crashnok, ты чего докопался до mb44co18 ? ты думаешь это сискон? Она вообще ни чего не решает...и стартует по умолчанию сама а далее ждёт что ей сискон скажет....скажет отрубиться она и отрубится. Это контроллер питания ..так его назовём :) А сискон тот мелкий у которого рядом два кварца стоят... вот он собака и есть самый паршивый ..:)

Ну да, вначале тупил... когда только начал читать тему начал вникать mb44co18 не посмотрев схему и плату и она у меня вечно в голове крутилась/
Так вот насколько я смотрю по схеме отдельно сискон от контроллера кажись не поменять(. Что то мне кажется что установив старый сискон в пару с 18-м псп может не включится.
Какой комплект установлен в 90v1 ?
Кп+сискон
15+2007?
18+2007?
Вот сдесь http://psps.net.ru/news/uglubljaemsj...010-01-26-5308
указано что 18+2008 , тоесть такие же как в 90v2 но ведь это нереально, как она бы тогда с обычного акб пандоры стартовала?


Блин, надо не писать мысли в слух а сесть и подумать, и хорошо усвоить то что за два дня узнал.

Вообщем вывод на данный момент- есть распиновка сискона 2007(взята из мануала та 88), но вот в мануале на ta-90v2 не подписаны выводы пятаков.
Тоесть прийдется отпаять все микросхемы с которыми связан сискон и прозвонить и зарисовать.
Реально задействованы 71 пятак, остальные масса. Вообщем это неймоверный обьем работы. Но всё же возможно сделать переходник один раз и пользоваться.(это при условии что он будет работать с mb44c018)

Второй вариант дальнейших действий- это читать что происходит на шинах между процессором-сискон и сискон-кп при пандореной батарее.

Но вообще для того что бы более внятно понять что происходит с псп в сервис режиме мне ее надо держать в руках и осцилографом смотреть где есть разница между сервис и нормал. Дождусь когда привезут, всё равно в голове уже каша.



Надо усвоить то что узнал за два дня, а не писать тупые(временно) мысли и догадки в слух.:scratch_one-s_head:
Буду пока в аппаратную часть вникать, где какие шины, какое их назначение и т п, может это к чему то приведёт.

crashnok,
ссылки на гуаносайты, мягко выражаясь, не приветствуются. На pspfaqs.ru есть цикл статей "Углубляемся в...", ссылайся на них, а не на личеров.

Ок.

Тут http://pspfaqs.ru/faqs/489-psp-moterboards.html
ведь тоже написано что в 90в1 и 90в2 одинаковые контроллеры Baryon и Pommel.
КАК ТАК?

Инфа из pspident.

Спасибо, вот это похоже на правду. Значит mb44c018 нормально работает с 2007-мым сисконом.
Значит вариант с переходником возможен, нужно только заниматься.

Эээ, в аттаче инфа. Ты её точно посмотрел, а то там 0 загрузок?..

Ну конечно посмотрел):thank_you:
Именно этого я и ожидал только проц и сискон другой. Скорее бы уже получить та 88, аж горит пощупать разницу в сервис и нормал.

Та ничего в ней особенного, на мой потребительский взгляд... Только продавать приходится дешевле из-за "слетающей прошивки")))

Я думаю такой интерес к ней простителен человеку, который кроме двух та 90 ничего другого в руках не держал и только несколько дней узнает про ПСП ))
я никогда PSP в ремонт не брал(просто не было времени), и мой первый ремонт псп это замена процессора на своей 3008.
Так что пока за тупости не пинайте:tomato:, думаю через неделю освоюсь в зызаф.

"ЗЫЗаф" не держал, а шестизнак отхватил)))

crashnok, переходник под сискон делать дурное дело..шаг шаров маленький очень, да и бред это что бы зызу оживить или даун сделать..сискон на ней менять. Сейчас есть только два варианта ..первый аппаратный перевод и софтовый...софтовый это 80D9...аппаратный, это искать заветный вывод на сисконе который идёт на ЦП и отвечает за перевод его в режим сервиса...ВСё остальное пустая трата времени.

