Размышления о возможностях взлома ТА88v3

[Boryan]

ErikPshat, Я всё про сервисный стик ....выходит что только один вариант есть его запуска, это делать стик с MSID от оригинала? А вариантов собрать свою пандору пусть даже с оригинальной прошивой, нет?

[ErikPshat]

Yoti, или дампер как-то криво сработал, но точно с 16-го сектора =)
Или я что-то напутал и MSID.bin у меня остался на карточке от какой-то другой проги. Скорее всего напутал, т.к. ваши дампы назывались attr0.bin

Но только я не пойму, откуда у меня взялся MSID.bin с такими данными. Я его тогда сразу удалил, но больше воспроизвести мне такой файл не удалось =)

Сообщение от Boryan А вариантов собрать свою пандору пусть даже с оригинальной прошивой, нет?

Я пытался сделать Пандору с оригинала. В том, что всё заливал правильно - сомнений нет.
Но дело в том, что и IPL заряжал на карту оригинальный и прошивку заливал оригинальную на карту. По идее должна была запуститься.
Но есть один нюанс, что пути к прошивке в IPL записаны как flash0:/, а файлы на карте лежат в ms0:/

Вот и получается, что нам всего-то нужно поменять flash0 на ms0, но собрать обратно IPL как оригинал с цифровой защитной подписью мы не можем.

[Boryan]

ErikPshat,

Но есть один нюанс, что пути к прошивке в IPL записаны как flash0:/, а файлы на карте лежат в ms0:/

Чота я не понял Это как? Что, IPL берёт файлы прошивы с flash0:/,???? Откуда они там? А запрос MSID тоже в IPL прописан? Или мы зря заморачиваемся с ним? То есть с IPL мы не фига сделать не сможем...и какие задачи в нём прописаны мы их обязаны выполнить? И из сервисной карты мы сможем сделать только сервисную карту и не более...да и то если MSID удастся заменить....Неутешительно

[Alex14435]

Он про IPL от уже установленной прошивки. А тот IPL с сервис пандоры грузит только зашифрованные prx.enc которые без участия правильного MSID не расшифровываются...

[Boryan]

ну и как эти prx мэтьюх декриптил? Наверняка используя MSID?

[ErikPshat]

Boryan, ну что-ж ты у него сразу об этом не спросил?

[Boryan]

ErikPshat, А с твоя пандора с оригиналом тож вырубает через 20 сек?

[ErikPshat]

Boryan, да, точно так-же. Включаешь, погорит секунд надцать и вырубается. Секундомером не считал =)

Хотел попробовать собрать Пандору с официальной прошивки.
Ведь НАНД прошивки в PSP - это та-же память по структуре и технологии, что карта памяти. Там так-же в скрытой системной области записан загрузчик IPL, из которого идёт загрузка прошивки из размеченной логической области Flash0.

Думал, почему-бы точно так-же не стартануть прошивку с карты памяти. Ведь всё то-же самое. Записать оригинальный IPL в зарезервированную область, записать официальную прошивку в размеченную область.
Всё легально, все подписи на месте. Но тоже не запускается.

Просто, если декриптовать IPL, то там видно, что пути прописаны к Flash0. По крайней мере к flash0:/kd/pspbtcnf.bin точно помню путь был прописан. А в нём идёт список очерёдности загрузки файлов прошивки с уровнями привилегий.

[Boryan]

ErikPshat, Теперь понятно...тупик короче который только Дател преодолел....Ну и ладно...мож хоть удастся MSID подделать и то хоть польза будет от сервисной флехи....хоть брики лечить бум
А ты декриптил IPL сервисной? Порядок его работы известен? Он точно MSID запрашивает?

Boryan добавил 03-04-2010 в 16:50
Просто хотелось бы уточнить ..точно ли все траблы с сервисной флехой в MSID зарыты? Просто если не так ...то будет жаль потраченного времени на поиски метода смены MSID

[ErikPshat]

Boryan, IPL от сервисной я только декриптил до PART2. Там декриптится первый блок 0х1000, и как ни странно, вышел декриптованным последний блок, хотя у IPL прошивки последний блок выходит недекриптованным.

