 |
Аркады | Чат | Форум |   |
|
|||||||
| PSP хакинг и девелопмент Взгляд изнутри |
  |
|
Опции темы | Опции просмотра |
20.04.2010, 11:38
|
Сообщение: #1 (882126) |
|
    
|
Обсуждение взлома батарейки Пандоры PSP-3000...
Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли
 Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .Boryan добавил 20-04-2010 в 11:33 народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком? Кто силён в написании таких прог? Терминал PSP-2000 Расшифровка кодов Во вложении:
EEPROM DATA Battery Последний раз редактировалось ErikPshat; 21.01.2018 в 03:29. Причина: добавил, подумав |
|
(30)
|
18.05.2010, 11:23
|
Сообщение: #482 (887432) | |
|
|
типа такого это общение фатки и запандоренной батарейки, консоль выключена, внешние питание подключено... Плохо одно - что в таких режимах консоль не запрашивает серийник батарейки вообще и у меня сложилось мнение что серийник запрашивается только один раз - при вставке батарейки... а это фигово для экспериментов - каждый раз нужно будет вытаскивать батарейку и вставлять заново или делать прерыватель по питанию какой то... |
|
|
|
|
18.05.2010, 16:01
|
Сообщение: #483 (887461) |
|
|
Кстати да, серийник запрашивается 1 раз и после этого консоль уходит в сервис мод (если речь про 1000,2000) потом если включать выключать консоль - она все-равно будет считать батарею запандоренной (даже если в процессе использовать утилиту по смене серийника и сделать ее обычной (если речь про 1000 где это легко делается програмно).
Т.е. действительно если мы хотим получить сервисный режим на 3000 то скорее всего нужны последовательности при первом знакомстве псп и батареи (т.е. процесс вставки батареи в псп без подключенной зарядки (если есть зарядка то в этом случае псп помнит серийник батареи)). Последний раз редактировалось anton85; 18.05.2010 в 17:09. |
|
|
|
20.05.2010, 12:33
|
Сообщение: #486 (887708) | |
|
|
|
|
|
|
|
20.05.2010, 12:46
|
Сообщение: #487 (887710) |
|
|
ANDPSP, да не, китайскими называют не выпущенные в Китае, т.к. щас всё выпускается там, а имеются ввиду неоригинальные, т.е. те, которые сделаны в подвале и называют подделками.
|
|
|
|
20.05.2010, 21:50
|
Сообщение: #488 (887783) | |
|
|
Boryan добавил 20-05-2010 в 21:50 начну вот японских ....одна из них пандорится программно другая без 13 и 14 команды...вот они  Последний раз редактировалось Boryan; 20.05.2010 в 21:50. Причина: добавил, подумав |
|
|
|
|
20.05.2010, 22:01
|
Сообщение: #489 (887785) | |
|
|
Японские точно пойдут..)
если у них еепром не сдернут, то пойдут для логов несмотря на серийники. Вообще. нужны 300х совместимые батарейки, про старые батарейки. больше для интереса спрашиваю..
