过了一段时间，c4eva想了想，说他已经想出了如何一劳永逸地解决AP 2.5，他说，请大家等待iXtreme LT+ 3.0。
顺便说一句，那时候 “新固件什么时候可用？”的问题数量已经很多了。在c4eva所在的 IRC 频道中，它们的数量增长得如此之快，以至于有人创建了一个完整的网站 c4evaspeaks
.com，其中保存了他众多的引言（实际上是一切！）和有关固件主题的新闻：

在 iXtreme LT+ 3.0 中，使用了有关磁盘分区几何形状的特殊数据，而不是根据dae.bin的固定“模式”响应。
原理是，正版授权盘被几何扫描，生成一张特殊的“卡”并将其写入游戏盘，固件根据该“卡”计算并正确响应任何 AP 2.5 请求。AP 2.5 的史诗以c4eva及其固件的胜利结束。
微软曾尝试封禁触发了 AP 2.5 检查的玩家，但因为监察方法仍有误，所以封禁也误封过正版盘的诚实玩家。且因为无法完全证明盗版事实，检查也非 100% 的可靠性，所以封禁也停止了。
注：因为验证方式不同，LT+3.0和2.0的盘说是不兼容的。3.0因为其完美性可以上Live

接下来讲述的两个是不可直接重新刷写驱动器
—日立（Hitachi）DL10N驱动器
—建兴 16d5s

日立DL10N的故事没有太多。与16D4s同时期但是比较而言出货量极少，而且无法直接重新刷新至主控，自然收到的关注就不够多
图例 - PLDS DG-16D5S 1175
驱动器争夺战的最后一点是由LiteOn DG-16D5S设定的
它包含一个 MT1332E 控制器，该控制器未使用已知方法进入服务模式，并且根据传言，密钥未存储在 ROM 中。实际是没有人直接解密。
有人尝试通过溶解外壳并焊接接线来读取ROM
是的，里面还有一个由处理器和闪存驱动器制成的三明治

有信息表明也有软件方法可以从中读取固件；15432曾亲自下载过在其中一个论坛上发布的转储。无论如何，这次没有公开可用的工具可以从驱动器本身读取密钥。
相反，c4eva开发了 iXtreme LTU（Lite Touch Ultimate）固件，该固件使用从破解后的游戏机本身提取的数据（通过破解系统KV信息），并且需要更换驱动电路板。定制印刷电路板与 16D5S 的完全相同，但其上的处理器可以重新刷新
更有进取心的“固件专家”联系了未锁定MT1332的供应商，并将芯片重新焊接到板上，然后往里刷写LTU固件。这些芯片从同一芯片上的 DVD 驱动器中获得

很快MT1332芯片就用完了！然后Maximus团队开发了一个不寻常的东西——Cryptocop：
这个连接到电路板侧面的芯片做了一件神奇的事情 - 在启动时它会将新的固件加载到 MT1335/MT1339 中，之后用于 MT1332 的 LTU 固件启动并完美运行。好吧，有足够的芯片 - MT1335 从以前型号的二手驱动器（16D4S、MT1339 ）中移除- 来自旧驱动器或供应商。
c4eva拒绝为MT1339编译LTU的正常版本（否则人们会简单地安装旧驱动器而不购买他们的板）。

但当LTU板的库存已经耗尽时，c4eva做了一个惊人的把戏
—他为MT1319芯片编译了iXtreme LTU2固件！该处理器曾出现在“厚型”游戏机的第一款 LiteOn 16D2S 中。是的，他们开始组装并销售新的 LTU2 板：
最后，有些黑客也加入了庆祝活动，并开始制造基于 MT1309 的主板，MT1309 是带有外部闪存驱动器的 MT1319 的更常见的兄弟：
当 Xbox 360 的新版本Slim E发布时，Xbox 360 固件的时代结束了，在该版本（Winchester小cpu版，无法破解机器）上无法从破解系统，或 DVD 驱动器获取密钥。但下一部分将对此进行更多介绍！
敬请期待第三部分

2011年，即Xbox 360游戏机发布6年后，研究人员发现了一个有趣的事实
——如果在中央处理器的RESET引脚上施加一个“0”信号很短的时间，处理器将不会重置其状态（应该如此）。
反而会改变他的行为！
基于这个“功能” ， Reset Glitch Hack（RGH）被开发出来，借助它可以完全破坏Xbox 360的安全性，运行未签名的代码，从而为黑客入侵系统本身开辟了道路，击败了Xbox 360 “无法破解”的DG-16D5S驱动器。
让我们仔细看看 RGH 是如何工作的，开发人员如何尝试修补漏洞，以及这些补丁是如何被绕过的！