А как насчет создания лишь одной платы с пересаженным сисконом? И приделать к ней панельку с штырьками и зажимом типа сокета лга 775?

Alex14435, а как насчёт взять и вычислить алгоритм ответов на 80хх команды? дятел их просчитал..китайцы просчитали...а мы чем хуже....или кому то хочется с бубном поплясать и сделать переходник? Ты хоть представляешь что такое переходник с BGA на BGA...на очень маленькую BGA....это тебе не ГПУ у 360 :)

Насчет китайцев не слышал... Они ж там тупо платы меняли, откуда инфа про то что они вычислили алгоритм? Я думаю что взломать можно лишь составив таблицу запрос-ответ и потом из неё как из базы брать результат... В любом случае чтоб взломать алгоритм нужно хотя бы 10 запросов-ответов кода. Чем больше тем лучше. Но вот где бы эти правильные ответы взять ;) всегда найдутся криптографы которые ломанут алгоритм.

в этой ветке запросов- ответов тысячи ..бери и анализируй..чего ещё нужно

Boryan добавил 17-09-2010 в 16:25
всё дело в том что это нах ни кому не нужно....всем лень ...только потом ныть начинают что зажали инфу ..что не открываем секрет ...все ждут готового решения? Оно будет и есно и 80D9 будет взломан ...но паблика не будет!

Мне не лень, но мне интереснее железки.
Кстати не такой уж это нереал сделать такой переходник, на 0.5 я делал. Это же не каждый проводок отдельно паять, есть ведь технология. Сложность не в переходнике, а в разводке- это блин попробуй вызвони. Гады не промаркировали шары на схеме.
Да и не то это, совсем не то, надо что бы просто было.

Про китайцев говоря, Boryan имел ввиду что они клепают батарейки которые успешно работают в консолях - значит они знают алгоритм преобразования байт на сложные запросы (80XX и 81), конечно ответа на 80D9 нет в этих батарейках, но Datel тоже создавали батарейки-аналоги и так же знают алгоритм преобразования и поэтому наверняка они смогли просчитать ответ на 80D9 и создать чудо-батарейку - этот свой блютулс, но сони быстренько обломали их душевнй порыв... теперь точно известно что зная алгоритм преобразования байт на запросы типа 8004, 800A и 81 можно просчитать ответ на 80D9....

Просчитывать таблицу нереально - просто физически жизни не хватит, 8 байт, 256 вариантов в одном байте и потом 81 команда - на нее тоже нужно правильно отвечать...

А мы не знаем даже алгоритм преобразования, какие действия выполняются над байтами, и не знаем сколько параметров (один ключ шифрования или еще и дельта (для XTEA)) участвуют в преобразовании, если бы мы знали алгоритм наверняка, то можно было бы пробовать вычислить эти неизвестные параметры. но мы ничего не знаем.

Этот коммуникационный протокол вида A5 - 5A встречается в инете, вчера нашел его свежую реализацию в применении к "умным домам", но там нет никакого шифрования, даже контрольной суммы пакета нету :-(
А сони реализовала все это в 2004 году и фиг знает какой они алгоритм взяли за основу - XTEA или KeeLoq или еще что и модифицировали ли они базовый под себя или оставили как есть. Это можно узнать только вскрыв чип в котором этот алгоритм заложен или же найдя точную инфу про алгоритм идентификации, используемый сони в своих батарейках - может не обязательно псп, может в мобильниках или ноутах тоже есть умные батарейки, которые общаются на одному из контактов. Но эту инфу нужно искать и рыть инет в полную силу, а не ждть пока кто то разжует и принесет все готовое на блюдечке...

