PSPx форум - Обсуждение взлома батарейки Пандоры PSP-3000...

lport3,
поступил заказ на еепромы - выкладываю =)
---
Собсно, последний архив от меня. Осмелился изменить версию до 0.61, ибо функционал действительно расширен. Но вы помните, что это 0.60 МОД3 =)
http://slil.ru/29034077

lport3

26.04.2010 20:49

Какие настройки порта в терминале вы выставляли?
-------------------------
Все, разобрался..
-------------------------

Пограбил немного rdbli (может кому будет интересно)

Брут одного байта в запросе $8008 ))

Особо впечатлительным лучше не смотреть,
заинтересовавшиеся и желающие помочь, стучитесь в личку.

stasik007

26.04.2010 23:53

наконец-то! оживление!
надо проверить одинаковые запросы по 80D9, 8008, 8004, 8002 - будут ли ответы отличаться?

pronvit

27.04.2010 02:01

имхо надо посмотреть, различаются ли ответы на разных батарейках, то есть зависят ли они от данных в еепроме типа

Boryan

27.04.2010 02:05

я понял что процент заряда хранится не в епроме. Есть батарейка с дохлым епромом и она прекрасно работает

NutStorm

27.04.2010 02:16

Спасибо за инфу. Кстати подтвердила мою теорию.

Может повторюсь (лень читать 7 страниц коментов), не смотря на то, что батарейку нельзя запондорить (и дело тут никак не в мат.плате, хотя и не без этого) Серийный номер можно отдампить и он имеет такую же структуру что и у предшественниц. Другими словами, дело в архитектуре (или же в программном коде) команда нашего сайта (можно найти по нику кому интересно) как раз работает над этим. Есть несколько идей. Могу сказать одно. Мы встали в тупик. Все бояться ломать аккум. Если у кого есть, сфоткайте плату батарейки в хорошем качестве. Это сильно поможет.

Так как номер поменять пока нет возможности, надо смотреть что там внутри.

Boryan

27.04.2010 02:47

NutStorm, а чего бояться? я уже 5 штук разобрал :) три от слимок и две от фаток :) схемы батареек изучил ...так что задавай вопросы что интересует

Boryan добавил 27-04-2010 в 02:47
фотки каких батареек нужно? Есть три вида плат...:) кинь ссылку на сайт где вы ковыряете 3000 батарейку

ErikPshat

27.04.2010 09:43

Цитата:

Сообщение от NutStorm (Сообщение 883616)

команда нашего сайта (можно найти по нику кому интересно) как раз работает над этим

А чё тут стесняться и что там искать?
Все и так знают супер-модератора с детского садика PSPISO.tv :D
Cайта, прописанного в правилах (пункт7.7), где копипастят чужие факи и статьи, без ссылок на первоисточник. И плюс к каждому такому факу, написанному не ими, прикрепляют свой логотип "PSPISO.TV" на чужие скрины, сделанные не ими, да ещё в конце делают приписку:

Цитата:

"Уф, всю ночь писал, старался чисто для вас, ради PSPISO!!!
Не забудьте все поставить мне спасибки!"

Ну так что ваша команда нарыла-то? Вы людей старше 14-ти в команду берёте?

ErikPshat

27.04.2010 09:47

stasik007, а как реагирует батарейка на ТА-088v3 с обычной пандорой?
Какой лог выдаёт?

Я имею ввиду, что раз на PSP-3000 читает номер FFFFFFFF, но обращения к карте не происходит, как вы говорили.
Так-же хочется проверить, на PSP-2000 TA-088v3, ведь тоже подсовывается номер FFFFFFFF и если стоит обычная пандора, то что происходит, ведь тоже вроде реакция, как будто нет обращений к карте. Вот и интересно, обращение к карте идёт или так-же, как на 3000?

Boryan

27.04.2010 13:19

ErikPshat, На ТА88V3 обращение к карте идёт после того, как sys con схавает код батарейки FFFFFFFF, и запустит контроллер питания, и подаст все нужные напряжения на консоль, и sys con даст команду ЦП делать загрузку с картридера. Всё зарыто в Sys con, если он подружился с батарейкой, то запускает всю консоль....а если не подружился, то фигу вам.:) Аналогично происходит если батарейка перезаряжена....то зыза не запустится. В 3000 sys con ни как не может подружиться с батарейкой.....вот и не запускает зызу....

