Wii軟改原理解析（三）緩衝區溢出、Trucha bug

david0zan

我們在第一篇文章中提到，要在Wii上面執行未授權軟體是很困難的。不過這當然無法阻擋黑客(Hacker)想在Wii上面執行自製(HomeBrew)軟體的決心。當然，他們成功了(廢話....)這邊先介紹一些相關的知識。


1. 緩衝區溢出(Buffer Overflow)

　　可以說大多數的安全漏洞都是出自緩衝區溢出。起因是，我們最常使用的C語言，並沒有檢查緩衝區(Buffer)的大小，我們常常會在程式中設定一個固定大小的陣列(array)當做緩衝區，例如說用40個字節來儲存使用者姓名。在一般的狀況下，是沒什麼問題的。不過如果原始資料故意輸入超過40個字節。C語言在讀取的時候，依然會依序將它拷貝進陣列，結果，超過40個字節的部份，就會蓋寫內存中其它用途的地方。而造成所謂的Stack Overflow，或Heap Overflow。也就是內存溢出。

　　黑客就利用這點，來執行一些原本系統不允許的的動作。

2. Twilight Hack

　　Wii上面，最早也最有名的一個緩衝區溢位攻擊，利用特殊的存檔，造成塞爾達傳說：黃昏公主(反正就是那個遊戲，黃昏公主、黎明公主、黎昏公主...)的緩衝區溢位問題。結果就是可以不經由正常的程序，執行自製的程式，由於是利用漏洞的關係，所以可以跳過檢查機制，執行任何你想要的程式。(基本上都是執行SD上根目錄的boot.elf或boot.dol)。

SYSMENU ----------> 曙光公主---------------> 自製程式
光碟頻道 Twilight Hack

　　由於是利用有問題的存檔，所以後來的系統選單會檢查有問題的存檔並刪除，進而封住這個漏洞，在4.0系統選單的系統無法使用Twilight hack。

3. Indiana Pwns/Smash Stack

　　在曙光公主被封住之後，還有二個漏洞被發現，一個是LEGO Indiana Jones(無日版)，一個是大亂鬥歐/美版，Indiana Pwn同樣是利用存檔的漏洞，理論上也可以被修復(目前為止未被修復)，Smash Stack則是遊戲本身去讀取SD造成的問題，所以會非常不容易被修復，甚至有可能永遠存在。(修復很難哦)


　　不過前述的這種方式，需要這三片遊戲其中一片，而且要進入遊戲玩一下，才能執行自製程式，不是很方便，所以主流是另一種BannerBomb的方式。

4. BannerBomb

　　bannerbomb，顧名思義，頻道炸彈。BannerBomb是利用SD資料管理(3.0~4.1)或SD Menu(4.2)的緩衝區溢位來執行自製程式。(就是頻道圖片緩衝區，類似windows的圖片查看器緩衝區)這個方法，只需要一張SD卡，不需要特別的遊戲即可執行，相當方便(但是系統選單必須是3.0以上，這就是為什麼軟改需要升到3.0以上的原因)，只要進入特定的系 統選單位置，如SD Menu，就可以選擇執行自製程式了，(目前沒有4.3上面可用的BannerBomb)。

5. Trucha Bug !!!

　　單單可以執行程式，黑客們當然是不能滿足的，如果可以安裝成頻道，多方便啊!但是任天堂在你安裝程式的時候，會檢查簽章，該怎麼辦呢?這時候有人發現了一個bug，也就是著名的Trucha Bug。

　　在比對你的RSA憑證(不懂請看本系列第一篇)是否有效時，任天堂犯了一個很嚴重的錯誤。在驗證憑證的有效性時，我們曉得需要Hash = Hash'(第一篇中有詳述)，但是很不幸地，任天堂使用了「字串比對」，而不是「內存比對」。

　　字串比對有什麼問題? C語言中，數字0代表字串的結束，只要遇到0，不管後面還有沒有，他都會停下來。所以，如果Hash中有零，它的有效長度被縮短了! !黑客也就可以比較輕易地偽造出一個假的憑證和簽章。也就是說，這個演算法，其實並沒有被破解，但是它的檢查機制卻有漏洞！

　　這個漏存在於當時所有的IOS和boot1之中。可以偽造簽章之後，也就大開了Wii軟改的方便之門，自製頻道(HBC)、自製的IOS、自製的Boot2，不管你想裝什麼東西進Wii，都可以。

　　多彩多姿的Wii軟改世界，也就此展開了。(關於Trucha bug的攻防戰，後面再做說明)。

koyken

我也來頂一下..  

ereruseyer

看起來應該不錯看....支持一下~感激您的分享

www.dulady.com

难得好贴，赞一个，继续努力啊












淘宝

迟汁广必

这个方面的话题的 都讨论一下