Boryan глянь все же эту инфу - может загубим пару батареек, но найдем нековский чип и достанем инфу из него ? crashnok тоже посмотри - ты хотел с железками повозиться и любишь всякие дивайсы мастерить по ходу :-)

ANDPSP добавил 17-09-2010 в 20:48
А да забыл еще один документик - команды микроконтроллера Nec 78K0

думаю сискон никто вскрывать не захочет, да и нековские чипы в батарейках все же попроще и подоступней должны быть... хотя надежда только на Боряна и его большое количество батареек...

ANDPSP добавил 17-09-2010 в 23:09
Вот кстати ссылка на что то похожее про "умный дом" http://www.linuxha.com/USB/cm15a.html, правда вчера было поинтересней но и тут есть инфа что при общении используются пакеты вида
5A <количество байт в пакете> <данные> разве что нет контрольной суммы....

ANDPSP добавил 17-09-2010 в 23:21
Boryan, помнишь ты про ключи Максим говорил, может здесь что то наподобие этого и правда шифрование SHA-1

А какой толк с контроллера батареи не имеющей нужный алгоритм на создание ответа? Так что если всё же идете в сторону батареи, то вскрывать нужно именно сискон.

Я всё же буду двигаться в сторону - "после сискона"
В понедельник буду пробовать стянуть данные с протоколов I2C между кп-сискон и SPI между сискон- цп.

Интересно, новая мамка будет, или 093?
http://www.qj.net/qjnet/news/the-mon...ormal-psp.html

Узнаем алгоритм ответа на 8002 и 8008, тогда можно будет поразмышлять насчет 80D9

Эрик выше скидывал сорцы сисконовские, вы гляните их..
гляньте и заплачьте..)), там куча алгов.
С чего вы взяли что 800х будет такой же как и 80д9 ?.. Ну а не имея
рабочих пар ничего вы не сделаете..

Согласен.

Дамп сискона ещё никто не делал... (может китайцы разве что)

lport3, рабочие пары можно нарыть...Но пока дело в другом...я не могу добиться одинаковых ответов на один и тот же запрос на родной батарейке. Вроде на одинаковые запросы должны быть одинаковые ответы...Походу прогу твою нужно подкорректировать. Мож пошаманишь мальца? Вот пример:
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 75 EE 3A F6 CA 30 12 01 31
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E CD 24 04 5B 1D AF 01 77 3D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 3A 6C 0B E0 1C 22 B0 1D 35
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
Boryan добавил 18-09-2010 в 19:29
ЗЫ И ещё ..вся эта защита батарейки сделана не ради ПСП ...а для защиты Инфолитиум соневских...Соня первая кто придумал батарейки которые знают время работы...вот и защитили их по максимуму. Думаю что алгоритм авторизации батарейки в ПСП, схож со всеми соневскими девайсами..видеокамеры...фотики..и т.д.

Boryan а тут все правильно у lport3, ведь сразу заметили что на сложные запросы, когда возвращается 16 байт ВСЕГДА совпадают лишь левые 8 байт ответа, это сверено с ответами аж 4-летней давности, с той темы с psp2dev ... а вот правая част имеет несколько вариантов - тоже не понятно что это за довесок и почему при запросе 80XX и 8 байт данных возвращается 16 байт в ответе, а при 81 запросе на 8 байт возвращается так же 8 байт, а простые команды вообще ничего не преобразовывают... значит минимум 3 вида алгоритма или же один но с хитрым преобразованием ?

Однако, однако...

