Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .
Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?
Код Описание Данные Ответ от батареи Примечание
0x01 запрос оставшегося заряда нет energyleft_mAh:u16
0x02 запрос температуры нет temperature:u8 cercius degree, min/max value unknown
0x03 запрос напряжения нет voltage_mV:u16
0x04 запрос тока нет current_mA:short positive if charging battery
0x07 запрос ёмкости нет capacity_mAh:u16
0x09 запрос оставшегося времени нет timeleft_min:u16 XMB showing not this value
0x0c запрос серийного номера нет serialno:u32 suspected
0x80 запрос аутентификации? 9byte 16byte encrypted data/reply
0x81 запрос аутентификации? 8byte 8byte encrypted data/reply
0x05 ответ от батареи нет NAK, BCC error and so on??
0x06 ответ от батареи да ACK, with reply data
Другие консоли: Все PSP, все PSV, SCPH-1002, SCPH-102, SCPH-77008, CECH-4208C, SCPH-1000R
Регистрация: 19.03.2008
Адрес: Россия
Сообщений: 5,746
Вы сказали Спасибо: 819
Поблагодарили 3,857 раз(а) в 2,023 сообщениях
Сила репутации: 1
Репутация: 3857 
(репутация неоспорима)
Сообщение от hax0r
Методы для обычных программ с железками обычно не работают по одной простой причине...
<...>
Поэтому дырявая программа вполне может перекинуть вас в раздел оперативки, где хранится она сама, а не только переменные.
На это я и намекал, когда спрашивал про наличие практических идей. А туманные ответы - не модно.
Хорошо, убедил этот способ возможно не проканает.
Но я бы все равно его проверил.
Я всего лишь хочу опять сказать что не стоит зацикливаться
на одних только батарейках и на том как растворить свою psp в кислоте, а искать другие способы взлома.
Конкретное я озвучивал еще раньше, выяснить каким образом сам сикон
переводит проц в режим загрузки с карты памяти.
Wesbam, очень просто ...командами по шине...только доступа туда нет...это как в биосе РС ты выбираешь сам откуда будешь грузиться...так и здесь..доступ только с команд батарейки..А потом это бредовая идея для реализации ...в смысле что бы перешить или сделать даун тебе нужно будет всю консоль разобрать
Boryan добавил 20.12.2010 в 01:32
а потом ты думаешь что мы тупые и за полгода не пересмотрели все возможные варианты взлома? Аппаратный вариант со сменой сискона уже описывался много страниц назад..
Последний раз редактировалось Boryan; 20.12.2010 в 01:32.
Причина: добавил, подумав
Okey, я допускаю что мог что то пропустить и совершить ошибку
в своих умозаключениях. С самого начало правильней было бы
самому заняться взломом и проверкой своих идей.
Что касается варианта взлома через прошивку батарейки, то
я по прежнему считаю его не самым лучшим.
Wesbam, так попытайся сам сискон поломать...мож у тебя получится...Ты наверное так до конца и не понял всей сути перевода ПСП в сервисный режим.....только взлом батарейки и ни чего более
На это я и намекал, когда спрашивал про наличие практических идей. А туманные ответы - не модно.
Что-то я не очень понял.. Если это мне адресовано, то я всего лишь пытался человеку объяснить, что он предложил априори провальный путь...
А насчет практических идей - то, мне кажется, варианта всего 3 на данный момент:
1.декап
2.вариант с двумя чипами
3.вычисление ключей и алгоритма по ответам, но это наиболее нереально.. только если ООООчень сильно повезет... хотя, если у вас есть знакомые криптографы с мировым имене-можно попробовать..)
Ладно, следующая идея: имеем команды работающие с 4-мя байтами.
Командой Cheksum - проверяем их - получаем число - побайтное вычитание
этих 4х ячеек из 0000h. Таким образом значительно сокращается количество вариантов перебора значений для команды Verify. Нам нужно проверять только те a,b,c,d, разность которых равна этому числу
мммм чего то я не догнал, но команду Cheksum и правда почему то не реализовал когда с чипом игрался - но этот момент уже исправлен, новая прога считывает чексум или со всего чипа или с конкретного блока...