|
|
|
|
|
20.05.2010, 22:27
|
Сообщение: #490 (887786) |
|
|
И так логи с батарейки у которой нет 13 и 14 команд. Делал по три запроса на каждую команду с паузой 1 сек
ЛОГИ Boryan добавил 20-05-2010 в 22:03 lport3, Это 100% 3000 совместимые батарейки и они не старые а новые. Boryan добавил 20-05-2010 в 22:17 Сколько запросов делать одной командой? Сейчас начну снимать лог с которая пандорится Boryan добавил 20-05-2010 в 22:21 Но одно пока озадачивает ...не нашёл не одной батарейки (среди огромной кучи) которая умеет отвечать на 80D9.......походу это и есть секрет пандоры 3000....уметь правильно ответить на этот запрос...И сдаётся мне что активация этого ответа зарыта во внешнем епроме контроллера батарейки....иначе каков смысл закрытия доступа к епрому в новых батарейках? Boryan добавил 20-05-2010 в 22:25 лог батарейки которая пандорится Лог Boryan добавил 20-05-2010 в 22:27 lport3, ты давай не стесняйси я пока у компа с к-лайн и кучи батареек сижу ....давай команды что делать Щас забабахаем Последний раз редактировалось Boryan; 20.05.2010 в 22:27. Причина: добавил, подумав |
|
|
|
21.05.2010, 00:07
|
Сообщение: #492 (887810) |
|
|
ОК ....нуууу....ты ежели чего...заходи (с)
))http://www.youtube.com/watch?v=4EOcFKipLf0Boryan добавил 21-05-2010 в 00:07 lport3, Мысли есть какие по поводу 80D9? как на неё отвечать? Алгоритм тот же что и в 80хх как думаешь? Последний раз редактировалось Boryan; 21.05.2010 в 00:07. Причина: добавил, подумав |
|
|
|
21.05.2010, 00:41
|
Сообщение: #493 (887831) |
|
|
При реализации протокола надо учитывать узость
канала, низкую процессоемкость микроконтроллера в батарейке... Принимает пакет и обрабатывает одна и та же процедура, направляющие при этом первые два байта, 8008,80д9... Судя по куче логов в топике таких направляющих много всяких разных, и городить для каждого подпрограмму нереально, значит все они обрабатываются одинаково. Ну а направляющие ( - #8000) это либо адрес, либо ключ, либо адрес ключа. Второй 8 байт блок для синхры времени, скорее всего передается один раз, как добавочный пакет. Возможно, без него будет тоже работать.. |
|
|
|
21.05.2010, 01:12
|
Сообщение: #494 (887834) |
|
|
Вот завтра отдам ребятам
ErikPshat, ANDPSP, девайсы к-лайн и надеюсь работа ускорится..А то пока ты один реально копаешь ....ну и я мальца в меру своих знаний...нас уже четверо будет..а это уже сила жаль что больше ни кто не хочет этим заниматься...Но после 80хх есть ещё 81....что про неё скажешь? Boryan добавил 21-05-2010 в 01:12 ну и на всякий случай логи по твоему алгоритму но 81 команда 81хххххххххх Последний раз редактировалось Boryan; 21.05.2010 в 01:12. Причина: добавил, подумав |
|
|
|
21.05.2010, 02:58
|
Сообщение: #496 (887846) |
|
|
лови
8009 8009 Boryan добавил 21-05-2010 в 01:37 дык если ломанём 80хх то за ней идёт запрос 81хххххх....и только потом зыза дружит с батарейкой  Boryan добавил 21-05-2010 в 01:39 а вот ещё 81 команда но одни 0000 и ответ одинаковый 810000000000000000 Boryan добавил 21-05-2010 в 01:43 а вот лог 81 команды по твоему алгоритму с японской батарейки очень интересный лог :)) Boryan добавил 21-05-2010 в 01:49 короче ипонские батарейки на 81 команду отвечают всегда одинаково....китайцы всегда по разному....и в обеих случаях зыза хавает ответы на 81 команду....вот лог и брут и всякая смесь в 81 команде на японской батарейке....ответ один :)))) Boryan добавил 21-05-2010 в 02:00 не батарейки а сплошная загадка....две нулёвые 1цикл заряда..батарейки японские на 81 команду стабильный статический ответ на разные значения 8 байт команды...при чём вставлял их в зызы играл на зызах и потом только снимал логи.....такие же японские батарейки но уже поработавшие в зызах с неизвестным циклом зарядов.....дают разные ответы на 81 команду....бредятина какая то....это то нафига? Boryan добавил 21-05-2010 в 02:19 ППЦ как вставил японскую батарейку с кодом FFF в 3000 и она есно запросила 32 запроса....батарейка на 81 .....стала отвечать....динамически.....Вставлял японскую батарейку с нормальным серийником в 3000....включал зызу ....потом 81 команда ..брут ...ответ одинаковый статический....