 |
Аркады | Чат | Форум |   |
|
|||||||
| PSP хакинг и девелопмент Взгляд изнутри |
  |
|
Опции темы | Опции просмотра |
20.04.2010, 11:38
|
Сообщение: #1 (882126) |
|
    
|
Обсуждение взлома батарейки Пандоры PSP-3000...
Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли
 Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .Boryan добавил 20-04-2010 в 11:33 народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком? Кто силён в написании таких прог? Терминал PSP-2000 Расшифровка кодов Во вложении:
EEPROM DATA Battery Последний раз редактировалось ErikPshat; 21.01.2018 в 03:29. Причина: добавил, подумав |
|
(30)
|
25.05.2010, 00:48
|
Сообщение: #523 (888487) |
|
|
Смотрите таблицу: https://www.pspx.ru/forum/showthread.php?t=81203
У кого она не отображается - сделайте отображение картинок в браузере. Таблица составлялась на основе реальных данных, оставленных пользователями. |
|
|
|
25.05.2010, 02:01
|
Сообщение: #524 (888512) |
|
|
PSP-200x Slim&Lite
======== TA-085v1 - Tachyon: 0x00500000, Baryon: 0x0022B200, Pommel: 0x00000123 TA-085v2 - Tachyon: 0x00500000, Baryon: 0x00234000, Pommel: 0x00000123 TA-088v1 - Tachyon: 0x00500000, Baryon: 0x00243000, Pommel: 0x00000123 TA-088v2 - Tachyon: 0x00500000, Baryon: 0x00243000, Pommel: 0x00000123 TA-088v3 - Tachyon: 0x00600000, Baryon: 0x00243000, Pommel: 0x00000123 TA-090v1 - Tachyon: 0x00500000, Baryon: 0x00243000, Pommel: 0x00000132 PSP-300x Brite ======== TA-090v2 - Tachyon: 0x00600000, Baryon: 0x00263100, Pommel: 0x00000132/133 Tachyon - версия чипсета, который включает в себя CPU и GPU Baryon - версия системы управления чипсетом он же SYSCON Ну вот вам и все точки над и Boryan добавил 25-05-2010 в 01:59 И ещё: Tachyon: 0x00500000 проц CXD2975-прошиваемый, Tachyon: 0x00600000 проц CXD2988- непрошиваемый Baryon: 0x00243000 SYSCON стартующий с батарейки пандора Baryon: 0x00263100 SYSCON нестартующий с батарейки пандора Boryan добавил 25-05-2010 в 02:01 и соответственно :TA-090v1 - Tachyon: 0x00500000, Baryon: 0x00243000, Pommel: 0x00000132 имеет прошиваемый проц и Syscon стартующий с батарейки пандора. Последний раз редактировалось Boryan; 25.05.2010 в 02:01. Причина: добавил, подумав |
|
|
|
25.05.2010, 02:16
|
Сообщение: #525 (888518) | |
|
|
Последний раз редактировалось ErikPshat; 25.05.2010 в 02:17. |
|
|
|
|
25.05.2010, 03:11
|
Сообщение: #526 (888520) |
|
|
ErikPshat, Да фиг с ними с 2000 и 3000....не в этом суть. Я вот поковырял епром батарейки стасовой....бесполезно. Всё что есть в епроме ни как не влияет на 80хх команды....облом. 80D9 ответ прописан в самом контроллере. Остаётся одно тупо брутить зызу и пытаться ответить на запрос 80D9.....больше пока вариантов не вижу....Походу вообще эти 80хх фиг поймёшь чего....некоторые китайские батарейки вообще не 8008 не 800А не понимают....и тогда 3000 им задаёт запрос 8004 и они на него отвечают...и зыза их хавает....Вообще бред какой то...зыза 3000 запрашивает 800А батарейка не знает ответа ...тогда она 8004 посылает и батарейка отвечает....и зыза с ней дружит...Что выходит зызе вообще пофигу на 80хх лишь бы на любую хоть как то ответили и она схавает батарейку..Нафига тогда разнообразие команд 80хх? Зачем в 2000 запрос 8008, а в 3000 -800А? И если батарейка не знает ответа на эти запросы то её запрашивают уже командой 8004 .....и батарейка отвечает.....почему тогда сразу не запросить 8004?
