生成的参数控制开闭。
这样从开始启动到运行到需要干扰皮角的指令,所需的时间是随机的,再加上POST禁用掉以后等于开了战争迷雾,没法确定在哪里触发干扰,确定一次,即使能成功触发,也无法用在下一次,因为下次启动,随机nop时隙又变了。
当年微软做过一次安全演讲,Xbox硬件安全大佬Tony Chen的评估是:
• 只有第一段引导程序被皮角才能对我们造成威胁,因为第一段程序是烧死在芯片里的,已经卖出去的机器没法修改,之后阶段的引导程序都可以软件更新修复。
• 硬件皮角的成本方面,只要最终客户安装皮角的成本高于十张游戏,那么就不具备可实施的商业基础。那种要拿电镜直接读取芯片原始数据的皮角方式,他们不管。
基于以上评估,微软大力加强了第一段引导程序和运行环境的安全,使用了很多在游戏安全领域超前十年的技术。
但仍然有大佬真就用显微镜手段读取了引导程序的代码做静态分析尝试找到可以干扰的点,并且用了一堆旁路攻击的方法成功实现了干扰。
大佬的PPT视频我还没看完,不过大概思路是:
• 通过精密电源和示波器,检测供电线路的微小波动对启动引导程序的运行状态做一个“剪影”,大致看出啥时候在运行、在干什么。
• 通过和显微镜读出的代码静态分析的结果比对,尝试找到可以干扰的弱点。
• 安全处理器固件初始化和内存控制器加密初始化是两个过程,需要分别找准干扰时机。前期研究花了很长时间找到第一阶段干扰时机,成功率可能在1/100左右,但要完整取得系统控制权,还要在第一次干扰成功的基础上进行第二次干扰。
• 为了找准两次干扰的最佳时机,大佬尝试了上百万次(通过脚本自动化测试排列组合,人工不可能试出来)。期间由于反复重启读写错误log,干废好多次emmc芯片,不得已用上了更换耐久度极高的工业级芯片等等策略。
一般层面的攻防已经不稀奇了,已经进化到实验室拼堆料的阶段了。
而且这个皮角比以往更厉害的地方在于:微软在安全系统里设计了多层防御纵深,比如安全处理器设计了类似TPM启动哈希验证的方式,可以以不可逆的方式检测安全处理器初始化以后加载启动所有系统模块的正确性。内存加密、NX位、IOMMU之类硬件层面的模块也都进一步加大了稳定皮角不冲突崩溃或者被检测到的可能性。
但是这个安全处理器固件被干扰进而获得系统控制权,发生在上述所有安全机制初始化之前,且固件烧死在芯片里无法修改。
也就和Tony Chen说的一样,只有这个模块能对他们造成威胁,后面所有的防御都会失效。
现在威胁出现了,直接一发入魂全部干穿(仅限2013款初代主机)
可以说马奇诺防线又一次上演了,虽说并不是微软真的疏忽了,而是黑客实在太强了。
[ 本帖最后由 Loslandy 于 2026-3-16 14:35 编辑 ]
回复列表 (21)
posted by wap, platform: Android
天蝎都买了有8年了,包装薄膜都还在,好像就开过两次机。如果皮角了,拿出来折腾玩一下也算是主机娱乐方式的一种延伸
天蝎都买了有8年了,包装薄膜都还在,好像就开过两次机。如果皮角了,拿出来折腾玩一下也算是主机娱乐方式的一种延伸
===================
虽然几乎无人在意,但是微软防盗版机制要比D加密更强,而且不损失硬件性能
===================
posted by wap, platform: Chrome
完全没兴趣。
就连这段皮角新闻,连阅读的兴趣都没有。
微软的主机,这辈子都没兴趣。
完全没兴趣。
就连这段皮角新闻,连阅读的兴趣都没有。
微软的主机,这辈子都没兴趣。
===================
貌似只有初版被皮角了
===================
posted by wap, platform: iPhone
都淘汰了,才皮角啊,确定不是微软故意放出来?
都淘汰了,才皮角啊,确定不是微软故意放出来?
===================
我感觉皮角这么慢的主要原因是:不值得皮角:红脸不屑:
===================
主要还是不值得皮角:泥鹅满地打滚:
===================
posted by wap, platform: Android
ns2能12年未皮角才是新闻。
ns2能12年未皮角才是新闻。
===================
posted by wap, platform: iPhone
真棒,终于有机会可以玩fc游戏了
值得庆贺
真棒,终于有机会可以玩fc游戏了
值得庆贺
===================
字太多了。我理解是不是跟360脉冲皮角差不多
===================
posted by wap, platform: Chrome
简单来说就是脉冲皮角,但是寻找干扰点的过程太难,都用上了电子显微镜
原帖由 @smgxxxx 于 2026-3-16 15:18 发表
字太多了。我理解是不是跟360脉冲皮角差不多
字太多了。我理解是不是跟360脉冲皮角差不多
===================
五年前一千多块卖了首发入的韩版X1,连着强制绑定的Kinect2一起。XB360倒还留着,作为忍龙2专用机。
===================
posted by wap, platform: Android
又是电压干扰。。ns后续版本的硬破就是这种形式吧
所以ns2上严防这个
又是电压干扰。。ns后续版本的硬破就是这种形式吧
所以ns2上严防这个
===================
posted by wap, platform: 小米 红米
有台xbox one但对这消息毫无兴趣,可以刷系统的话还可以玩玩,估计研究这台机器的人很少。
有台xbox one但对这消息毫无兴趣,可以刷系统的话还可以玩玩,估计研究这台机器的人很少。
===================
posted by wap, platform: iPhone
垃圾
买了两台天蝎用两年都坏了
微软的垃圾
我还以为说最新xsx破了
本帖最后由 naughtyben 于 2026-3-16 17:32 通过手机版编辑
垃圾
买了两台天蝎用两年都坏了
微软的垃圾
我还以为说最新xsx破了
本帖最后由 naughtyben 于 2026-3-16 17:32 通过手机版编辑
===================
posted by wap, platform: Samsung
皮角了能不能玩360的游戏??期待!
皮角了能不能玩360的游戏??期待!
===================
posted by wap, platform: iPhone
这个硬件垃圾有皮角的必要嘛
这个硬件垃圾有皮角的必要嘛
===================
PS4皮角得更早,但鲜有人关注,没有独占的主机还有皮角的必要吗
===================
posted by wap, platform: Android
老板确实没啥意思
老板确实没啥意思
===================
posted by wap, platform: iPhone
电子显微镜是怎么读取烧写的固件的静态代码的?
电子显微镜是怎么读取烧写的固件的静态代码的?
===================
posted by wap, platform: Chrome
通过电子束成像 + 电压衬度 / 电荷状态识别,把存储单元的 0/1 状态转成图像信号,再经图像分析还原数据。用于非破坏性或半破坏性读取如 Flash、EEPROM、ROM等存储芯片
原帖由 @bobykid 于 2026-3-16 20:52 发表
电子显微镜是怎么读取烧写的固件的静态代码的?
电子显微镜是怎么读取烧写的固件的静态代码的?
===================
[登录后才可回复]