старт с нормальной батарейкой серийник 4f20df89:
подключаю батарейку
005A0201A2
A5050610C20677
5A020C97
A50606204F89DF77 - серийник
5A0B8008364CAFF8EFE8E9
A584A51206EFDDEDA268B1F15CF705F1F16FFADDE27B5A0201A2A5050610C206775A020C97A50606 204F89DF77
5A0B8002129A117169ADE46F81A51206CEE3A231846B7A3CACC16A81AE99A14F8A5A0A8108EC2507
7C96EB55A8A50A063D71D0DDA5AC498DC85A0201A2A5050600C206875A0B800208FA21BD9B0CF433
6AA51206649C9CC965D9AA823804FA537F84ADC7735A0A810A99549CC666111A30A50A061DF65042
207C3621B200
включаю приставку
5A0201A2
A5050610C20677
5A0203A0
A5040636100A
5A020C97
A50606204F89DF77 - серийник
5A0B80082ED10418C5A517A7CF
A51206956EC42197FA58395A3D01B7EBB74C36C5
5A0201A2
A5050610C20677 - серийник
5A0203A0
A5040636100A
5A020C97
A50606204F89DF77
5A0B800265727014369503DA15
A51206D3D208AC828AC4285A1F1BE8389276A2935A0A8162861C9CE061878131A50A063E02027DA5 B052A3415A0201A2
A5050600C206875A02079CA504060807415A020B98A504060F00415A02099AA5040601044B5A0202
A1A503061B365A02049FA504069AFFB75A0203A0A5040631100F5A0201A2A5050600C206875A0209
9AA504063603175A0202A1A503061B365A02049FA5040681FFD05A0203A0A504062C10145A0201A2
A5050600C106885A0203A0A504062C10145A0B80028C1358AFF19A5594FEA51206903ECAB191ACE9
B53336455CD35DC860BC5A0A819F3777774C64553C15A50A0664D75EC38A197E7B525A0201A2A505
0600C106885A02099AA504063603175A0202A1A503061B3600

странно, местами меняет байты

stasik007, это ты 2000ю зызу мучаешь?
и, прости за дилетантство, что такое "режим автозапуска"?

что такое "режим автозапуска"? - Autoboot mode - это когда серийник 00000000 - приставка включается как только вставлена батарейка (удобно при ремонте)

Ничё себе вы навычисляли.
Получается 5А - это запрос, А5 - это ответ. Следующий байт действительно длина.
Теперь нужно сами команды побайтно разложить =)
Я в шоке!

Ins|der, серийник записан в микрухе не сплошным текстом, а тоже кусками.

00000000 - режим автозапуска при вставке батареи.
FFFFFFFF - сервисный режим в предыдущих пандорах.

у меня есть догадка, что 3-ий байт в сообщении - это команда...
Например: сообщение зызы 5A 02 0С A2 - вернуть серийник батарейки
сообщение батарейки A5 06 06 204F89DF 77
P.S. у батарейки этот 3-ий байт всегда равен 06. Скорее всего это команда, что дальше будут данные

Ins|der,
серийник так хранится:
12345678
0x0e : 34
0x0f : 12
0x12 : 78
0x13 : 56

мысль:
серийник выдаётся коммандой A50606 а вот после серийника код очень интересный - похоже инструкция к загрузке (опробовал с разными флешками - везде тоже)
A50606000000004E - автозапуск -- 4E
A50606FFFFFFFF52 - сервис ------ 52
A50606204F89DF77 - нормальный --77

Да уж .... нет слов просто...тут кажись Стасик опечатался серийник должен быть в последней строчке куска... а вообще количество вхождений серийника в обычном, сервисном и режиме автозапуска всегда совпадает ? И написал бы как железячно проделываешь опыт - как и чем консоль к компу подключаешь для анализа - если это доступно для простых обывателей то мы попробовали бы тоже самое со своими батарейками и разными кончолями - может вырисовалась бы общая картинка...
И самое интересное - прослушать это же общение на 3000 консоли хотя бы и с обычной батарейкой, да и с сервисной тоже интересно - может быть индикатор и не загорается зеленым а общение идет - ведь не зря Борян писал что консоль несколько раз опрашивает серийник...

