Pandora (unbricker/downgrader) для PSP-200X TA-088v3

[ErikPshat]

Сервисный комплект для PSP-200X
(включая TA-088v3)

{ НИЧЕГО НЕ ПРОДАЁМ / NO SALES HERE }

После удачного взлома и последующей длительной заморозки в скрытом разделе темы:
"Размышления о возможностях взлома ТА88v3"
было решено, что настало время её разморозить и отдать "в народ".
Дабы не нарушать хронологию "размышлений по взлому", инструкция выложена в шапке отдельной темой.

Первое видео от Yoti

Новое видео подтверждение работы сервисной карты JigKick на PSP-2006 TA-088v3!

Комплект сервисной карты и MSID Dumper:

• Service_memstick_TA-088v3.zip
  
• MSID Dumper & SRC.zip

Структура папок в архиве:

• Extracted Files Original - все оригинальные извлечённые файлы с образа - по сути комплект сервисной карты (файловая копия карты).
• MSID 512mb Original - это дамп MSPro ID оригинальной сервисной карты, снятый с помощью MSID Dumper (сервисная область).
• Original Dump MS - полный образ сервисной карты в формате IMG. Можно посмотреть через WinHex (raw копия карты).
• Write IPL to MS - утилита записи сервисного IPL-загрузчика в 16-ый сектор карты памяти. Сам IPL уже там тоже лежит: multiloader_ipl.bin.

Изготовление волшебной сервисной карты:

1. Необходима карта MS PRO DUO неоригинал на 512 Мб, 2 Гб или 4 Гб.
2. Оригинал SONY не подходит, т.к. имеет свои чипы нанда и к ним нет спецификаций (даташита) и программаторов.
   
   Такие оригиналы НЕ подходят

   Это MS PRO DUO Mark2.
   Контроллёр, микросхема и плата залиты в один монолитный корпус, даташитов к ним нет и программатор к ним не найдёшь.
   
   1.jpg
   
   2.jpg
3. Скачиваем "MSID Dumper", вставляем карту памяти в PSP и запускаем программу. Видим на экране номер "Серийный номер" и MSProID вашей карточки и записываем, хотя дамп области MSID всё равно сохранится в корне карты памяти и вы можете его потом посмотреть хекс-редактором. Это вам может пригодиться, когда вы будете искать данные MSID в дампе микросхемы.
4. Тонким скальпелем располовиниваем корпус карты памяти пополам. Не поностью, а только заднюю часть и чуть больше половины по краям.
5. Затем пинцетом достаём из корпуса плату, она не приклеена, а просто лежит в пазах.
6. Из платы выпаиваем микросхему памяти (nand), которая самая большая и имеет 48 ножек. Рядом находится небольшой квадратный контроллёр памяти, его не трогаем.
   
   
   Подходящие карты памяти и nand

   3.jpg
   
   4.jpg
   
   5.jpg
   
   6.jpg
7. Вставляем микросхему в программатор с панелькой TSOP-48 под эту микросхему: http://www.soft-center.ru/reader/
8. Нужно учитывать, что с виду карты одинаковые, но внутри могут быть разные нанды, например Hynix или Samsung. Поэтому под вашу микросхему уже потом ищется программатор. Смотрим список поддерживаемых микросхем: http://www.soft-center.ru/reader/NAND_List.php.
   Hynix, насколько я знаю, практически все имеют одинаковый стандарт выводов по даташиту среди TSOP-48, поэтому если буквы или цифры немного отличаются от списка поддерживаемых моделей, то это вряд ли имеет значение.
9. Микросхема вставляется в панельку программатора очень просто. Панелька имеет конструкцию прищепки, нажимаем сверху, контакты отходят, ставится микросхема и отпускаем, контакты прижимаются к ножкам микросхемы.
10. Далее, программатор подключается к компьютеру, с заранее установленной программой и драйверами, поставляемыми с программатором. В программе указывается диапазон страниц, которые нужно сдампить и дампится часть памяти.
11. Сразу дампить 2 Гб всей памяти очень долго, да и не нужно. Сразу скажу, что нужная нам служебная область, где прописан MSID карты находится либо в самом начале, либо в самом конце микросхемы, обычно в 1-ом банке и не далее 3-4 блоков. Рекомендую сдампить сразу 4 блока - это 256 страниц или 0x100 в шестнадцатеричном виде, что и нужно указывать в диапазоне.
12. Открываем файл дампа в хекс-редакторе. Вводим в поиск, что нужно искать, а именно кусок хекс-кода MSID: 4D535053, что в буквенном выражении означает первые четыре аббревиатуры MSPS(NY0/DK0/XX0), то есть, это часть 16-значного ключа MSID, которая у всех карт памяти MS PRO DUO одинаковая.
    