Потом в первом блоке лежит ключ декриптовки следующего блока 0х1000, а в следующем блоке лежит ключ от последующего. Таких блоков около 17-ти. Но декриптовка происходит в 4 где-то этапа. Значит остальные блоки просто между собой ксорятся по разным формулам.
В результате выходит небольшой конечный файл kbooti.bin в GZIP-архиве, где содержаться ключи к файлам прошивки и пути.

Но, к сожалению, я после PART2, следующую декриптовку делать не умею. Это делал rustot, причём вручную на компе вроде или кто-то ему на стороне декриптовал.
Там дважды он декриптуется, а затем ещё дважды, один раз на компе через Пёрл и затем программой, которую pronvit нарисовал.

То есть, для нас секрет одного действа в середине, которое от нас скрыл rustot и унёс с собой. Начало и конец мы уже знаем, как декриптовать.

[Boryan]

а куда исчез rustot? Он что, не хочет нам помочь?

[Alex14435]

Да, Мэтьюлх написал собственную программу для загрузки MSID и ENC в кирк для расшифровки, без идентификатора никак.

[ANDPSP]

ErikPshat, в декриптованном IPL по адресу 14180 прописан путь к \PSPBTCNF.TXT т.е. тому списку файлов что лежит в корне, а что если этот список изменить, например скопировать на флешку новую папку \kd - в нее положить известные файлы от пандоры или OFW которые по названию такие же как и те что лежат в папке \PRX и в этом списке прописать уже с учетом новой папки - начал было копировать это дело, но меня смутило различие в названии нескольких файлов. Например в этом списке и в папке \PRX есть упоминание про loadcorei.prx.enc, но в пандоре я нашел только loadcore.prx что в \kd что в \km и такая же хрень еще с одним файлом точно - что же это ? какая то модификация файлов под работу именно с флешки?
Еще не понятно наличие знака % в начале строчки у пары строк того списка - что это коммент или определенный режим запуска файлов ? в стандартных pspbtcnf.bin никаких процентов не обнаружил а вот последовательность загрузки файлов очень похожая....

И еще не очень понимаю - а нельзя ли как нить дизасемблить декриптованный IPL чтобы найти например что то похожее на инструкцию для KIRK по декриптовке этих файлов, ну например KIRK_DECRYPT(loadcorei.prx.enc, ключ_MSID ) ведь решили вроде что именно IPL ответственнен за загрузку файлов из списка \PSPBTCNF.TXT и дальнейшую загрузку *.bin из папки \JIG или не все так однозначно ? хотя других файлов же нет на флешке, а flash0 консоли не при делах поскольку подвергается форматированию...

[Alex14435]

странно, Мэтьюлх сказал что дальше part2 декриптовать невозможно...

[Boryan]

По поиску инфы по смене MSID набрёл на кладезь софта по флехам http://remontflash.ru/index.php/home очень порадовала прога Flash Memory Toolkit 1.20 PRO тут http://remontflash.ru/index.php/comp...category_id=42 мож кому пригодиться....там много софта ..его нужно изучать...мож чего и нам сгодиться

[dimon-dlx]

Сообщение от Boryan По поиску инфы по смене MSID набрёл на кладезь софта по флехам http://remontflash.ru/index.php/home очень порадовала прога Flash Memory Toolkit 1.20 PRO тут http://remontflash.ru/index.php/comp...category_id=42 мож кому пригодиться....там много софта ..его нужно изучать...мож чего и нам сгодиться

Только что удачно сменил S/N у флешки. Он хранится в НАНде а не в контроллере! Взял 1й стик перекинул НАНД в USB прописал свой серийник, вкинул туда же другой НАНД серийник стал другой хотя это ещё не MSID но продвижение не плохое... И что странно серийник 16ти значный...

