 |
Аркады | Чат | Форум |   |
|
|||||||
| PSP хакинг и девелопмент Взгляд изнутри |
  |
|
Опции темы | Опции просмотра |
20.04.2010, 11:38
|
Сообщение: #1 (882126) |
|
    
|
Обсуждение взлома батарейки Пандоры PSP-3000...
Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли
 Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .Boryan добавил 20-04-2010 в 11:33 народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком? Кто силён в написании таких прог? Терминал PSP-2000 Расшифровка кодов Во вложении:
EEPROM DATA Battery Последний раз редактировалось ErikPshat; 21.01.2018 в 03:29. Причина: добавил, подумав |
|
(30)|
28.05.2010, 13:48
|
Сообщение: #541 (889174) | |
|
|
Вот нарыл еще один документик про Battery Authentication for Portable Power-Supply Systems Вроде как нам в принципе подходит, PSP - это ж портабле система и батарейка у нас есть, так вот там используется алгоритм XTEA, как по мне так преобразование 8 байт очень похоже на CRC64, а вот что сони использовала непонятно... По идее алгоритм не должен быть очень сложным, ведь его реализует железяка, которая выпускается уже лет 6-7 и я просто не представляю что можно реализовать на 8-битном микроконтроллере, наверное побольше чем просто по-битные сдвиги, но ведь и серьезный криптоалгоритм особо не засунешь наверное... И алгоритм наверное должен быть без ключа, поскольку его никто не передает изначально, ведь как все происходит: 5A0201A2 - простая команда с консоли на проверку заряда батарейки A505060000004F - эмулирую ответ батарейки нешифрованный, причем как видите попробовал нули подставлять, консоль нормально воспринимает, правда после нескольких попыток сбросилось время (у меня так бывает если долго без батарейки консоль держать), но может это просто совпадение... 5A020C97 - дальше запрос серийника A50606DADA168301 - снова эмулирую нешифрованный ответ батарейки 5A0B80008EF6ADA312BF5E52C5 - и вот тут засада, консоль сгенерировала 8 байтов в запросе, скорее всего случайным образом, но наверняка запомнила их и послала батарейке, та должна преобразовать их в другие байты (скорее 8 чем 16 ) и ответить консоли ими на этот же запрос, потом консоль поймет что преобразование правильное и пошлет 81 команду что бы дальше подружится с батарейкой... я пробовал подставлять и нули и FF в ответ и даже дублировать байты A512068EF6ADA312BF5E520000000000000000ED но все это консоль пресекает и начинает опрос заново... И кстати lport3 как то обмолвился что ему удалось запустить консоль ответив 15 раз отрицательными ответами(FF), но у меня большие в этом сомнения, поскольку сколько я не пытался - дальше команды 8000 я не могу продвинуться... Возникла конечно идея, озвученная Стасом, подключить второй k-line к батарейке и получив запрос 8000 от консоли перенаправить его батарейке, а ответ переправить в консоль и посмотреть что будет дальше - таким образом можно будет перебрать серийники чтобы понять будет ли PSP3000 посылать запрос 80D9 на другие серийники отличные от FF и 00. Но вот пройдет ли этот метод по тайм-аутам не понятно... |
|
|
|
|
02.06.2010, 02:27
|
Сообщение: #542 (889918) |
|
|
ПОХОДУ МЫ УПЁРЛИСЬ СЮДА - http://ru.wikipedia.org/wiki/XTEA
вышеупомянутый документик подтверждает мои догадки что для рукопожатия используется алгоритм схожий с KEELOQ (используется в авто сигнализ.) Не требует мощного проца и достаточно эффективен. Последний раз редактировалось stasik007; 02.06.2010 в 03:12. |
|
|
|
03.06.2010, 11:12
|
Сообщение: #543 (890059) |
|
|
Вспомнил интересный случай. Ковырял я свою 2008, паял, то да сё... Что то там коротнуло, + и - замыкали) вроде поправил, подключаю батарейку, работает, чо то двинул - через секунд 10 щёлк и отключилось (средний контакт батарейки чтоль отошел), отсоединил батарейку, всё нормально поправил, вставляю... О_о батарейка запандорилась. Стартует сервис режим. Кто может объяснить такое? Неужели EEPROM стёрся? З. Ы. Батарейку распандорил. Такое в дальнейшем бывало ещё пару раз
|
|
|
|
04.06.2010, 00:28
|
Сообщение: #544 (890150) |
|
|
Alex14435, ну значит djmorgan возможно в чём то был прав.