    
    Скриншот MSID

    Это логическая область с MSID, снятая программой MSID Dumper, сохраняющаяся в корне карты памяти в файл. По структуре она не имеет ничего общего с настоящей областью MSID, которая находится в физическом чипе памяти.
    Требуется только для определения номера MSID для поиска в сыром RAW-дампе ципа карты памяти.
    Не путать с оригинальным RAW-дампом(снятым программатором)!
    
    MSID.png
    
    Это предварительная настройка снятия области дампа в программаторе "Тритон"
    
    HY27UY08AG5M.png
    
    Так выглядет оригинальная сервисная область MSID, сдампленная программатором.
    Обратите внимание, что она выглядет совсем иначе, нежели на первом рисунке, снятом программой для PSP - "MSID Dumper".
    
    

    • В стартовом секторе содержится серийный номер и MSID.
    • Далее идут 3 пустых сектора, полностью заполненных FFFFFFFF.
    • Затем идёт сектор, где указывается фрмат и размер карты памяти.

    
    
    HY27UH08AG5M.png
13. Найдя искомое, меняем 16-значный ID данной карты на ID сервисной. Необходимый код ID вы найдёте в папке "MSID 512mb Original" в файле ID.txt.
14. После замены ID, не забудьте сохранить файл. Затем обратно вшиваем этот дамп страницы по тому же адресу, откуда сдампили.
15. Впаиваем микросхему на место.
16. Форматируем изготовленную карту памяти на PSP.
17. Из папки "Write IPL to MS" запускаем "install_psp_ms_multi_loader_ipl.cmd"
18. Только после этого, делаем подключение PSP к компьютеру.
19. В окне консоли видим, как определяется флешка и нажимаем английскую "Y"
20. Видим сообщение "Write MS BOOT CODE" - значит всё отлично.
    • Если выдаётся сообщение "Canceled" - значит не ту букву нажали или не в той раскладке.
    • Если выдаётся сообщение "Check free reserved sector : to small reserved sectors" - значит идём изучать эту тему (Способ №2).
21. Монтируем в Хекс-редактор флешку, как физический диск и удостоверяемся, что в 16-ом секторе присутствует знакомый нам IPL.
22. Из папки "Extracted Files Original" копируем содержимое на флешку и идём прошивать брикнутые ТА-088v3 =)

---

1. 1 сектор = занимает 512 байт + 16 байт избыточного кода данных, позиционирования сектора и контрольная сумма ECC в конце каждого сектора.
2. 1 страница = это 4 сектора, т.е. 2048 байт + 64(16х4) служебных байта = 2112 байт.
3. 1 блок = 64 страницы (256 секторов), конечно же вместе с техническими данными. 131072 + 4096 = 135168 байт или 132 килобайта.

Страница спецификации

[Yoti]

gregorio,
можно предположить упаковку в не ту партию корпусов, если вообще для китайского подпола существуют какие-либо стандарты =)

[ErikPshat]

Чё-та у меня сайт не открывается. Здесь есть что-нибудь интересное?
http://www.pc-3000flash.com/solbase/...1fede31dedcdaf

[frostegater]

Сообщение от ErikPshat Чё-та у меня сайт не открывается. Здесь есть что-нибудь интересное? http://www.pc-3000flash.com/solbase/...1fede31dedcdaf

Не очень, но есть. Держи скрин.

screen

[Erema36]

Сообщение от ErikPshat MSID в шапке написан. Его вы найдёте по аббревиатуре _MSPSNY0 Остальное - это 16 байт кода.

