Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .
Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?
Код Описание Данные Ответ от батареи Примечание
0x01 запрос оставшегося заряда нет energyleft_mAh:u16
0x02 запрос температуры нет temperature:u8 cercius degree, min/max value unknown
0x03 запрос напряжения нет voltage_mV:u16
0x04 запрос тока нет current_mA:short positive if charging battery
0x07 запрос ёмкости нет capacity_mAh:u16
0x09 запрос оставшегося времени нет timeleft_min:u16 XMB showing not this value
0x0c запрос серийного номера нет serialno:u32 suspected
0x80 запрос аутентификации? 9byte 16byte encrypted data/reply
0x81 запрос аутентификации? 8byte 8byte encrypted data/reply
0x05 ответ от батареи нет NAK, BCC error and so on??
0x06 ответ от батареи да ACK, with reply data
Странно как аппаратная пандора вообще работает если в ней флешка оторванна....ведь помимо FF во флехе ещё много чего сидит...а если она оторвана то что читает контроллер батарейки?
FF читает, надо полагать. но видимо там ничего не лежит важного. собственно для ответа на эти вопросы псп вроде ничего кроме серийника из еепрома читать не требуется. но тогда не понятно, почему вот эта китайская сломанная не работает.
stasik007, ты лучше дамп батарейки в bin. выкладывай заливай на слил.ру и ссылку сюда....а то в таком виде он как то неприглядно выглядит либо приводи в божеский вид его...
pronvit,
ты уверен? А я думал что питалово отрывают....но это сути не меняет...флехи то на борту контроллера в обеих случаях нету.
ну так написано в той статье на ps2dev. и в этом случае флешка как раз как бы есть, и видимо по электронике получается, что отсутствие контакта там значит ff, там это объяснено, но я не догнал
Как то не сильно продуктивно у вас получилось, я тоже
сегодня не добрался до своей псп. Вообще из всего что можно
на данный момент, это изучать длинные команды. Самое простое,
это пробрутить батарейку для поиска криптоалга. Все остальное
не перспективно, если в коротких командах и есть какието флаги
активных состояний, это в любом случае только инфа.
Последний раз редактировалось lport3; 23.04.2010 в 20:41.
Как то не сильно продуктивно у вас получилось, я тоже
сегодня не добрался до своей псп. Вообще из всего что можно
на данный момент, это изучать длинные команды. Самое простое,
это пробрутить батарейку для поиска криптоалга. Все остальное
не перспективно, если в rdbli(коротких командах) и есть какието флаги
активных состояний, это в любом случае только инфа.
так криптоалгоритм не так важен, все равно в сервисной батарейке будет ответ другой, по другому алгоритму.
по-моему надо сделать следующее, я уже писал, собрать устройство, которое будет отвечать на все запросы, кроме 80/81, а их переадресовывать батарейке, тогда можно попробовать во все ответы, кроме имеющих другое значение (то есть во флаг из команды 01 надо, а в заряд батареи нет) запихать всякие особые значения, ну или все по порядку, и смотреть, что будет. ну и в 80/81 можно попробовать пихать ff, 00 и тд, но тут из-за длины угадать вероятность мала.
Алгоритм не может меняться, поскольку приемник
имеет только один криптоалг, так же как и один протокол.
В старой псп считывался только серийник для перевода в
сервис, в 3000й возможно задействуется еще инфа но в
пределах криптованых пакетов. Вообще, снять криптоалг с
батарейки (если конечно в ней нет лока на брут) это достаточно
интересно, поскольку врятли для каждого протокола соньковцы
сделали бы особый крипт. Снятие этого криптоалга, очень перспективно.
Нужно только точно знать, есть ли возможность ввода в сервис 3000
через батарейку. А то получится что раскапаем в криптопакетах
какуюнибудь ерунду типа: "цикл заряда", ид производителя..)
Алгоритм не может меняться, поскольку приемник
имеет только один криптоалг, так же как и один протокол.
В старой псп считывался только серийник для перевода в
сервис, в 3000й возможно задействуется еще инфа но в
пределах криптованых пакетов. Вообще, снять криптоалг с
батарейки (если конечно в ней нет лока на брут) это достаточно
интересно, поскольку врятли для каждого протокола соньковцы
сделали бы особый крипт. Снятие этого криптоалга, очень перспективно.
Нужно только точно знать, есть ли возможность ввода в сервис 3000
через батарейку. А то получится что раскапаем в криптопакетах
какуюнибудь ерунду типа: "цикл заряда", ид производителя..)
э.. почему только один? да и вообще, например так - я посылаю батарейке X, если вернет X+1, значит все как обычно, если вернёт X+2, значит сервисная, а если что-то еще, то вообще левая.
к тому же с чего вы все-таки взяли, что там есть именно шифрование.. если бы я делал такую штуку для проверки официальности батарейки, то сделал бы отсылку ей случайного набора байт, а она должна посчитать из них ответ по алгоритму, известному только ей и мне. не факт, что там вообще есть какие-то зашифрованные данные. передавать там особо нечего, шифрование более-менее делать в таких мелких контроллерах тоже сомнительно.