что за хрень такая? Выходит 80D9 как то связанна с 81 командой? и после 32 запросов 80d9.....ответы на 81 команду динамические.... Boryan добавил 21-05-2010 в 02:28 Продолжаю мучить батарейку....81 запрос+брут... ответ динамический. Разбираю батарейку....отрываю батарейку от контроллера и снова подключаю...тем самым заставляя работать контроллер с чистого листа....81 запрос+брут ...ответ статический... Boryan добавил 21-05-2010 в 02:33 выходит что 81 команда строится из ответа батарейки на 80хх и эти две команды работают в связке.....не хило соня замутила... Boryan добавил 21-05-2010 в 02:52 дальше батарейку пытаем, серийник 000000( автобут)... Обнулил контроллер...81+брут...статический ответ. Вставляю батарейку в 2000 зызу, зыза стартует....выключаю зызу...81+брут...статический ответ. Вставляю эту батарейку в 3000!!! .....81+брут...ДИНАМИЧЕСКИЙ ответ! Снова вставляю батарейку в 2000 зызу, зыза стартует....81+брут...статический ответ!!!2000 зыза вылечила батарейку!!! ))Это что? Выходит что 3000 намеренно сводит батарейку c ума.. с серийником FF и 00?...для того что бы она давала неверные ответы? И что бы 3000 зыза не перешла в сервисный режим? Может в этом весь секрет? Чота я запутался ((Boryan добавил 21-05-2010 в 02:58 Выходит 80D9 это не команда запроса .....а команда временного уничтожения батарейки.....и не зря 32 посылки....что бы сбить всю библиотеку ответов в оперативке...ведь другие 80хх команды батарейку с ума не сводят...и после них всегда статический ответ на 81....в отличии от 80D9.. Последний раз редактировалось Boryan; 21.05.2010 в 02:58. Причина: добавил, подумав |
|
|
|
21.05.2010, 03:59
|
Сообщение: #498 (887865) | |
|
|
но каким образом тогда 2000 зыза возвращает всё на круги своя? Лады, завтра попробую снять лог как 2000 лечит батарейку после 3000....
Boryan добавил 21-05-2010 в 03:11
)) и не только по рогамBoryan добавил 21-05-2010 в 03:15 да походу 80хх это команды записи в оперативку по выбранным адресам...затем идёт ответ батарейки что всё ок и она записала по такому то адресу данное зызой значение ...а затем 81 команда что то запрашивает из того адреса куда была сделана запись...ибо точно известно что значение ответа на 81 команду меняется только после того как поработает 80хх команда...ну как то так...это мои догадки Boryan добавил 21-05-2010 в 03:32 и так ...беру батарейку послаю 81+брут, ответ статический. Делаю запрос 8008 с 0000 и брутом первого байта...255 запросов....и снова 81+брут, ответ статический. Делаю запрос 80D9 c 0000 и брутом первого байта..255 запросов....и проверяем 81+брут....и опа...батарейка сошла с ума......ДИНАМИЧЕСКИЙ ответ!!! Boryan добавил 21-05-2010 в 03:34 И какие мысли у народа по этому поводу??? Boryan добавил 21-05-2010 в 03:48 А теперь мне сдаётся что на 80D9 вообще нет ответа ...и его быть не может!!! Это ход соней для увода в сторону от истины и для сбоя оперативки контроллера ..это команда записи хлама в оперативку. Ведь после 32 посылок 80D9 зыза вообще перестаёт работать с этой батарейкой и с рычажка не включается даже....Так мало того, эта команда стоит в отдельном ряду от 80хх команда кои расположены по порядку и их не много...вот рабочие команды 8008,8009,800A,800B,800C,800D...и это всё!!!! А вот 80D9 чота далеко от них отстоит....И сдаётся мне в свете последних исследований ,что серийник у пандоры 3000 не ffffffff и 00000000.....а обычный ....но его нужно найти....4 байта это не так уж и много для перебора... Boryan добавил 21-05-2010 в 03:50 нужно разработать быстрый метод перебора....серийника... Boryan добавил 21-05-2010 в 03:59 lport3, В свете твоих знаний... как ты считаешь, мои последние доводы...есть в них истина, или я бред написал? Последний раз редактировалось Boryan; 21.05.2010 в 03:59. Причина: добавил, подумав |
|
|
|
|
21.05.2010, 12:06
|
Сообщение: #499 (887900) | |||
|
|
ANDPSP добавил 21-05-2010 в 11:45
ANDPSP добавил 21-05-2010 в 12:06
Последний раз редактировалось ANDPSP; 21.05.2010 в 12:06. Причина: добавил, подумав |
|||
|
|
|
22.05.2010, 13:01
|
Сообщение: #500 (887905) | |
|
|
ANDPSP, Твой девайс готов полностью, можешь сегодня забрать.