Boryan добавил 25-05-2010 в 03:11 вот вообще ТУПЕЙШАЯ китайская батарейка ...при бруте 80-- ответит на пару запросов и 5 секунд пауза... ещё ответит и снова пауза 5 сек. Да и умеет отвечать только на с 8001 по 8006.....а если брутить один из восьми байт в 80 команде ....то снова несколько ответов и пауза 5 сек... ТУПОСТЬ батарейки ..где "ответ отсутствует" она делала паузы Но это не помешало 3000 зызе работать с этой батарейкой Последний раз редактировалось Boryan; 25.05.2010 в 03:11. Причина: добавил, подумав |
|
|
|
25.05.2010, 06:35
|
Сообщение: #527 (888526) |
|
|
У меня вопрос не совсем по теме. А почему вы уверены что новые псп в сц прошивают именно с помощью обычной батареии переведенной в сервисный режим. Что мешает сони выпустить партию специальных батареек, с шифрующим модулем и чем угодно еще, исключительно для сц с привязкой к конкретному сц по серийнику чтобы не украли, или например некоторые специальные докстанции? Или у вас есть 100% гарантированный источник подтверждающий что в сертифицированных сц сони используют именно обычные батареи переведенные в сервисный режим? Т.е. я что имею ввиду, прошиваемые псп они в сц например шьют обычной пандорой, а все остальные специально выпушенной и приписанной к конкретному сц "убер батарейкой".
|
|
|
|
25.05.2010, 07:48
|
Сообщение: #528 (888529) | |
|
|
В принципе ты пишешь правильно, так было бы логично, но понять логику японцев трудновато... Тут надо "зреть в корень". Сони начала выпуск ПСП используя свои наработки по Clie. Я так понимаю, база батареек у них так же оттуда. Они были проверены годами и вполне надежны, так зачем их было менять? Вот и выпустили они на рынок аккумуляторы с такой вот избыточностью. Насчет вывода о возможности использовать для прошивки 300х обычных батареек. Ты прочитай тему. Ничего кардинального в структуре самих батарей Сони не поменяло. Система команд осталась та же самая. "снюхиваются" батарейка и консоль очень похоже. Единственное, что контроллер батарейки не может правильно ответить, вот и нужно найти правильный ответ. Кстати, насколько я помню все, о чем здесь говорилось, то по-моему никто тут и не писал о том, что в СЦ нет специальной батарейки. Естественно есть и батарея там и карта. Но опять же читай то, что я выше написал, тот факт, что в диалоге батарейки и консоли нет ничего ПРИНЦИПИАЛЬНО нового, позволяет надеяться на то, что возможно удастся и с обычной батарейкой включить консоль в сервисном режиме. |
|
|
|
|
25.05.2010, 08:17
|
Сообщение: #529 (888531) |
|
|
И опять же, если я правильно понял, задачи создать автономную сервисную батарейку сейчас не стоит. Тут целых хитрый механизм в придачу, который в совокупности с обычной батарейкой в итоге может стать стационарной заменой батарейки сервисной.
Извините за флуд, я больше не буду)) Тема очень интересная, хоть я и не до конца вникал в ситуацию. Удачи вам с брутом |
|
|
|
25.05.2010, 11:29
|
Сообщение: #530 (888549) |
|
|
Чего то в сторону ушла тема...
И все же проанализировав логи, я думаю что lport3 прав и неизвестный нам алгоритм на 80 запрос преобразует все же 8 байт а не 16, поскольку и в тестах Бориса и у забугорных товарищей аж в 2007 году были одинаковые ответы на 8000 0000000000000000, которые содержали в себе одинаковые 8 байт 31A9817895410C63 только вот каким алгоритмом нули переводятся в эти байты я так и не допер... Нарыл интересный документ по теме - http://slil.ru/29198180 Может кого то посетят умные мысли насчет возможного алгоритма сони... Последний раз редактировалось ANDPSP; 25.05.2010 в 11:29. |
|
|
|
25.05.2010, 14:16
|
Сообщение: #531 (888571) |
|
|
Ditemzy,
значит можно в 3000 воткнуть 90v1? вместо 90v2 так что бы можно было перепрошить оО? sasiska12 добавил 25-05-2010 в 14:16 и кстати этот чип надо выпаевать? или он именно втыкается? Последний раз редактировалось sasiska12; 25.05.2010 в 14:16. Причина: добавил, подумав |
|
|
|
25.05.2010, 17:12
|
Сообщение: #533 (888603) |
|
|
Перечитал новые записи. Бардак господа. Вы зацыклились на никчемной батарее.