такое ощущение, что пропущен целый кусок кода (6 строк в начале, если сравнивать с логом в шапке), серийник опять же только раз проверяется (а должен два)
wtf, что это за код спереди?
отсутствует команда 5A02 03 A0, после проверки ответов на 80 и 81 следует конец разговора (а должны выдаваться служебные команды).
а разве нелзя допустить что ответ выдаётся после манипуляций с содержимым отдельных ячеек еепром
в пользу этого и говорит то что после затирания определённых областей батарейка вобще перестаёт откликаться - срабатывает защита но от чего?
Последний раз редактировалось stasik007; 23.04.2010 в 21:20.
Причина: добавил, подумав
а разве нелзя допустить что ответ выдаётся после манипуляций с содержимым отдельных ячеек еепром
в пользу этого и говорит то что после затирания определённых областей батарейка вобще перестаёт откликаться - срабатывает защита но от чего?
одно другому не мешает, от запроса ответ точно зависит, возможно, зависит и от данных в еепроме. но тогда не ясно, как работает батарейка с оторванной ножкой.
с оторваной ножкой она и не работает - зыза шлёт туда запросы а ответа нет
примерно тоже происходит если включтить приставку от адаптера без батарейки - запросы туда тоже постоянно идут
В еепроме наверняка тоже много кусков криптованых.
Что может делать батарейка и зачем там такой сложный
протокол.. самый простой ответ, для идентификации и допуска
к каким то скрываемым функциям. Батарейка является неким ключем.
Возможно в старых псп в алге была ошибка неучитывающая ффки в
серийнике, в новых это могло быть пофиксено.
с оторваной ножкой она и не работает - зыза шлёт туда запросы а ответа нет
примерно тоже происходит если включтить приставку от адаптера без батарейки - запросы туда тоже постоянно идут
да не, в смысле с оторванной ножкой еепрома пандора же работает. а в этом случае из него всегда читается ff (и получается серийник ff), если бы на основе еепрома строился ответ, он был бы неправильным тоже..
вообще кстати интересно проверить, о чем разговаривает псп2000 с запандоренной таким образом батареей.
о том и речь, серийник возможно - лишь первая стадия проверки.
но тогда остается ещё вариант с "обнулением"
Сообщение от Ins|der
stasik007, а предыдущие логи с китайской батарейкой - это какая PSP
по поводу оторванной ножки:
stasik007 добавил 23-04-2010 в 22:27
это 3000
stasik007 добавил 24-04-2010 в 01:51
Сообщение от ErikPshat
Если это батарея от фатки 1800 mAh, то я бы поверил.
Но если от слимки 1200 mAh, тогда не сходится.
исходя из разобраных дампов нет подозрения что ключом к успеху ожет быть напряжение питания батарейки - например зыза проверяет напряжение питания , затем серийник и если питание не выше чем у стандартной батарейки или не конкретная его величина не жмёт руку?
а исходя из схемы напряжение может быть аж до 5V но искать стоит в районе 4.5
А порог напряжения выставлен в еепроме. Тогда подтверждается легенда о существовании прошивки еепрома для 3000 модели - идея красивая ;-)
и если это так то надо будет найти отвечающие за это байты , изменить, затем дозарядить батарейку и пробовать (и главное не переборщить а то рванёт)
вопрос такой - МОЖЕТ НАПРЯЖЕНИЕ ПИТАНИЯ ВЛИЯТЬ НА РЕЗУЛЬТАТ ОТВЕТА НА 80 комманду?
Последний раз редактировалось stasik007; 24.04.2010 в 01:58.
Причина: добавил, подумав
stasik007, дай нам пожалуйста так-же все данные терминала от оригинальной батареи Слимки 1200 mAh вместе с дампом EEPROM. Как в прошлый раз.
И ещё!
В шапке во вложении лежит прога-дампер EEPROM батареи.
Папку с программой "ospbt_060" ложить в ms0:/PSP/GAME/
Просьба всем, кому не лень, выкладывать дампы оригинальных батарей на www.slil.ru в архиве с коротким названием.
Не плохо было бы, чтобы было несколько дампов одной батарейки, но с разным уровнем заряда.
В PSP есть 3 уровня 67-100%, 33-66% и 0-33%. При 5% уходит в спячку.
Дампы сопровождать следующими сведениями (есть на наклейке):
MODEL PSP: 110 или S110
BATTERY PACK: 3.6V 1800mAh
Код батареи: 6724EWE (под штрихкодом)
Мелкий код внизу: 2-581-224-16
Заряд на момент снятия дампа: 33% (посмотреть в настройках системы)
Желательно название дампа выкладывать в следующем формате:
Внимание! Не заливайте дампы от чужих батареек в свою батарейку,
например от батареи 1800mAh в батарею 1200mAh,
от батареи одного производителя в батарею другого производителя.
Это приведёт к брику батареи!
Прошу любить и жаловать, Ваш Добро пожаловать в наш Чат в Telegram
Последний раз редактировалось ErikPshat; 24.04.2010 в 13:29.
20.04.2010, 11:38
Обсуждение взлома батарейки Пандоры PSP-3000...
Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .
(30)
Линейный вид
![C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы](../forum/images/panel_start.png "C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы")