Boryan добавил 21-05-2010 в 12:38 ANDPSP,
Boryan добавил 21-05-2010 в 12:46 Ещё одна интересная феня на запросы 80080000000000000000 но с разным временем....всего 4 варианта ответа ответы Boryan добавил 21-05-2010 в 12:54 А вот ещё интересное....подаю 8008 с 00 и за ней 81 с брутом....если ответ на 8008 совпадает то и ответ на 81 и далее по фигу что там в последующих 8 байтах -ОТВЕТ СТАТИЧЕСКИЙ и одинаковый. Значит 80 команда это подготовка к ответу 81 команду... лог 80 +81+80+81 Boryan добавил 21-05-2010 в 12:59 итог ...одинаковые значения ответов на 80, дают одинаковые ответы на 81 не зависимо от значения 8ми байт в 81 Boryan добавил 21-05-2010 в 14:24 ErikPshat, Твой девайс тоже готов. Boryan добавил 22-05-2010 в 11:12 ну вот и сбылись мои догадки по поводу батарейки от Стаса которая умеет отвечать на 80D9.....китайцы перестраховались и весь диапазон 80хх команд от 00 до FF они перекрыли .....И походу второй байт в 80 команде вообще непонятно за что отвечает.....за алгоритм? За адреса ключей? Куда интересно запихнули в батарейке 255 штук 16 байт ключей?...И может это и не правильно ....но эту "левую" батарейку как ни странно принимает 3000 и прекрасно с ней работает. Выходит что батарейка правильно отвечает и на команды 3000....а там уже не 8008 а 800A....команды изменены....значит и на 80D9 батарейка правильно отвечает....выходит 80D9 лажовая команда? ..... Вот лог 80-- Хотя может я и ошибаюсь и это не левая китайская батарейка....а что ни на есть самая оригинальная ....просто выпущена в китае. Boryan добавил 22-05-2010 в 12:08 И действительно ..расковырял эту батарейку....все аргументы за то, что она самая оригинальная ....монтаж на самом высоком уровне ....банка самой батарейки изготовлена идеально....мало того ножки контроллера и микрух залиты силиконовым компаундом ...что очень правильно. Судите сами где есть что? слева та которая знает все ответы на 80хх  ещё:  Походу это и есть самая оригинальная батарейка из первых партий....и она действительно знает все ответы но 80хх команды....а позже в других батарейках для упрощения вырезали не нужные ответы на 80хх команды.... Boryan добавил 22-05-2010 в 13:02 и всё же, 80D9...это реальная команда и на неё есть ответ...или эта команда для "бана" батарейки с серийником FF ...и 00...??? Последний раз редактировалось Boryan; 22.05.2010 в 16:45. Причина: добавил, подумав |
|
|
|
|
| Социальные закладки |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Линейный вид
|
|
Текущее время: 00:53. Часовой пояс GMT +3.
|
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot PSPx Forum - Сообщество фанатов игровых консолей. |
![C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы](../forum/images/panel_start.png "C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы")
