 |
Аркады | Чат | Форум |   |
|
|||||||
| PSP хакинг и девелопмент Взгляд изнутри |
  |
|
Опции темы | Опции просмотра |
20.04.2010, 11:38
|
Сообщение: #1 (882126) |
|
    
|
Обсуждение взлома батарейки Пандоры PSP-3000...
Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли
 Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .Boryan добавил 20-04-2010 в 11:33 народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком? Кто силён в написании таких прог? Терминал PSP-2000 Расшифровка кодов Во вложении:
EEPROM DATA Battery Последний раз редактировалось ErikPshat; 21.01.2018 в 03:29. Причина: добавил, подумав |
|
(30)|
16.06.2010, 23:11
|
Сообщение: #561 (893057) |
|
|
Раз не получается взять эту стену в лоб, можно
попробовать её обойти. Syscon каким то образом говорит PreIpl откуда грузиться, если узнать большинство функций этого контроллера то можно попробовать заменить его на свой микроконтроллер, с самопальной программой. Интересно было бы провести опыт, если это возможно пересадить Syscon с платы которая переводится в сервис аккумулятором на ту что не переводится. |
|
|
|
17.06.2010, 02:39
|
Сообщение: #562 (893092) |
|
|
Надо написать программку, которая ставит флаг сервисного режима в сюсконе или попытаться - реально это сделать через патапоновский эксплоит или нет. Перелопатив уйму инфы на ps2dev я понял что это реально. Лично для меня поднять Си из глубин сознания нереально..
В теории должно получится следущее: 1.Запускаем патапоновский эксплоит. 2.Грузим нашу прогу (флаг переведён). 3.Выключаем удерживая рычажок и включаем. И должен запуститься сервисный режим... |
|
|
|
17.06.2010, 15:43
|
Сообщение: #564 (893173) |
|
 
|
stasik007,
сомневаюсь, что патапон в этом поможет. Впрочем, информацию/ссылки про установку флага подкинь. |
|
|
|
17.06.2010, 17:19
|
Сообщение: #566 (893196) |
|
|
sasiska12,
пустое сообщение. |
|
|
|
17.06.2010, 17:34
|
Сообщение: #567 (893200) |
|
|
Boryan, 2 k-line работают :-)
лог 3000-й "->" это перенаправление запроса на батарейку, 00 - это между включениями консоли с рычажка, диод загорелся, но потух спустя 20-30 секунд, второй раз включил - снова загорелся, значит проходят команды - можно брутить... только тайм-ауты мне не очень нравятся, иногда сбиваются команды и ответы и определиться с последовательностью необходимых для старта команд все же нужно... Да, забыл отписаться в прошлый раз - эксперемент доказал что для старта фатки достаточно передать один серийник или 00 или FF, ответы на 80h и 81h ей нафиг не нужны когда она подключена к сети, теперь нужен минимум запросов для 3000-й или 2000-й, поскольку 3000-я будет просто молчать... Последний раз редактировалось ANDPSP; 17.06.2010 в 18:36. |
|
|
|
17.06.2010, 19:31
|
Сообщение: #568 (893229) | |
|
|
вспомни свои слова о том, что батарейка в 3000 молчит, и что вы её там с кем то мегаумным и мегасуперприборами слушали, но ни чего не услышали! Изначально, эта тема и была создана что бы развеять слух, который ты пустил что батарейка молчит а ключик нужен для USB. Как видишь батарейка очень активно общается с Зызой И уж кому как не тебе называющему себя МАСТЕРОМ по PSP и работающему в СЦ...не знать что ,пока SYSCON не подружится с батарейкой, речи о старте ЦП быть не может!!! Или ты не знаешь что USB идёт прямиком в ЦП? А если ЦП молчит, то какой может быть разговор о мифическом ключе который нужно засунуть в USB. Стыдно мне за тебя как за мастера...Boryan добавил 17-06-2010 в 19:31 ANDPSP, Супер!!! Это то что нужно! ну давай дерзай!! Последний раз редактировалось Boryan; 17.06.2010 в 19:31. Причина: добавил, подумав |
|
|
|
|
18.06.2010, 01:39
|
Сообщение: #571 (893385) |
|
|
Да не забили, просто ждём свежих идей =)
Последний раз редактировалось ErikPshat; 18.06.2010 в 03:44. |
|
|
|
18.06.2010, 10:57
|
Сообщение: #572 (893423) | |
|
|
на сессию с батарейкой, а во вторых из за того что батарейка некоторых команд тупо не знает. Для дальнейшего изучения необходимо было сделать общую шину с быстым перенаправлением, но времени все нет занятся.. |
|
|
|
|
18.06.2010, 20:02
|
Сообщение: #573 (893472) | |
|
|
.ReadIntervalTimeout = 20 .ReadTotalTimeoutConstant = 50 .ReadTotalTimeoutMultiplier = 10 .WriteTotalTimeoutConstant = 100 .WriteTotalTimeoutMultiplier = 20 я же пользуюсь пока такими .ReadIntervalTimeout = 10 .ReadTotalTimeoutConstant = 1 .ReadTotalTimeoutMultiplier = 1 .WriteTotalTimeoutConstant = 10 .WriteTotalTimeoutMultiplier = 1 Вроде устраивает, но что то подкрутить нужно еще... Проблема в другом - понять что нужно для автозапуска типа FF(с карточкой) или 00 - потому что для фатки и прошиваемой SLIM достаточно передачи одного серийника, консоль стартует и живет, правда должно быть подключение к сети, если без сети то нужно перенаправлять часть команд на батарейку но тогда усложняется схема брута серийника - увеличивается время на