到底什么是故障攻击？
无论营销人员怎么说，处理器都是一个非常愚蠢的东西。程序员编写的所有高级代码都归结为简单命令的执行
- 数字算术、移动数据、条件和无条件跳转。假设处理器始终执行这些指令而没有错误，并且结果与文档相符。
确实，编译代码
i = i + 2;
您依赖的变量 i 的值恰好增加 2，甚至处理器没有意识到除此之外否则会发生什么情况。
故障攻击违背了这种信心
——他们的目标是让处理器出现“故障”并表现不正确。造成处理器故障的方法有多种，例如：
耗尽CPU电源电压
给CPU参考频率一个额外的脉冲
用辐射“提升”百分之一的运行速度

有一些特殊的设备可以执行此类攻击 - 例如，ChipWhisperer 提供广泛的频率和功率攻击

对于 Xbox 360，“故障”是由于接触 RESET 线而发生的。处理器开始重置过程，但由于信号持续时间非常短，它没有时间完成它并继续工作，就好像什么也没发生一样。
但正是在外部 RESET 脉冲信号激活的这短暂时刻，其行为发生了变化！
处理器出现故障
Xbox 360 的安全性依赖于下载者在链中相互检查。最终，每个阶段的检查都归结为调用一个函数来将哈希和与“样本”进行比较。
这就是使用故障攻击的地方，迫使处理器忽略不匹配。
调用memcmp过程后，RESET 线上的脉冲会立即导致处理器“转到”另一个分支并继续加载，即使散列不正确：

更新：进一步的研究表明，脉冲攻击需要的时间比图中所示的要早一些，即在算术运算中，例如，addi r3，r4，5。更准确地说，在源寄存器需要被重置的机会，，在示例中它是 r4 最好
在第二阶段引导加载程序“CB”中发现了攻击的地方。后期阶段更难攻击（并且可以轻松修复），但在加载的第一阶段（“1BL”，ROM），由于程序代码的结构略有不同，攻击失败。
听起来很简单，但实际上，在尝试进行攻击时，发现了许多细微差别。
首先，为了成功地执行这个细小的攻击，必须非常准确地确定应发送 RESET 脉冲的时刻。如果你犯了哪怕一微秒的错误，发送的脉冲太短或太长，攻击都不会起作用。
幸运的是，在 Xbox 360 上，每个启动步骤都伴随着 POST_OUT 调试总线 上的值的更改。
此外，调试输出的间隔如此频繁，以至于在比较哈希和之前立即设置新的 POST 值：

如此接近原理的一个输出位置，攻击CPU的调试输出点，被证明是一个极其方便的可计算触发器。
POST_OUT是一条并行总线，输出到印刷电路板上的8个测试焊盘，每个测试焊盘负责其中一个值位。
甚至可以通过仅使用一位并计算自系统启动以来其状态变化的次数来简化连接线束
但是事实证明，由于处理器的频率很高，因此在准确性和持续时间（毫秒级别）方面几乎不可能达到正确的时刻。影响时间应该非常短，相当于处理器执行一条指令的时间，但很难做到。
而处理器运行速度越慢，适合我们的时间就越长。因此，我们需要接受它这个现实，并减慢处理器的速度来达到目的！

在普通 PC 上，CPU 频率由外部“参考”频率（外频）和乘数的乘积（倍频）确定
因此，在 Xbox 360 中也是同样，南桥固件控制的外部参考频率线连接到处理器，并在内部使用PLL倍增该频率。在旧的、“厚”版本的机顶盒上，PLL 机制可以被禁用，从而使处理器速度降低多达 128 倍，来达成我们的目的

在“Slim”版本上，PLL 的技巧无法完成（线路未在板上布线）。
由于我们无法影响“Slim”中的乘法器（倍频），因此我们将降低“参考”频率（外频）！
更新：由于薄板上的泄漏电路，PLL线被成功检测到，因此出现了RGH 1.2 Slim和RGH3方法。
它由HANA芯片生成，可以通过I2C总线进行配置：
不幸的是，不可能显着降低它“在低速下”。调节外频后的最终的处理器频率，大幅“浮动”，并不是很稳定，这降低了成功的机会。最稳定的选项结果是减速 3.17 倍。不是128倍，至少有一些成效。
全部？不，不是一切。还远不能确定该攻击第一次是否会起作用（尤其是在 Slim 上）。如果启动失败，机顶盒将重新启动并尝试再次启动。您只能尝试 5 次启动，之后控制台会停止并开始闪烁“死亡红环”。
注：由于2.0破解的原理决定。所以薄机版本的rgh2.0，也就是最开始的破解方式，不够稳定，后续的发展改良芯片稍微好一些。厚机也因此也不稳定，需要很好的布线