[Boryan]

dimon-dlx, я тож эксперименты проводил и установил как и ты что и SN и MSID сидят в нанде Взял два стика по 2гиг, один простой а другой высокоскоростной, но с одинаковыми нандами. Это для того что бы контроллеры разные были, Снял нанд с высокоскоростного и поставил на простой. Флеха в компе и в PSP виделась, но не читалась и не форматилась. Есно контроллер, видя на борту не свою флеху, закрыл к ней доступ. И это правильно. На то он и контроллер если он считает что ошибок в нанде слишком много, то закрывает доступ в него. Но вставив этот стик в ПСП я считал его данные и удивился. Оказывается конроллер стика высчитывает MSID с нанда по своему алгоритму ....другой нанд на его борту и MSID другой Вот что было изначально:
данные скоростного стика:SN: FF435622
ID: 204D5350534E593000784400B9FF0000 2гига
данные обычного стика : SN: 00000011
ID: 204D5350534E59300079A800056F0000 2гига
данные нанда от скоростного стика установленно на борт контроллера обычного стика : SN: A7000000
ID: 204D5350534E59300078740014160000 и уже 256 мег!!! очень интересно.
Вернул всё обратно и оба стика заработали и инфа на них не пострадала

Boryan добавил 05-04-2010 в 21:28
Выходит что разные контроллеры и разный алгоритм высчитывания данных с одного и того же нанда....вот так ...

Boryan добавил 05-04-2010 в 21:45
и ещё...у каждого контроллере свой метод распределения данных в нанде...и посему на так легко будет найти в нанде то что нам нужно..ибо там мешанина...и походу для этого и существуют программы сборщики что бы увидеть то что нам нужно..И нужно в итоге остановиться на каком нибудь одном контроллере и ковырять его нанды, а иначе мы запутаемся Но самое главное что что это не тупик, и результат будет и он реальный. Это радует.

Boryan добавил 05-04-2010 в 22:09
dimon-dlx, тебе инфа http://www.uchobby.com/index.php/200...d-flash-chips/ прогер нандов на базе картридера....и ветка про USB в качестве прогера нандов http://www.mobile-files.ru/forum/sho...d.php?t=245686

[pronvit]

интересно-интересно.. возможно, контроллеры эти хранили служебную информацию в разных местах на нанде и считали просто что-то не то, выдав это за мсид. ну или что-то другое, не знаю, что, там происходит.

а вот программы-сборщики нам как раз не нужны, я уже говорил. потому что пусть там и мешанина, но мешанина из блоков какого-то размера, а не из байт, так что наш короооткий мсид по-любому будет в каком-то одном месте, а остальные данные нам восстанавливать не надо.

[Boryan]

pronvit, Супер! И на самом деле нафиг нам сборщики...но и в блоке MSID лежит в непристойном виде....как его найти нам? Я выкладывал сюда дамп снятый с адаптера...и что мы там нашли MSID? Ещё нарыл как сделать копеечный программер из картридера для xD карт....у меня как раз есть читалка xD http://www.uchobby.com/index.php/200...d-flash-chips/ тока пока не разобрался как к нему микруху нанда присобачивать ..в смысле куда какую ногу нанда припаивать к считывателю

Boryan добавил 06-04-2010 в 01:14
в описании вроде как у НАНДА используются с 1 по 22 ноги ....а это одна сторона нанда потому как на одной стороне 24 ноги....а на картинках у него подпайка с обеих строн....непонятка чота буржуй накосячил

[dimon-dlx]

Сообщение от Boryan в описании вроде как у НАНДА используются с 1 по 22 ноги ....а это одна сторона нанда потому как на одной стороне 24 ноги....а на картинках у него подпайка с обеих строн....непонятка чота буржуй накосячил

Всё правильно надо подпаивать с двух сторон С одной стороны управляющие выводы (в основном) а сдругой стороны дата...