ErikPshat, я не MSID имел ввиду, а id - идентификатор микросхемы памяти в рамках Вашей задачи. Впрочем проблема с этим уже разрешилась. Осталось отработать на нескольких картах.

[Erema36]

Сообщение от Yokel этот Flash Reader вообще писать умеет?

Умеет, еще как.
Для этого используется программка NAND_Reader.exe

Yokel, если у Вас не выходит, то приведите ошибку или сообщение, которое он пишет. Наверняка, в конфиге Вы не указали размер и количество блоков микросхемы памяти. Поэтому и не пишет.

[ErikPshat]

Кстати, программатор PROGSKEET вроде тоже может считывать и писать NAND.
Список поддерживаемых микросхем памяти у него пока мал: K9F1G08, S29GL128, K8Q2815, HY27US08.
Но думаю этим не ограничивается.

И к нему можно докупить такие панельки, которые одеваются прямо сверху на чип, не выпаивая его и программируется.

[Gregorio]

ErikPshat, я думал о панельке для чтения нанда без выпайки, но стоит он как-то очень прилично((
минус софтины от Софт Центра в том, что она не умеет читать отдельные сектора, она сразу дампит/заливает обратно целиком весь банк памяти.

[vestax]

Сообщение от gregorio ErikPshat, я думал о панельке для чтения нанда без выпайки, но стоит он как-то очень прилично(( минус софтины от Софт Центра в том, что она не умеет читать отдельные сектора, она сразу дампит/заливает обратно целиком весь банк памяти.

вот кстати насчет заливать целиком дамп(извините что не по теме!!!)...а кто разобрался как выставлять правильно блоки?

[Yoti]

Сообщение от vestax а кто разобрался как выставлять правильно блоки?

Все, у кого в голове не овсянка, а мозг =)

[Erema36]

Сообщение от vestax вот кстати насчет заливать целиком дамп(извините что не по теме!!!)...а кто разобрался как выставлять правильно блоки?

Звучит словно фраза ".. а кто разбирался как выставлять правильно страницы в книжке?"
vestax, Вам зачем, сказать можете?
Берете книгу с полки. Читаете ее с начало до конца. На 51 странице меняете одну строку. Возвращаете книжку туда откуда взяли. Причем тут порядок глав в книге?

vestax, способа всего два. Иногда к одной и той же флешки применимы оба одновременно:
(1) выстроить по порядку в соответствии с таблицей трансляции блоков;
(2) выстроить по порядку ориентируясь по возрастанию номеров блоков.

[ErikPshat]

Сообщение от vestax а кто разобрался как выставлять правильно блоки?

В данном случае мы сливаем дамп в сыром виде RAW. Поэтому выстраивать ничего не надо. Мы сливаем дамп в таком виде, в каком они лежат в нанде по порядку. И точно так же заливаем обратно.

Случай с выстраиванием порядка блоков, относится к восстановлению информации, т.к. они чередуются по банкам памяти и пишуться на самом деле не строго по порядку, а в освободившиеся ячейки, т.е. в начало, потом обходя имеющуюся легитимную запись после.

Но нам восстанавливать содержимое файловой структуры, например фотографий, видео, аудио, не требуется. Мы просто снимаем сырой дамп в таком перемешанном виде, как есть и точно так же в таком же виде пишем обратно на своё место.

Но один вид данных, один файл, всегда пишется непрерывно.

[Yokel]

Сообщение от ErikPshat Кстати, программатор PROGSKEET вроде тоже может считывать и писать NAND. Список поддерживаемых микросхем памяти у него пока мал: K9F1G08, S29GL128, K8Q2815, HY27US08. Но думаю этим не ограничивается. И к нему можно докупить такие панельки, которые одеваются прямо сверху на чип, не выпаивая его и программируется.