перебор и не понятно когда остановится... Нужно проверить запуск с компа 88v3 - она наиболее приближена к 3000-м но ребенок на даче и консоль с ним... Кто нибудь имеющие k-line и 88v3 проверьте старт консоли с подключенным питанием и эмуляцией с компа хотя бы таких команд 5A0201A2 A50506000B0440 5A020C97 A50606000000004E или 5A0201A2 A50506000B0440 5A020C97 A50606FFFFFFFF52 ANDPSP добавил 18-06-2010 в 20:02 Борис, Эрик выложил прогу на фтп (папка NEW), k-line всеравно только у вас есть, погоняйте на своих железках, тщательно тестить и вылизывать времени не было ... насчет выбора com-porta - прописывается нужная цифра ручками (по умолчанию стоит 4 и 5), насчет брута серийника - увидите строку вида A50606Z0Z1Z2Z3 - ставите галку и меняете как хотите - это вроде маски с подстановкой вариантов, можно пробовать например так A50606Z0Z0Z0Z0 - будет перебор вида 00000000, 01010101, 02020202, 03030303 и до FFFFFFFF или так A50606Z0Z0Z1Z1 - 00000000, 00000101, 00000202 (когда Z1 дойдет до FF, начнет меняться Z0, и снова Z1 с 00 до FF - будет типа 01010000, 01010101, 01010202) Можно начинать с определенного номера и определять количество попыток перебора (по умолчанию стоит 1, если нужно до упора то меняете на 0) Да не забывайте загружать варианты запросов-ответов - в папке есть 3 варианта - в основном там ответ на команду 01h, но без ответа на него не будет запроса серийника :-) Борис для брута батарейки реализован брут двух байт и даже трех, но сразу говорю это не быстро :-) Короче смотрите а то у меня уже глаз замылился... Последний раз редактировалось ANDPSP; 18.06.2010 в 20:02. Причина: добавил, подумав |
|
|
|
|
18.06.2010, 23:17
|
Сообщение: #574 (893559) |
|
|
ANDPSP, Спасибо! Отлично! Бум по мере возможности ковырять
VanSardis, Хотелось бы услышать от тебя точный ответ по поводу USB. Ты откуда эту инфу взял? И насколько она достоверная? А типа слышал где то....не прокатывает. Может и возможен такой вариант ....старт консоли с обычной батарейкой в штатном режиме ....и затем ЦП видя что на USB что то весит, тупо ждёт ключика заветного....но это больше похоже на бред. Сам подумай, для того что бы ЦП начал работать с USB у него должна быть рабочая операционка. И как тут быть в случае брика? ЦП как нам известно 100% как у TA88V3. И потом, самое главное....ЦП не сам переводится в режим загрузки с карты....его переводит syscon управляющим сигналом. Просто тупо переводит выставив на одном из выводов ЦП логическую 1. И что то с USB портом такая версия старта ну ни как не вяжется.... |
|
|
|
18.06.2010, 23:41
|
Сообщение: #575 (893564) |
|
|
ANDPSP,
хотелось бы софтинку потыркать :$ |
|
|
|
19.06.2010, 00:13
|
Сообщение: #576 (893580) | |
|
|
А вообще нужно подумать что там происходит - я брутил с нулей до FF, Борис предлагает вот реверс сделать от FF идти к нулям, но мне другое интересно - я подключал зарядку а потом эмулировал и диод как то странно себя вел - то непрерывно оранжевым горит то мигать начинает причем то часто и быстро то длительно - как то не понял закономерности... Хотя понятно что загорается как только + и - подсоединились, но вот почему гаснет или же он горит пока обмен командами идет, нужно повнимательней будет посмотреть... Но очень интересует старт 88v3 с компа - достаточно будет передачи серийника или нет, просто с фаткой и прошитой слимкой все просто - как только прошли нули или FF все старт произошел и не важно что потом запрашивались и ловились другие серийники - обычные - все равно старт состоялся.... |
|
|
|
|
19.06.2010, 12:52
|
Сообщение: #578 (893641) |
|
|
ANDPSP,
да не, нет. Мне так потыкать-посмотреть. |
|
|
|
21.06.2010, 13:50
|
Сообщение: #579 (894119) |
|
|
Кстати, хоть FFFFFFFF кажется коротеньким набором буковок, но в действительности, это последовательность из 64 ноликов и единичек.
Если вы хотите "перебрать все значения серийника", то требуется перебрать 4294967295 вариантов. (4 миллиарда включений/выключений ЗЫЗы). Если даже удастся наладить процесс перебора серийников, со скоростью 1 серийник в секунду, то на полный перебор уйдет 138 лет, если же удастся перебирать 100 серийников в секунду, то всего лишь 1.3 года круглосуточных включений/выключений ЗЫЗы. Последний раз редактировалось anton85; 21.06.2010 в 13:55. |
|
|
|
21.06.2010, 15:36
|
Сообщение: #580 (894147) | ||
|
|
ANDPSP добавил 21-06-2010 в 15:36
Последний раз редактировалось ANDPSP; 21.06.2010 в 15:36. Причина: добавил, подумав |
||
|
|
|
| Социальные закладки |
| Здесь присутствуют: 3 (пользователей: 0 , гостей: 3) | |
Линейный вид
|
|
Текущее время: 01:18. Часовой пояс GMT +3.
|
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot PSPx Forum - Сообщество фанатов игровых консолей. |
![C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы](../forum/images/panel_start.png "C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы")