Контрольная сумма еще проще
FF=A5+5A
---------
$A5(1й байт)=$FF - сумма следующих байт пакета (8бит).
контрольный байт для коррекции кс - явно последний в пакете.

lport3, а можно пример на длинной строке, а то что-то не совсем понятно.

Нужен опрос от 3000 модели, кто может сделать?

нет, выяснили уже, что последний байт добавочный, вроде контрольной суммы, а второй - длина, просто команда длиной 6 байт у нас одна - выдать серийник батареи)

A51206956EC42197FA58395A3D01B7EBB74C36C5

A5 = FF - (12+06+95+6E+C4+21+97+FA+58+39+5A+3D+01+B7+
EB+B7+4C+36+C5 = 085A (8bit = 5A) )

слушаю простой фигнёй - собирал давно на 1 транзисторе для пс2 - по терминалке лог диагностики смотрел
отсюда схему брал
http://nnoble.nerim.net/ee-sio/ps2-ee-sio.html -
надобы всё переделать на максе - времени нет..

а свою схему не могу найти - хард накрылся давно где это было - погуглить надо мож где есть - 1 транзистор и 2 сопротивления - но это только слушать а на максе можно и туда и обратно!

stasik007 добавил 22-04-2010 в 17:42
нет! тут последний байт не добавочный и меняется он только если перешить режим работы батарейки - на 3 батарейках экспериментировал.

завтра утром у меня будет 3000 - сравним , обдумаем

Хм если я правильно понял то 5A020C97 - это команда консоли на запрос серийника батарейки ?

завтра тоже возьму свою 3000,
прочитаю нормально и выложу логи.
stasik007 - последний байт это кс,
поверь мне, я делаю приборы и программы для
диагностики автомобилей.

да

stasik007, разве?
06+06+20+4F+89+DF+77=5A
06+06+00+00+00+00+4E=5A
06+06+FF+FF+FF+FF+52=5A

вроде бы все органично вписывается в алгоритм)
хотя может чего не понимаю..

// Вот разложил поточнее, что выложил Стасик:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A 02 01 A2
A5 05 06 10 C2 06 77
5A 02 0C 97
A5 06 06 20 4F 89 DF 77 - серийник
5A 0B 80 08 36 4C AF F8 EF E8 E9 A5 84
A5 12 06 EF DD ED A2 68 B1 F1 5C F7 05 F1 F1 6F FA DD E2 7B
5A 02 01 A2
A5 05 06 10 C2 06 77
5A 02 0C 97
A5 06 06 20 4F 89 DF 77 - серийник
5A 0B 80 02 12 9A 11 71 69 AD E4 6F 81
A5 12 06 CE E3 A2 31 84 6B 7A 3C AC C1 6A 81 AE 99 A1 4F 8A
5A 0A 81 08 EC 25 07 7C 96 EB 55 A8
A5 0A 06 3D 71 D0 DD A5 AC 49 8D C8
5A 02 01 A2
A5 05 06 00 C2 06 87
5A 0B 80 02 08 FA 21 BD 9B 0C F4 33 6A
A5 12 06 64 9C 9C C9 65 D9 AA 82 38 04 FA 53 7F 84 AD C7 73
5A 0A 81 0A 99 54 9C C6 66 11 1A 30
A5 0A 06 1D F6 50 42 20 7C 36 21 B2
00

Включаю приставку:

5A 02 01 A2
A5 05 06 10 C2 06 77
5A 02 03 A0
A5 04 06 36 10 0A
5A 02 0C 97
A5 06 06 20 4F 89 DF 77 - серийник
5A 0B 80 08 2E D1 04 18 C5 A5 17 A7 CF
A5 12 06 95 6E C4 21 97 FA 58 39 5A 3D 01 B7 EB B7 4C 36 C5
5A 02 01 A2
A5 05 06 10 C2 06 77
5A 02 03 A0
A5 04 06 36 10 0A
5A 02 0C 97
A5 06 06 20 4F 89 DF 77 - серийник
5A 0B 80 02 65 72 70 14 36 95 03 DA 15
A5 12 06 D3 D2 08 AC 82 8A C4 28 5A 1F 1B E8 38 92 76 A2 93
5A 0A 81 62 86 1C 9C E0 61 87 81 31
A5 0A 06 3E 02 02 7D A5 B0 52 A3 41
5A 02 01 A2
A5 05 06 00 C2 06 87
5A 02 07 9C
A5 04 06 08 07 41
5A 02 0B 98
A5 04 06 0F 00 41
5A 02 09 9A
A5 04 06 01 04 4B
5A 02 02 A1
A5 03 06 1B 36
5A 02 04 9F
A5 04 06 9A FF B7
5A 02 03 A0
A5 04 06 31 10 0F
5A 02 01 A2
A5 05 06 00 C2 06 87
5A 02 09 9A
A5 04 06 36 03 17
5A 02 02 A1
A5 03 06 1B 36
5A 02 04 9F
A5 04 06 81 FF D0
5A 02 03 A0
A5 04 06 2C 10 14
5A 02 01 A2
A5 05 06 00 C1 06 88
5A 02 03 A0
A5 04 06 2C 10 14
5A 0B 80 02 8C 13 58 AF F1 9A 55 94 FE
A5 12 06 90 3E CA B1 91 AC E9 B5 33 36 45 5C D3 5D C8 60 BC
5A 0A 81 9F 37 77 77 4C 64 55 3C 15
A5 0A 06 64 D7 5E C3 8A 19 7E 7B 52
5A 02 01 A2
A5 05 06 00 C1 06 88
5A 02 09 9A
A5 04 06 36 03 17
5A 02 02 A1
A5 03 06 1B 36
00
*/

Так а если у меня есть кабель на базе PL2303 - когда то на мобиле прошивку менял - пришлось паять мини-USB - я могу эту хрень использовать ? Что мне нужно сделать для этого - зацепить TX и RX на цетральный контакт разъема для батарейки ? а питание будет с батарейки ведь браться - так ?
И еще отвлеченный вопрос - на 3000 миниUSB односторонний или двусторонний - сколько в нем контактов никто не озадачивался ? Просто чтобы получить доступ к мобиле нужна была обратная сторона миниUSB...

запрос 01 это проверка заряда,
в логе даже видно как напряжение меняется
вначале и в конце
вначале с201(49665) потом с100(49408)
можно было бы вычислить множитель,
но я не знаю нормальный заряд батарейки в псп)

--------
00 в начале и конце это брэйки порта для открытия сессии

чтобы слушать надо соединять RX

lport3, всё, я понял.

То есть, последний байт в каждой строке никакой нагрузки не несёт.
Он только выступает, как корректирующий байт контрольной суммы.
И добавляется соответственно, чтобы уравнять контрольную сумму к первому байту.

Похоже, что так.

Надо бы посмотреть дамп батарейки. А что если туда вставляем серийник, а контрольная сумма не сходится. Отсюда происходит ошибка и сбой.

Кроме последнего байта кс,
думаю что первый (кроме хидера) байт $06 - это просто положительный
ответ на запрос.
В длинном запросе наверняка есть направляющие адреса
на дамп в батерейке, поэтому не плохо былобы видеть дамп из
батарейки.
кс не может не сходится, это протокольная кс она служит
только для проверки целостности пакетов в протоколе связи.

stasik007, Выложи дамп своей батарейки сюда...я тебе говорил как его снимать.
ЗЫ Для инфы, что бы знали кто такой Стасик :) это мой коллега по работе :) Завтра ему передам 3000 для изучения...вот думаю логи будут очень интересные .... а сам буду продолжать аппаратно изучать 3000...