Boryan добавил 27-04-2010 в 12:39
Вывод.....их нужно подружить :))))))принудительно :))))

Boryan добавил 27-04-2010 в 13:08
очень интересная батарейка :) у обычной батарейки с обычным серийником, отрываем 1-ю ногу епрома (Chip Select Input) и батарейка превращается в пандору:)

Boryan добавил 27-04-2010 в 13:12
ErikPshat, Понятно про NutStorm.....детский садик решил показать себя крутыми перцами по взлому батарейки 3000.....но они упёрлись в тупик....и батарейки им жалко ломать :) А нам чота не жалко...я уже 7 штук распотрошил :)

Boryan добавил 27-04-2010 в 13:14

Цитата:

Так как номер поменять пока нет возможности, надо смотреть что там внутри.

:)))))) пацтулом :) а вот мы можем менять и не только номер....:) итам внутри всё уже знаем и посмотрели....

Boryan добавил 27-04-2010 в 13:19
а внутри там ППЦ :)))http://s61.radikal.ru/i173/1004/cf/cfaa4f568352.jpg

Ins|der

27.04.2010 13:32

Цитата:

Сообщение от pronvit (Сообщение 883614)

имхо надо посмотреть, различаются ли ответы на разных батарейках, то есть зависят ли они от данных в еепроме типа

кстати, хорошая мысль!

Цитата:

Сообщение от Boryan (Сообщение 883663)

На ТА88V3 обращение к карте идёт

то есть на этой плате реально залить с карты офиц. прошивку и восстановить брик/задаунгрейдить?

ребят, не нужно сориться, в конце концов над одним делом работаем, любая помощь не помешает

Ins|der добавил 27-04-2010 в 13:32
lport3, это ты батарею от слимки брутил?

какая-то странная у неё ёмкость D804 (1240 mAh)..

Boryan

27.04.2010 14:07

Ins|der, мы не соримся..но понтовщиков ненавижу...что сделал этот малец? пришёл понтанулся и отметился в ветке и всё? что реально дельного предложил? ...номер он оказывается поменять не может :)
А по делу про ТА88V3 ....там стоит новый проц CXD2988 и он проверяет всё что ему предлагают на цифровую подпись от Сони. Для загрузки с карты нужен IPL подписанный сонями для стика....а его нету. Ну и есно с карты ты фиг чего сделаешь. В 3000 зызах стоит тот же ЦП CXD2988...

Boryan добавил 27-04-2010 в 14:07
lport3, давай всем миром будем брутить батарейку...опиши процесс технологический что и как и куда :)

Ins|der

27.04.2010 17:30

Цитата:

Сообщение от Boryan (Сообщение 883679)

Для загрузки с карты нужен IPL подписанный сонями для стика....а его нету

понятно, то есть для стика нужен спец. лоадер, отличный от лоадера в нанд, и, насколько я помню, он каким-то образом привязан к серийнику карты, так? (заранее извиняюсь за глупые вопросы, приходится на ходу в теме разбираться)
хотел почитать прошлую тему "Размышления о взломе TA-88v3", память освежить, но так и не нашел её(

ANDPSP

27.04.2010 17:47

Цитата:

Сообщение от lport3 (Сообщение 883534)

Какие настройки порта в терминале вы выставляли?
-------------------------
Все, разобрался..
-------------------------
Особо впечатлительным лучше не смотреть,
заинтересовавшиеся и желающие помочь, стучитесь в личку.

А все же, расскажите поподробней куда подключаться все же нужно, я собрал кабель на базе PL2303HX - RX прицепил на средний контакт, GND прицепил на минус - он левее, если консоль лежит на экране шифтами вверх - в настройках порта скорость - 9600, четность - None, дата бит - 8, стоп бит - 1 - вроде бы все правильно , но я не получаю тех байтов что описывались тут - у меня совсем все по другому :-( вот вставляю запандоренную батарейку в фатку и получаю какую то хрень

хрень

тут два прогона, начало вроде похоже друг на друга, но все равно хрень - почему так ? Или нельзя напрямую подключаться к среднему контакту поскольку он объединяет RX и TX сигналы в один контакт ? Тогда куда нужно подключаться ?

stasik007

27.04.2010 17:53

Народ! - давайте о деле..

stasik007 добавил 27-04-2010 в 17:53
настройки гипертерминалки 19200 8E2 None
у кого виста или семёрка

RealTerm: Serial Terminal Program
For up to date infomation, and downloads
http://realterm.sourceforge.net
Latest Development versions may be available from:
http://www.i2cchip.com/realterm

Ins|der

27.04.2010 17:55

чтобы как-то систематизировать, предлагаю на рассмотрение след. план действий:

при наличии одной батареи
1.