Это можно тем, что сони просто играли на дурака А может действительно дело в напряжении сигнала логичкского 0 и 1 оО но при этом запандоренный аккомулятор можно объяснить тем, что ты замкнул где то какой то контакт, и он на выходе стал выводить логические 11111111111111..... = FF FF FF FF так что это можно тоже объяснить. Может в 3000 так же, просто обрезать какой то контакт или дорожку и всё? |
|
|
|
04.06.2010, 16:34
|
Сообщение: #546 (890247) |
|
|
Многоуважаемый товарищь сасиска12, мне не понятно, откуда у вас синдром руководителя проэкта и то, что Вам должны ежедневно отчитыватся?
Люди на добровольных началах это делают, и у них может не быть свободного времени на то, что бы заниматся данным проэктом. Если люди молчат не надо заставлять их начинать говорить, они не обязаны это делать. Вы в данный проэкт деньги свои не вкладывали, но почему то, ждете отчетности и результата. Поэтому, впредь, Вы и остальные товарищи, которым не терпится узнать как продвигаются дела просто наберитись терпения и избавьте тему от своего никому не нужного флуда. |
|
|
|
08.06.2010, 02:45
|
Сообщение: #547 (890864) |
|
|
ну вот собственно и прояснилась ситуация с 80D9.....это команда убийца батарейки пандора! Провёл известный опыт с 3000. Напомню тем кто не в курсе. Если взять 2000 и включить её без батарейки от зарядки, и затем вставить батарейку пандора, и выключить консоль полностью долгим удержанием рычажка выключения, а затем включить этим рычажком то консоль стартанёт в сервисном режиме. Даже после выключения можно выдернуть батарейку и всё равно зыза стартанёт в сервисном режиме от зарядки. Это говорит о том что в syscone сохраняется информация о серийнике батарейки и он стартует уже в сервисном режиме. Вот тоже самое я проделал и с 3000...но итог оказался плачевным....зыза просто убила батарейку намертво после полного выключения и включения. Батарейка просто умерла и перестала вообще отвечать на любые запросы. Полный труп! Даже нет зарядки и не загорается оранжевый огонёк! Правда я нашёл метод лечения ...разбираешь батарейку и на короткое время коротишь выводы самой батарейки ....ну типа лишаешь контроллер питалова и он стартует заново....есно после этого у батарейки уровень заряда ноль! Но она полностью восстанавливается.
Boryan добавил 08-06-2010 в 02:15 Вывод напрашивается сам собой....нету ответа на 80D9.....и серийник сервисный не ffff или 000....Вот вам пару логов как убивается батарейка. Они правда длинные ...потому как идёт процесс заряда батарейки...но из них видно что последняя команда была 80D9 ....и батарейка перестала после неё отвечать .... Судите сами.... Лог убийства Boryan добавил 08-06-2010 в 02:17 ещё... лог убийства 2 Boryan добавил 08-06-2010 в 02:22 Вывод про 80D9 ....если батарейка пандора в 3000 без зарядки то 32 запроса и пошла на фиг...если с зарядкой ...то ...смерть батарейке... Boryan добавил 08-06-2010 в 02:23 итого нужно искать серийник.....нужно разработать методы его перебора... Boryan добавил 08-06-2010 в 02:45 Только остаётся одно не понятным.....каким образом 80D9 убивает батарейку только когда она заряжается да и то при включении зызы....а в простом режиме не убивает...я в логах подозрительного ни чего не нашёл.....либо реал терм видит не все команды.... Последний раз редактировалось Boryan; 08.06.2010 в 02:45. Причина: добавил, подумав |
|
|
|
11.06.2010, 18:47
|
Сообщение: #549 (891788) | |
|
|
лог Boryan, еще чуть обкатаю прогу и брошу тебе потестировать тоже, но я все же склоняюсь к двум k-line, когда один будет перекидывать запрос на батарейку, жаль что ни одна из имеющихся не умеет отвечать на 80D9 - все же тут засада... Кстати мне удалось запустить фатку с компа, хочу теперь определить минимум команд нужных для этого - не удевлюсь если хватит передачи одного серийника... И все же нужно пытаться считать прошивку с чипа, не думаю что китайцы сильно напрягались вытаскивая код сони - или им кто то слил алгоритм или они тупо скопировали с какого то экземпляра.... |
|
|
|
|
11.06.2010, 20:15
|
Сообщение: #550 (891807) |
|
|
Я тут подумал и вспомнил Lite Blue Tool. Я считаю, что это реальная батарейка...была, ведь они же выпустили программу для ЗЫЗ, по-моему эту программу они либо сами сделали либо Сони им дала за молчание про Lite Blue Tool. В любом случае, батарейка была! А теперь посмотрим на неё. Одна батарейка на все ЗЫЗы! То есть другой ключ там быть не может. Ключ тот же. Значит, они что то там изменили, либо программу, либо оборудование. Если они изменили и то и другое, то у нас есть один шанс. Отозвав большую партию этих девайсов, вряд ли они пошли бы на убытки. Значит они просто их немного доработали чтобы они не запускали 3000 в сервис мод. Теперь нам осталось найти, кто заказывал эту самую батарейку и получил её (но уже другую, не запускающую 3000) и просто взглянуть на её устрйство. Если там другой чип, то будем просто проводить эксперименты с ней. В любом случае, интересно было бы достать бодобную батарейку хотя бы взглянуть.