снова опечатка ???? - вначале с210 (49680) потом с200 (49664)- из-за нее сразу не въехал о чем речь - потом разложил запросы ответы и понял...
с сервисной батарейкой
5A 02 01 A2
A5 05 06 10 9B 06 9E
5A 02 01 A2
A5 05 06 10 9B 06 9E
5A 02 01 A2
A5 05 06 00 9B 06 AE

и с обычной
5A 02 01 A2
A5 05 06 10 C2 06 77
5A 02 01 A2
A5 05 06 10 C2 06 77
5A 02 01 A2
A5 05 06 00 C2 06 87
Но вот заряд ли это - странно что на двух разных батарейках одинаковое проседание 10(16) - неужели первичное включение столько энергии сжирает или тут что то другое....
К Стасу вопрос - какая батарейка была лучше заряжена на момент эксперемента и снятия инфы... Если мы правы то сервисная была более разряжена чем обычная...

вот дамп - только серийник поменялся после того как я запандорил и распандорил
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

сервисная батарейка 100%
обычная 60-75% примерно

ANDPSP, Привет! :) Завтра дам тебе что обещал :) А батарейка одна и та же была просто её режим ПСП тулом меняли туда сюда

ANDPSP,посмотри логи с первой страницы и
станет более понятно, что stasik007 просто не заряжал батарейку..
впрочем не настаиваю, надо более внимательно посмотреть.

-----------
проседание одинаковое, протсто ацп видимо 10 бит.

stasik007, я так понял, серийник у батарейки 1A 17 E7 58

Обращение за серийником должно быть по адресу 0F 0E 13 12 + может быть адресная прибавка.

Только имейте ввиду, что дам от чужой батарейки - нельзя заливать в другую батарейку!

0AF540D4 судя по первой странице, вот такой номер у батарейки.
-----------
вообще, по серьезному псп с батарейкой общается..))
крипт скорее всего, в длинных пакетах, единственная пахожесть,
начало на $8000, возможно 2 байта ключа, или направляющие.

lport3, 0AF540D4 сомневаюсь. Это-же дамп батарейки, а позиции серийника известны.
$8000 - мне кажется адресация памяти. Обычно по этому адресу кэшируются данные, вернее с 0х80000000.

Если в консольной терминалке, то команда вывода в файл:

вот пост с первой страницы, серийник видно..

lport3, так это байты с терминала. Там серийник уже складывается по другому.
А здесь он выложил дамп чипа памяти батарейки. Он состоит из 256 байт.

Серийник записывается по адресу 0х0F, 0х0E, 0х13, 0х12

Он же говорит, что сначала пандорил, а потом распандорил и прописался уже другой серийник.

В памяти батареки постоянно меняются данные. Они там записываются и корректируются со временем, чтобы делать калибровку батареи по мере старения.

Так-же, у меня были данные, где записываются данные о циклах заряда/разряда и состоянии заряда батареи. Просто винт сгорел и всё потерялось. Но это не трудно заново вычислить...
Нужно зарядить батарею на 100% и снять дамп. Потом разрядить её, пока не упадёт на одно деление и снова снять дамп, и ещё раз, разрядить на деление и опять снять дамп. После сравнения видно будет, в каком месте это меняется и записывается.

Так-же можно вычислить циклы заряда. Поставить на зарядку, будет гореть оранжевый огонёк и снять дамп. Как загориться красный огонёк, ещё раз снять дамп. Ещё когда горит зелёный, тоже снять дамп и все эти смещения можно вычислить.

Таким образом круг поисков сузится.