Дороговат ОН!

Yokel добавил 29.10.2011 в 07:51

Сообщение от Frostegater sashapv19, тебе ещё повезло... у меня 16тая.. ну я без тутора делал. С помощью друга правда.. он программатор слепил... первоначальную схему я выкладывал. Он её упростил до одного "слота".. писалось ужасно, перед этим ещё на обычных флешках тестили. С ними всё нормально было.. ну просто писали, паяли, пашет? да, нет.. ни одной обычной флешки не померло. А MSки сцуко.. мрут падлы. Щас карты нет, а та прожила 2 суток..

Поделись схемой плиз!

[ErikPshat]

Сообщение от Yokel Дороговат ОН!

45 Евро = 2000 рублей - дорого?

А где ты видел программаторы дешевле? О_о http://www.progskeet.com/products.php
Ну разве что Teensy++ самому спаять. Ваще-то это не так трудно, при том что схемы где-то есть.

А "NAND Flash Reader" из софт-ценра недорого за 6500руб? Или "Тритон" за 9000?

[Yokel]

Да согласен в сравнении с другими то не дорого, тем более, если это профильное занятие и на этом зарабатывать то это вообще не дорого!!!

[Gregorio]

для создания такого инструмента для работы 5-7к не особо дорого, ибо карта ведь не только брики непрошиваек лечит. я очень много прошиваек этой картой к жизни вернул.

хотя в моём случае я больше за карты китайские заплатил, чем за проггер от софт центра

[Yokel]

А в чем проблема с картами была?

[frostegater]

Сообщение от Yokel А в чем проблема с картами была?

Читай тему... контроллер пытается исправить ошибки в NAND и в конце концов убивает сам себя, а очень часто некоторые карты, даже "подходящие" горят после "прошивки".

[ErikPshat]

После каждого сектора (512 байт) идёт 16 байт контрольной суммы этого сектора, потом идёт опять сектор 512 байт и за ним 16 байт контролки.
И так каждый сектор имеет контрольную сумму, по типу MD5/CHA1/CRC.

Если в определённом секторе сменить MSID, то уже контрольная сумма этого сектора не совпадает.
Чтобы опять совпадало, требуется после смены ID подсчитать новую контрольную сумму. Но мы пока не знаем алгоритм подсчёта, это знает сам контроллёр. Хотя в программе у софт-центра прилагаются файлики подсчёта контролок к определённым видам контроллёров, но у нас их нет. Вероятно можно найти в инете эти самые алгоритмы. Они у каждого контроллёра свои.

Если интересно, каким образом идёт подсчёт контрольных сумм, можно ознакомиться с работой программы Flow Rebuilder 3.50 with ECC Gen
Она умеет упорядочивать блоки по порядку из правленного дампа нанда PS3, затем просчитывать контролки для каждого сектора.

[frostegater]

ErikPshat, так, допустим мы подсчитали контрольную сумму, но куда её мы будем писать? В эти 16 байт? Думаю, стоит найти где она хранится, а потом измерять и сравнивать. Ну даже если мы знаем где она хранится, ведь это как мне кажется не так сложно. Попробовать выдрать сектор без избыточного 16байтного кода хеша, и попробовать измерить её по различным хеш алго.

[ErikPshat]

Frostegater, ye ты странный какой )))
Как куда писать?
После того сектора, в котором мы меняем MSID.

Мы ведь меняем ID, а контрольная сумма то уже изменяется.
Именно поэтому многие карты памяти после этого перестают пахать, потому что мы сменили 4 байта MSID в секторе, а вот контролку не пересчитали.
Контроллёр, при обращении к этому сектору, видит, что не сходится сумма и считает, что это испорченный блок, поэтому заносит его в таблицу бэд-блоков.
Всё, карта больше не читает системную область и перестаёт работать.