Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 14

Boryan · 20.04.2010, 11:38

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли

Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

Расшифровка кодов

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000

Во вложении:

"psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
- Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
- "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
"Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

ErikPshat · 27.04.2010, 19:32

NutStorm, да не в обиду, немного пошутили с небольшой долей правды =).

Boryan, я о том, что на ТА-88v3 ведь пандора не запускается, несмотря на то, что батарея сервисная 0xffffffff.
Вот и интересует, какие данные выдаёт терминал в этом случае?

stasik007 · 27.04.2010, 19:41

данные теже что и 88v1 88v2 и других пандорящихся..
ведь борян же писал - В 88v3 и 90плате от 3000 проц тотже - другая только микруха cs (часы, опрос кнопок, контроль батарейки, короче проверяет и выдаёт комманды на запуск всех питаний и процов) вот она и опрашивает теперь по другому - кстати писали перед выпуском 3000 модели что левые аккомуляторы не будут к ней подходить..

ErikPshat · 27.04.2010, 19:45

stasik007, почему тогда пандора на ТА-88v3 не запускается?

Romcik077 · 27.04.2010, 20:20

Здравствуйте всем! А возможно на плату ТА88V3 перепаять системный контролер на более старый, то есть с более старых плат, если не ошибаюсь в предыдущих постах говорилось что остальная начинка похожа.
А насчёт пандоры для 3000 я думаю что в батарейке нечего искать так как когда контролер видит серииник FFFFFFFF он скорее всего опрашивает батарею 31 один раз что-бы получить нужный ответ для входа в сервисный режим. так что надо искать ключи для получения правильного ответа. А ключ может опять быть в ЕЕруме, в предыдущих постах говорилось что у когото был образец Рума и в нём был изменён другой участок иной чем сам серийник.
Вот такие у меня соображения на этот счёт

Boryan · 27.04.2010, 20:29

Сообщение от NutStorm

Boryan На все предирки по поводу сайта отвечать не буду. Пусть говорят что хотят. Школота на нашем сайте была есть и будет. Без нее никуда. Она поднимает посещаемость. ))) Сам ведь знаешь.
Вопрос сейчас в другом. Можно ссылочку на фак по смене номера на батарейке?

NutStorm добавил 27-04-2010 в 17:35
А по поводу батареек, могу сказать, что мне семью содержать надо, а не тратиться на соньки.

Я тоже семью содержу и не маленькую

)) Ты уж извени меня за резкость, но коли ты не знаешь как изменить номер в батарейке ( а это очень просто).... то тут тебе мягко говоря ....делать нечего..И почему сразу не сунуть штук 5 батареек в зызу....+ аккумулятор от автомобиля...нуачо? Запомни раз и навсегда, пригодиться может...нету батареек для 1000,2000,3000....( хотя для школоты они есть) они внешне отличаются, а внутри они по электронной начинке и программно, полностью одинаковые...вот мы их и ковыряем.

Boryan добавил 27-04-2010 в 20:29
Romcik077, нет нельзя...они функционально одинаковые, но корпуса разные по размерам и распиновка изменена....а паять 84 проводочка от BGA микрухи размером 6х6мм....я чота таких героев не встречал

)))

lport3 · 27.04.2010, 21:10

Похоже, ключ крипта изменяется динамически,
причем точно сказать по какому принципу сложно.
Если считывать одну команду с интервалом в 1-2 сек,
то ответ долго не меняется, если сокращать или увеличивать
время между запросами, ответ меняется. Привязки к лок.идентификатору
нет, проверил все.

Вот примерчик, считывал сериями (внутри серии паузы 50мск).

lport3 добавил 27-04-2010 в 21:10
Вот, собственно и все, динамический ключ..(
может даже кирк..

lport3 · 27.04.2010, 21:21

Сообщение от Romcik077

lport3,можешь перед отправки запроса (хотя-бы перед сериями) делать дамп батарей чтоб можно было проследить что изменяется в ЕЕроме. Может получится что нибудь с чем-то связать. (Это всего лишь предположение)

я бы с радостью, но мне нужны логи снятые во время
работы программы, которой вы сливаете дампы. У меня непрошивайка,
мне проще сделать протокольную читалку, как опцию в программке.

Boryan · 27.04.2010, 21:24

lport3, чота ты ошибаешься по моему

Как ты брутишь только чтением...я правильно понял? Или ты и на передачу работаешь? Потом, какая консоль участвует в опытах?
Ааа допёр..ты только батарейку мучаешь...

lport3 · 27.04.2010, 21:27

Сообщение от Boryan

lport3, чота ты ошибаешься по моему

Как ты брутишь только чтением...я правильно понял? Или ты и на передачу работаешь? Потом, какая консоль участвует в опытах?

Бручу обычно ), эмулирую запросы псп (батарейка на столе лежит), связь
естественно двунаправленная. 3008.

**Ins|der** · 27.04.2010, 21:36

Сообщение от Boryan

Потом, какая консоль участвует в опытах?