А я думал, он дал дамп с эфками в номере,
а "номер поменялся" - имеется ввиду после пандоры.
Чтобы понять что-куда в протоколе надо десятки логов,
и и-то это определит только направление для поиска.
То, что лежит в еепроме - полбеды, есть контроллер а у него
своя прошивка. Вот если ее слить и раздизить, тогда
считай дело в шляпе. А так, видится мне это малоперспективным.

lport3, вот смотри. Упирается всё в том, что мы пока точно не знаем, какой серийник должен быть в ответе. Не знаем какой длины и возможно вообще сменили в 3000 его месторасположение.

А если мы запишем серийник и снимем дамп памяти батареи, то будем знать каждый байтик.

Теперь, мы терминалом снимем такой-же опрос батареи, но уже на 3000 модели. И точно так-же, как я выше разложил всё по полочкам, разложим разговор терминала.

Мы точно вычислим, какую область памяти батареи отсылается в ответе в качестве серийника. И найдём в дампе эти байты. То есть, мы уже теоретически точно можем подтвердить местонахождение и длину серийника.

А по коду запросов-ответов можем составить картину сервисных ответов или обычных, сравнив с уже имеющимися.
Я уже прикинул, что коды идут однобайтовые (3-ий байт). И их не так уж много. В ответ возвращается код 06, а за ним данные, не считая последнего байта.

Рассмотрим первую строку: 5A 02 01 A2
Тут всё ясно...

• 5A - хедер запроса
• 02 - длина строки в байтах
• 01 - однобайтный код запроса (они пронумерованы по спецификации)
• A2 - последний байт корректирующей контрольной суммы

Заметь, в ответ всегда батарея вставляет код 06

Серийник батареи запрашивается кодом 0С

Кодом 80 запрашивается может заряд батареи и в ответ получает 16-байтный код. Скорее всего код двубайтный 80 08.

После второго опроса серийника уже запрашивается другой код 80 02, т.е. вероятно после второй проверки, убедившись в правильности, срабатывает следующая инструкция.

Кодом 81 08 возможно запрашивается цикл заряда и возвращается 8-байтный код.

Затем переходит на другую схожую инструкцию 81 0A

И остались коды 02, 03, 04, 07, 09 и 0B. Вот и вся арифметика =)

Из того что я увидел в логах выше.
адрес псп - 5A, адрес батарейки A5.
общая контрольная сумма пакета FF.
Описание пакета в протоколе -
1.адрес
2.длина пакета(-1)
3.команда запроса(для псп), ответ (для батейки)
4.байт коррекции суммы пакета до FF

Команда запроса в псп -
1. команда чтения локальных идентификаторов, 1 байт.
2. команда обработки динамическими средствами.
Первые 2 байта команды являются неким ключем,
определение ключа > $80$00

Ответ батарейки -
1. первый байт $06 - предположительно, позитивный
ответ.

Предполагаю, команда
$0C - серийник батарейки (почти точно).
$01 - напряжение батарейки, возможно
используется как напоминание связь
онлайн (это мое предположение)
Остальное пока что не понятно.

--------------------
кстати, так и не сказали мне какое напряжение, ток на батарейке?

Вот на 01 возвращается ответ 10 C2 06

Что это может значить?

P.S. И вы не против, если я закреплю разложенную таблицу терминала в шапку, чтобы сравниваться с ней, а не листать страницы туда-сюда?

то что команда $01 это напряжение батарейти,
только предположение.
если вы параметры батарейки скажете, мне будет проще,
псп сейчас рядом нет, чтобы посмотреть. Если будут известны параметры
то возможно я смогу описать команду 01 точнее.

На 3-ий раз в ответ приходит 00 C2 06
После этого, запрос на серийник не посылается, пропускается.

А 2 последних ответа уже отвечает, что 00 C1 06

Странные цифры =)

Сорри, что вклиниваюсь, но, ребят, а вы параллельно будете обследовать аккум от ta-88v3 ?