Yoti, ни чего особенного....ответы повторяются и чередуются как им вздумется. Я делал 300 запросов этой командой с этим же ключём...в 300 ответах нарыл 20 разных ключей которые повторялись как им вздумается..
вот они :
первые 8 байт ответа во всех случаях были
67 A3 DD CB F5 54 68 0E
а вторые 8 байт вот:
4C 42 A6 4C F3 41 7C 0E 93
75 EE 3A F6 CA 30 12 01 31
CD 24 04 5B 1D AF 01 77 3D
C6 AB 27 63 13 7A 72 10 C7
3A 6C 0B E0 1C 22 B0 1D 35
80 65 C6 96 19 9D 11 71 58
36 B2 47 DD AC 29 62 EA A4
76 73 20 20 13 B5 82 9E C0
4B 61 C5 CA 74 8E 40 B7 9D
2E 4D B3 FC 31 9F 68 51 1E
FA DC 28 0C 00 FE F2 3E 99
DB 41 D8 7D EC 52 A0 2D 55
AD 01 3E B4 F7 51 2F 08 B2
D0 B5 F9 72 A8 8A 86 55 D4
0B 22 FA 56 5E 34 F8 5D 6D
26 16 12 F9 CD F9 94 B8 78
92 0E 41 FF 0B 17 D6 04 F5
A3 0C DB C1 D4 11 84 C6 57
3F 37 23 A9 2C 66 4F EE C0
C4 B9 FC F6 1C 3E F4 7F 95

Boryan добавил 18-09-2010 в 22:05
сдаётся мне что мы находимся на краю диапазона характеристик сигнала который зыза подаёт батарейке, потому и разные ответы на одинаковые запросы. Короткие команды проходят нормально...а вот с длиными беда. Какой это нафиг алгоритм, если на один ключ существует дофига ответов? Чота нужно делать с настройкой проги что бы добиться одинаковых ответов на одинаковые запросы...

Boryan добавил 18-09-2010 в 22:08
Можно в принципе накопить логов зыза<>батарейка и попытаться найти одинаковые запросы от зызы? и сравнить на них ответы батарейки, они должны быть иденичными. Тут ранее помню Эрик находил как то такую пару в выложенных логах.

В 20 ответах нет начинающихся на 1, 5, 6, В, Е.

Boryan, потестируй ещё. Возможно диапазон закончится и будет постоянно повторятся )

ANDPSP, прикольный аватарчик )

В помощь тем кто двигается в сторону батареи, собрал всё что необходимо для снятия дампа с микросхемы:
Если в батарее установлена uPD78F0102H как указал ANDPSP(я свою батарею не хотел колупать, дождусь уже приставки, которая будет завтра)
то в архив я собрал - схему подключения, распиновку микросхемы, программу, написал тхт с настройками программы.
Если же микруха другая, то укажите какая, также напишу как и что.
За архивом в аську, кто реально двигается в этом направлении, тому скину на почту.

Теперь тем, кто хочет помочь мне:
Методом реверс инжиниринга я вычислил почти все сигналы протокола SPI между CPU-SYSCON.
SI на R1034
SO на R3004
SCK на контрольной точке CL1097
осталось найти TACHYON_CS
Сканить вот этим http://www.xdimax.com/sub20/sub20.ht...DgodLzBeGw#BUY
Кто хочет заняться скину архив с тем, как разобраться с SPI и фото платы с отмечеными контрольными точками сигналов.

crashnok добавил 19-09-2010 в 07:20
Да и кстати, Боря, ведь можно сканить прямо rx tx которые входят в сискон(уже разделённые).

в самом распоследнем китайском пылесосе
спи выключено.
Метод - )))
ну и как вы точки вычислили?

crashnok, :))))
Это я знал много месяцев назад :) Ветку ты плохо читал, я об этом писал. Но наша задача была сделать самый просто девайс для скана что бы можно было сканить без разбора зызы...не каждый захочет девайс за 8 тыр курочить. Но это радует что у нас появился ещё один боец с мозгами и руками! Поздравляю! Значит дело наше не умрёт. :)

Boryan добавил 19-09-2010 в 11:58
искать батарейку с такой микрухой ....мне кажется быстрее сделаем девайс для перехода в сервис. На данный момент в батарейках стоят микрухи A01V14N05G, 780102Н, A01V13M07G

Ммм курю форумы ищу способ найти алгоритм по запросам и ответам... Такое ощущение что никто об этом даже не слышал. Но когда то давно читал про нейронную сеть и скачал кейген карт оплаты билайн который самонастраивается при получении очередного номера и серийника) ищу его снова

Alex14435 добавил 19-09-2010 в 12:05
http://alife-soft.narod.ru/programs.html
есть что нить стоящее?