Цитата:

Сообщение от stasik007 (Сообщение 883602)

проверить одинаковые запросы по 80D9, 8008, 8004, 8002 - будут ли ответы отличаться?

2. проверить одинаковые запросы по 8002/8008 на батарее с оригинальным, измененным, 00000000, ffffffff серийником, чтобы выяснить его роль в формировании ответа;

3. если SN не влияет на ответ, последовательно изменять участки кода EEPROM батареи с выдачей одного и того же запроса, чтобы вычислить области, критичные для формирования ответа

как-то так)

ANDPSP

27.04.2010 18:12

Цитата:

Сообщение от stasik007 (Сообщение 883738)

stasik007 добавил 27-04-2010 в 17:53
настройки гипертерминалки 19200 8E2 None
у кого виста или семёрка

Так не заработало тоже, но вот с параметрами 19200 8E1 None стало то что нужно :-) теперь и эмулятор опробовать можно :-)

stasik007

27.04.2010 18:27

Цитата:

Сообщение от ANDPSP (Сообщение 883752)

Так не заработало тоже, но вот с параметрами 19200 8E1 None стало то что нужно :-) теперь и эмулятор опробовать можно :-)

у меня с 1 стоп-битом error проскакивает а с 2 идеально и по дкументации 2 надо

stasik007 добавил 27-04-2010 в 18:27

Цитата:

Сообщение от Ins|der (Сообщение 883753)

так вот похоже в том и проблема, что даже на ta-88v3 так до сих пор ничего не подписали)

просьба тему в сторону не уводить - если интересен ipl - то и обсуждайте его в ipl-ном месте!
он тут потоптался, поистерил и дальше пошёл на другой форум ipl обсуждать и говорить им что батарейки у них нету и ничего не получится

lport3

27.04.2010 19:06

Немного работал, не мог дальше грабить,
сегодня вечер посвящу батарейке.
Сегодня попробую поподкидывать команды из ваших
логов, но уверен, что они совпадут. Кстати, если сразу
спрашивать $8002 батарейка не отвечает. Все таки не так просто
будет понять длинные команды (возможно вообще не получится).
Хотел считать еепром в батарейке, но логов вы не сделали, а жаль
по известному методу считывания можно было бы попробовать считать
озу (тут ведь неизвестно где можно нарыть дыру ).
Батарейку читаю через к-адаптер (автомобильный стандарт к-линия,
питание адаптера 7в), програмку сварганил сам.
Сегодня если ничего не получится по раскрипту длинных команд,
то мысли у меня кончились.

lport3 добавил 27-04-2010 в 19:06
Ins|der

Цитата:

при наличии одной батареи
1.
Цитата:
Сообщение от stasik007 https://www.pspx.ru/forum/cleardoc/buttons/viewpost.gif
проверить одинаковые запросы по 80D9, 8008, 8004, 8002 - будут ли ответы отличаться?

Попробовать надо, но даже судя по командам разным, отличия будут.
А разглядывать крипт в нескольких командах, только путатся, и
увеличивать объем работы.

Цитата:

2. проверить одинаковые запросы по 8002/8008 на батарее с оригинальным, измененным, 00000000, ffffffff серийником, чтобы выяснить его роль в формировании ответа;

Для этого надо, вам делать адаптеры, поскольку у меня только одна
батарейка (3.6,1200,брайт,ориг.)

Цитата:

3. если SN не влияет на ответ, последовательно изменять участки кода EEPROM батареи с выдачей одного и того же запроса, чтобы вычислить области, критичные для формирования ответа

Пальцем в небо, совершенно не реально. Тут уж точно запутатся можно
Только если с нулевым еепромом батарейка запускается, имеет смысл.

stasik007

27.04.2010 19:14

ещё вопрос! - если повторять комманду 8002 (к примеру) с одним и темже аргументом ответ будет одинаковый всегда? или всегда разный?

Текущее время: 08:21. Часовой пояс GMT +3.

Страница 13 из 90