Теперь про алгоритм чексума - побайтного вычитания там нет и в помине, что там за алгоритм - хз. можно конечно попробовать просчитать алгом выложенным в доках на 9202 - но там блок 256 байт а у нас 1024...
Если кому интересно то блок из 1024 FF имеет чексум 0400h, причем полностью затертый чип так же имеет этот же чексум, как и любой блок.
Первый блок с данными "8000FFFF....FF" имеет чексум 057Eh, остальные пустые блоки имеют тот же чексум 0400h, а чексум всего чипа равен 417Eh
Мне пока не удалось найти алгоритм расчета чексуммы, попытайтесь - может кому повезет, но всеравно сомневаюсь что будет толк - поскольку мы узнаем лишь чексум всего блока - т.е. 1024 байт, а никак не 4-х байт которых достаточно для верификации...
Тем кто будет играться с моей прогой напоминаю что прошивка для заливки должна быть в виде бинарника а не стандартного хекса, т.е. вид типа ":10016600B7891CD6874197B0B160F204FAF3B1B0F3" не прокатит...
Для перевода нужно загрузить хекс в проге FlashProg и скопировать в бинарник или же заливать в самом FlashProg, но она льет с самого начала, а в моей проге можете записать данные в любой блок и стереть так же любой блок...
ANDPSP добавил 20.12.2010 в 18:01
Сообщение от hax0r
Что-то я не очень понял.. Если это мне адресовано, то я всего лишь пытался человеку объяснить, что он предложил априори провальный путь...
А насчет практических идей - то, мне кажется, варианта всего 3 на данный момент:
1.декап
2.вариант с двумя чипами
3.вычисление ключей и алгоритма по ответам, но это наиболее нереально.. только если ООООчень сильно повезет... хотя, если у вас есть знакомые криптографы с мировым имене-можно попробовать..)
1. У тебя реально есть навыки декапа и соответствующее оборудование ?
2. Тут Боря немного сам запутался и вас всех запутал, в реале наиболее открытые 501-е чипы с батареек, имеющие возможность перезаписи бута, закрыты от программирования - а это отключает возможность стереть определенный блок и записать в него програмку внутреннего чтения. теоретически есть конечно надежда найти в батарейке полностью открытый чип, но это скорее из области фантастики, как и надежда найти работающий бутлоадер в этих чипах - хотя этот момент так и не проверили...
3. Это не реально, я на 90 % теперь уверен что там реализован XTEA который в асме занимает всего 20-30 строк кода - можете в википедии посмотреть...
Последний раз редактировалось ANDPSP; 20.12.2010 в 18:02.
Причина: добавил, подумав
ANDPSP, действительно, очень похоже на XTEA.. но не забывайте, что у сони есть свой алгоритм, который так же не требователен к ресурсам и памяти. Название не приведу, но я о нем писал ранее... Или возможно, что сони модифицировали XTEA и стали его применять, т.к. XTEA не был запатентован по инфе из википедии..
Да и в семействе XTEA довольно много разновидностей.. например, XXTEA или RTEA..
RTEA вообще на СИ одну строчку занимает..
Все правильно в доке, это я ошибся при пересчете чексума - все значения перепроверил и все сходится тютя в тютю, там реально побайтное вычитание из нуля, но что это нам дает ?
Все правильно в доке, это я ошибся при пересчете чексума - все значения перепроверил и все сходится тютя в тютю, там реально побайтное вычитание из нуля, но что это нам дает ?
Это дает уменьшение возможных вариантов при бруте прошивки с помощью поблочной/побайтной верификации.
lazard,рассчитать можно все что хочешь.
А насчет обид... какие вопросы задаешь-такие ответы и получаешь.
Хватит или не хватит времени будет зависеть от тех временных рамок в которые ты хочешь уложиться.
Alezhek, по докам , да....а на деле 4 байта..Я же и прогу и доки и схемы всё выложил..можете сами попробовать...Мы тоже губы раскатали на эти доки ...но NEC быстро закатал
Boryan добавил 21.12.2010 в 20:23 Alezhek, А уже если у тебя есть желание помочь ..то поизучай доки на 9202 ..мож там дырку можно найти...или на 102 чип посмотри своим свежим взглядом
Последний раз редактировалось Boryan; 21.12.2010 в 20:23.
Причина: добавил, подумав