Нейронная сеть обучается решению задачи на основании некоторой обучающей выборки – "задачника", состоящего из набора пар "вход–требуемый выход", и далее способна решать примеры, не входящие в обучающую выборку.

Если ввести на вход базу данных из сотни логов общения 80хх то может нейросеть нам поможет?

Ну так все эти микрухи можно прочитать, на 780102 собрано всё что необходимо. У кого есть батарея на таком мк, давайте на почту скину, вычитаете.

crashnok добавил 19-09-2010 в 17:08
Вот как вычислить даже не имея схемы
Отпаян проц- осцил
Отпаян сискон -осцил
Интересующие пятаки прозваниваем сначала друг на друга.
Теперь прозваниваем эту линию на массу и между собой.
Линия SI звонится на землю 470к, линия SO звонится как 100 с пятака на пятак, значит сигнал проходит через резистор.
Теперь смотрим на пятак проца сигнала SI от него дорога идет прямо на этот резистор в 470к.
Дальше- если сигнал с землёй не связан и в ближайшей окружности ни с чем не прозванивается, то подаем на пятак сискона минус, а на пятак проца плюс, Очень плавно поднимаем напряжение, смотрим за нагрузкой, и вычисляем теплый резистор(например губами) так вычисляем резик на 100 через который проходит сигнал SO.
Дальше, если сигнал прямой и больше ни с чем не связан, то можно вычислить прозвонкой на близлежащие контрольные точки. Если на контрольную точко не выведен, то по нагреву дороги.

ТОЛЬКО ЭТО ДЕЛАЕТСЯ САМОДЕЛЬНЫМ БЛОКОМ ПИТАНИЯ С РЕГУЛИРОВКОЙ СИЛЫ ТОКА И НАПРЯЖЕНИЯ, что бы исключить убийство платы.

Можно конечно и каждый элемент щупать тестером и найти его, но иногда это может занять много времени, так как елемент может быть в самом неожиданном месте.

Суровые русские хакеры целуют PSP чтоб она выдала свой резистор :bb:

О и ещё кому надо могу описать свои два метода создания переходника, для микросхем с очень мелким шагом и диаметром шара.

Тут выяснилось что у соней реально началась паранойя...в ТА93 переход в сервисный режим совсем отличный от ТА90,ТА92....жесть...совсем трёхнулись...с опережением работают :) Ещё сервис ТА90 ни кто не ломанул..а они уже в 93 новые команды....8097 :( добавили .
Вот аналог (воспроизведённый мной) оригинального лога перевода в сервисный режим ТА93....как видите новый запрос ...где звёздочки в конце строки...это батарейка не знает ответа...


Boryan добавил 19-09-2010 в 20:00
но старая батарейка от фатки на контроллере 780102Н умеет отвечать и на 80D9 и на 8097....правда эти ответы зызу не устраивают :)

Boryan добавил 19-09-2010 в 20:01
crashnok, Кидай в личку сюда чего ты там про этот контроллер знаешь

Бред сивой кобылы.

А эта батарейка доступна?
Возможно отличия не такие уж и серьезные, по крайней
мере сравнить надо.

Бред сивой кобылы.


Найдите по другому.
Вот, если прям такой бред, то проверяйте http://depositfiles.com/files/n1ostdz3j

Пример:
есть шар который нам нужен, запускать провод под процессор каждый раз это слишком геморно. С пятака пистон уходит сразу в какой то слой, так же на второй микросхеме. Но возможно эта дорога проходит где то на поверхности, каким образом вы бы в это проверили, каждую дорогу бы зачистили и прозванивали??? Представляю сколько бы это заняло времени. Раз это такой бред, то давайте дельный способ проверки есть ли такая дорога на поверхности.