Напишу краткий отчетец о моих действиях. Для слецтвенного експеремента купил две консоли 2000-ю(прошивайка,пандора работает) и 3000-ю(пандора не работает). Распотрошил обе.И вот что я обнаружил: да процы стоят другие и есть небольшие изменения в конструкции, НО! Цепипитания и контроллер питания остались прежними не исключая пару моментов того что в 3000 не поставили пару резисторов и кондеров. Перикинув их с 2000 . Пандора завелась. Все! Теперь можете меня уволить |
|
|
|
25.05.2010, 18:20
|
Сообщение: #535 (888621) |
|
|
djmorgan, ХА !!!Ты прям гений !!! Сегодня случаем не первое апреля?
С трудом верится в твои эксперименты Не знаю какую микруху ты посчитал за контроллер ...и какие версии плат у тебя были ...но КОНТРОЛЛЕР питания как и СИСТЕМНЫЙ контроллер в 2000 и 3000 абсолютно другие и в обвязке и в монтаже и в расположении площадок BGA....Интересно за каким фигом тогда в 3000 появилась команда 80D9 в случае обнаружения серийника пандоры? И батарейки на эту команду не знают ответа....Судя по твоим опытам ...... то пара резисторов и кондёров каким то образом изменила алгоритм опроса батарейки системным контроллером и SYSCON перестал запрашивать 80D9 а тупо как в старой доброй 2000 на серийник FF....послал 8008 и подружился с батарейкой пандора .....Мне кажется что перестановкой этих деталей ты тупо включил консоль в обычном режиме...либо просто зажёг зелёный СД.....Ну а уж коли так то давай фотки в студию ...проанализируем чего ты там наколбасил Boryan добавил 25-05-2010 в 18:20 ЗЫ А потом.... я тебе аську свою давал...ну и для чего ты её просил? Если молчишь....где твои наработки? Последний раз редактировалось Boryan; 25.05.2010 в 18:20. Причина: добавил, подумав |
|
|
|
25.05.2010, 23:31
|
Сообщение: #536 (888717) |
|
|
http://nil.rpc1.org/psp/remote.html - нам эта штука никак не поможет?
|
|
|
|
26.05.2010, 01:25
|
Сообщение: #537 (888749) | |
|
|
|
|
|
|
|
26.05.2010, 06:26
|
Сообщение: #538 (888755) |
|
|
t0rm3nt0r, Так ведь может в том то и дело что обычные батарейки просто не способны правильно ответить на запрос от нового контроллера питания, и только особая сервисная батарея ( контроллер которой прошит особой прошивкой ), способна ответить правильно. При этом ответ например зашифрован динамически ( а шифрование реализовано программно в прошивке этой самой супербатарейки ). Т.е. я имею ввиду что у сони может быть самая обычная батарейка но прошитая особой прошивкой. А в таком случае кроме как брутить ничего не останется.
ivy добавил 26-05-2010 в 06:26 Я вот что пытаюсь сказать, мы ведь не знаем как выглядит последовательность сервисных команд необходимая для перевода непрошиваемых матплат в сервисный режим. Возможно это не одна команда как раньше, а сложная серия команд с "рукопажатием" и шифрование, и прошивка которая стоит в обычной батарее просто не способна на все это. Вы же сами тут писали что в каждой батарее стоит сложный программируемый контроллер. Последний раз редактировалось ivy; 26.05.2010 в 06:26. Причина: добавил, подумав |
|
|
|
26.05.2010, 10:33
|
Сообщение: #539 (888771) | |
|
|
ivy,
|
|
|
|
|
| Социальные закладки |
| Здесь присутствуют: 2 (пользователей: 0 , гостей: 2) | |
Линейный вид
|
|
Текущее время: 19:03. Часовой пояс GMT +3.
|
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot PSPx Forum - Сообщество фанатов игровых консолей. |
![C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы](../forum/images/panel_start.png "C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы")