так он вроде только батарею брутит) напрямую ей команды шлет

Сообщение от lport3

Похоже, ключ крипта изменяется динамически, причем точно сказать по какому принципу сложно.

интересно, первые восемь байт статичны (полезная информация), вторые восемь байт типа нагрузка (привязанная ко времени?), вероятно несущественная

Boryan · 27.04.2010, 21:37

lport3, уже понял как ты брутишь

Только не понятно как Зыза это использует....динамический ключ...это как в автомобильных сигналках чтоле? Но вроде динамический код в авто сигнализациях ломают

Boryan · 27.04.2010, 22:08

смысла не вижу в динамическом коде.....динамический код нужен что бы что бы идентифицировать два устройства между собой. Пример автосигнализация и пульт. В зызе он не применим потому как сервисная батарейка должна работать со всеми консолями. А потом смысл брутить батарейку в которой может и не заложена функция пандоры для 3000. Уж коли соня изменила sys con то наверное и выпустила спец батарейку с нужными ответами на запросы зызы без всяких динамических ключей. А то что выложил lport3, это что то типа неправильной работы батарейки на запросы зызы. думаю что правильней было бы брутить зызу а не батарейку.

**Ins|der** · 27.04.2010, 22:20

Сообщение от Boryan

Уж коли соня изменила sys con то наверное и выпустила спец батарейку с нужными ответами на запросы зызы без всяких динамических ключей.

если это так и ответ на команду 80D9 вычисляется по специфическому алгоритму, известному только спец. батарее, тогда непонятно как его вообще узнать, не имея её в наличии..
а ещё ведь они вполне могли и аппаратно чего докрутить)

я надеюсь, ключ все-таки в eeprom'e

lport3 · 27.04.2010, 22:23

В исходниках на "слил" везде обращения
к процедурам из пспсдк.
Брутить псп, это как? ) подставлять левые ответы на запросы..хм..

Boryan · 27.04.2010, 22:40

Сообщение от lport3

В исходниках на "слил" везде обращения
к процедурам из пспсдк.
Брутить псп, это как? ) подставлять левые ответы на запросы..хм..

ну типа так ....у тебя же есть девайс который может в обе стороны работать ...вот и попробуй им эмулировать ответы зызе....к примеру как она отнесётся к ответу не 4 байта FF а 8 байт FF. ну и есно левые ответы мона попробовать ....только так я вижу смысл...а так есно обычной батарейкой мы ни чего не добьёмся....уже и так понятно что зыза с ней дружить не хочет в том виде в каком она есть.

Romcik077 · 27.04.2010, 22:40

lport3,я тоже не совсем понимаю что там творится но мне кажется есть ещё какие-то инструкций которые использует контролер чтобы читать и записывать данные из ЕЕром. Пример:
pc_send: 5A028023
battr_ans: A5021543
инструкция 80 выдаёт ошибку без остального кода. Значит есть и другие инструкций которые используют другие данные. Никто не нашёл даташит на контролеры от батарей?

Boryan · 27.04.2010, 22:51

А потом если бы было известно 100% что из обычной батарейки можно сделать пандору 3000 тогда бы имел смысл её брутить....но нам известно 100% что зызе батарейка не нравится...посему нужно эмулировать компом ответ батарейки который устроит зызу. Может вообще на все 32 запроса должен быть один ответ 16 байт FF либо A512062F7974D262BC0375FFFFFFFFFFFFFFFF+контрольная сумма этого блока

Ведь обычная батарейка этого не сделает. А потом эти 32 запроса может быть спецом сделанно что бы мозги запудрить и в сторону увести. Наверное соня предполагала что будут слушать обмен батарейки с 3000 вот и сделала намеренно такую подпрограмку сбивающую с толку

lport3 · 27.04.2010, 22:51

Сообщение от Boryan

ну типа так ....у тебя же есть девайс который может в обе стороны работать ...вот и попробуй им эмулировать ответы зызе....к примеру как она отнесётся к ответу не 4 байта FF а 8 байт FF. ну и есно левые ответы мона попробовать ....только так я вижу смысл...а так есно обычной батарейкой мы ни чего не добьёмся....уже и так понятно что зыза с ней дружить не хочет в том виде в каком она есть.

Это уже не брут получится а дроч..лово. Во первых, физически втуливать
контактик в новую псп. Во вторых, я тупо не знаю как должна вести себя "правильно" псп, при включении с пандорой. В третих, что куда подставлять..?

Boryan · 27.04.2010, 22:55

Romcik077, ссылка на даташит контроллера батарейки есть в этой ветке..ищи

Но он собака уж очень куртой....работает по программе которую ты в него запишешь. Нашёл контору которая продаёт программатор этих контроллеров с соответствующим софтом для разработок.....цена вопроса 2500$

Boryan добавил 27-04-2010 в 22:55
lport3, схему девайса мне дай которым ты батарейку мучаешь и я сам 3000 помучаю...у меня есть немножко

бриков 3000