P.S. Если подумаете что я глючу, это так и есть... подобные мысли мне приходят часто и в основном вечером... |
|
|
|
11.06.2010, 21:59
|
Сообщение: #551 (891825) |
|
|
Alex14435,
поддерживаю, кстати http://www.3dnews.ru/news/psp_3000_vzlomali вот статья о батарейки, а от неё ссылка на "Здесь, кстати, можно почитать о том, как разработчики нашли лазейку в защите PSP 3000." http://www.maxconsole.net/?mode=news&newsid=33861 может кому поможет? sasiska12 добавил 11-06-2010 в 21:58 http://www.youtube.com/watch?v=3ieRikSKPKw и вроде как на ютубе показывают как она работает, хотя...... sasiska12 добавил 11-06-2010 в 21:59 короче нефига она не рабоает Последний раз редактировалось sasiska12; 11.06.2010 в 21:59. Причина: добавил, подумав |
|
|
|
12.06.2010, 11:28
|
Сообщение: #552 (891893) | |
|
|
sasiska12, ты веришь в эти сказки
Балабольство чистой воды...слышали звон.... да не знают где он....Boryan добавил 12-06-2010 в 11:23 ANDPSP, тебе второй к-лайн не нужен....достаточно дата-кабеля от сотового....тебе же только читать нужно. RX от дата-кабеля и читай, а моим к-лайном пердавай. Boryan добавил 12-06-2010 в 11:28 Alex14435, не фига походу дятел не сделал...это их рекламный ход что бы дуракам впаривать обычную пандору (которую может сделать самостоятельно любой юзер) под видом того что она ещё и 3000 может пандорить.....смысл в этой батарейке для 3000? Если там стоит 88 ЦП которому нужна подпись соней...и его без оригинальной сервисной карты от соней не прошьёшь...Лажа это всё полная....я так думаю Последний раз редактировалось Boryan; 12.06.2010 в 11:28. Причина: добавил, подумав |
|
|
|
|
12.06.2010, 12:28
|
Сообщение: #553 (891904) |
|
|
Ну разрекламировали они её так, какая разница, главное что в сервис переводит) остальное ведь не их дело. Так что: у кого есть такая батарейка?
и кстати, у кого осталась копия с той ссылки? Её убрали давно... http://www.maxconsole.net/?mode=news&newsid=33861 Последний раз редактировалось Alex14435; 12.06.2010 в 13:54. |
|
|
|
16.06.2010, 10:03
|
Сообщение: #556 (892851) |
|
|
Может оффтоп а может и нет:
Неужели никто не может поверить в два варианта возможного? 1) Сони обожглась не в первый раз и переделала контроллер в самой батарейке?! (добавился чип як в Hasp Time, таймер и контроллер который выдает ответ на запрос или еще что-то) 2) Сони не использует батарейку для новой приставки, используется к примеру порт ком, или наушники или тот же усб, а флешка теперь не нужна посему и запроса к ней нету Скажите свое мнение, только без матов Возможно или нет ?Good artist copy, great artist steal |
|
|
|
16.06.2010, 15:54
|
Сообщение: #558 (892934) |
|
|
Всё что я разузнал: Партию готовых Lite Blue Tool в Datel срочно сняли с продажи (из за угрозы Сони), переделали их программу и поменяли надпись. Теперь это Max Power Battery. Отсюда следует два вывода:
1. Пандора для 3000 заводит в сервис также и 2000 и 1000. 2. Её можно сделать программно, сменив "прошивку" Max Power Battery, а возможно и любой обычной батареи. |
|
|
|
16.06.2010, 19:18
|
Сообщение: #560 (892980) |
|
|
Тоже может быть... Кстати, может попробовать проанализировать входные и выходные данные с помощью Deductor 5.2 (http://deductor.com.ua/file/deductor...academic.exe)?
|
|
|
|
| Социальные закладки |
| Здесь присутствуют: 4 (пользователей: 0 , гостей: 4) | |
Линейный вид
|
|
Текущее время: 15:20. Часовой пояс GMT +3.
|
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot PSPx Forum - Сообщество фанатов игровых консолей. |
![C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы](../forum/images/panel_start.png "C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы")
