Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 33

Boryan · 20.04.2010, 11:38

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли

Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

Расшифровка кодов

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000

Во вложении:

"psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
- Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
- "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
"Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

kolio · 21.07.2010, 12:14

а какой там стоит контроллер (маркировка)? я пороюсь в инете хорошенько. авось выйдем на тех - кто уже начал его ковырять

Aunoor · 21.07.2010, 14:01

Вот здесь ссылки на контроллер:
https://www.pspx.ru/forum/showpost.ph...&postcount=610

У контроллера (опят же по даташиту) есть ограничение только на запись в flash, прочитать его можно...

**Alex14435** · 21.07.2010, 20:08

В алгоритмах рылся, дохлый номер. Остается либо пытаться дампить сам сискон или чип батарейки (сискон лучше) либо искать рабочий вариант этой батарейки. За бугром один говорит типа знает как сделать но просто так инфу не даёт... Я думаю просто фейк. И что то я Ван Сардиса давно не видел, надо бы узнать у него, вдруг ожидается поступление батарейки в Россию

kolio · 22.07.2010, 10:54

вот, что я нарыл через сайт http://www.wasm.ru/forum/viewtopic.php?id=37446

http://translate.google.com/translat...1&client=opera

перевод не очень но 50% инфы понятны

5A 05 13 07 FF FF 88 - команда от PSP к батарее: запиши по 07 адресу в EEPROM данные FFFF
A5 02 06 52 -Аккумулятор сказал "всё окей! записал"
5A 05 13 09 FF FF 86 - команда от PSP к батарее: запиши по 09 адресу в EEPROM данные FFFF (07+ 2 байта FFFF = 09)
A5 02 06 52 - Аккумулятор сказал "всё окей! записал"
5A 03 14 07 87 - PSP просит прочитать EEPROM батарейки по адресу 07 (в ответ 2 байта вернет)
A5 05 06 07 FF FF 4A -Аккумулятор вернул данные FFFF по адресу 07 и 08
5A 03 14 09 85 - PSP просит прочитать EEPROM батарейки по адресу 09 (в ответ 2 байта вернет)
A5 05 06 09 FF FF 48 - Аккумулятор вернул FFFF по адресу 09 и 10

ИТОГО 13я команда - запись по адресу
14я - чтение по адресу

цитирую с форума wasm.ru "таким образом можно было менять серийник, что бы консоль могла запуститься в сервисном режиме, потом эту фишку из батареек убрали - запретили софтово менять еепром, а на некоторых батарейках еепрома нет вообще, точнее он есть но не ввиже отдельного чипа... Но это не мешает батрейкам нормально функционировать, а запрос серийного номера батарейки остался в виде однобайтоовой команды"

Если повторился - извините. Но вдруг кому-то понадобится

Кстати: фотки видно только если смотреть китаёсский сайт в оригинале без гугля
http://tieba.baidu.com/f?kz=715233468

kolio добавил 22-07-2010 в 10:54
нашел еще информацию о том, что давно в 2006м году уже знали протокол общения PSP-батарейка
но тоже остановились на алгоритме формирования 80-81х команд

и решил узнать насколько люди продвинулись в практике удаления бита защиты в микросхемах

NEC что-то вообще не нашел. как будто они не с нашей планеты и их чипы никто даже не пытался хакнуть

http://translate.google.com/translat...Fmcu_lock.html

вот перевод с англ. как парень делал свои опыты на микрухах.
там в таблице тоже есть NEC микрухи серии NEC 78K/0S
(UPD78F9026)
(UPD78F9046)
uPD78F9116
(UPD78F9136)

хоть и не наша, но как вариант, что её хакнуть можно.
описаны 2 метода:
1й. требует явного вскрытия микрухи. принцип описан. и через микроскоп найти дорожку для программирования и далее сам бит защиты
в одном случае он писал, что нужно ультра-фиолетом стирать этот бит. в другом случае написал, что можно даже иглой перерезать дорожку с битом защиты
2й. программно-аппаратный. в него я не углублялся. но из таблицы видно что была вбрана атака Power Glitch.

по моим наблюдениям китаёсы наверное всё же решили пойти путем вскрытия прошивки микрухи

А ВОТ ИНТЕРЕСНЫЙ ДОК от Сергея Скоробогатова. Вот Вам и Кэмбриджский универ! Думаю он точно взломал бы прошивку микрухи даже с закрытыми глазами
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-630.pdf
ТУТ ЯВНО ВИДНО КАК ИСКАТЬ ЭТОТ БИТ ЗАЩИТЫ, КАК АТАКОВАТЬ МИКРУХИ

на стр 61 описан метод 4.5.2 Power glitches
вот такой мы метод со знакомым хотели юзать на Укртелекомовском аппарате, чтобы вскрыть алгоритм проверки карточки на "вшивость"

Aunoor · 22.07.2010, 11:30

Снятие бита защиты это конечно хорошо... Но для снятия дампа с чипа на батарее он же не нужен, имхо.
Но блин, это все переливание из пустого в порожнее. Основатели темы куда-то делись и работы похоже остановились. Если у кого-то есть программатор, то попробуйте снять дамп с чипа, тогда появиться возможность его разобрать.
Причем снять надо бы как с оригинальной, так и с той китайской, которая отвечает на все.

kolio · 22.07.2010, 11:48

Aunoor, так бит защиты и нужен как раз для того, чтобы не могли слить дамп прошивки к себе
С утановленным битом ты можешь стереть и записать новую прошивку, но прочитать - нет, так сделано практически во всех микрухах
По идее китаесы поставили этот бит. Кому нужна конкуренция

. SONY их скорее всего быстренько нашла и прикрутила бы им гайки

Aunoor · 22.07.2010, 12:17

Идем сюда: http://eldigi.ru/site/nec/index.php
Берем английский мануал. Открываем страницу 275. Смотрим. Я вижу только запрет на перезапись/стирание. Я конечно могу и сильно ошибаться, если так, то ткните меня носом.

wice.r · 26.07.2010, 14:09

Привет всем, хочу внести свою лепту в ваши старания. Столкнулся со странностью, купил на днях зызу 3000-ю в М-видео, прошивка 6.20, мать не определить, по внешним признакам не подходит ни под одно описание, DATA CODE - 0A. serial #HD0094992, Аккум пытался запандорить перерезав дорожку, не помогло, отрезал ногу у микросхемы, зыза всеравно грузится из flash0. Думаю что все дело в матери. Возможно ли какая-то защита новая? И как все таки определить ее версию?
Вот фото
[IMG]http://img180.**************/img180/6092/img0186as.th.jpg[/IMG] [IMG]http://img43.**************/img43/3518/img0188zy.th.jpg[/IMG] [IMG]http://img825.**************/img825/2528/img0189s.th.jpg[/IMG] [IMG]http://img291.**************/img291/8393/img0191zi.th.jpg[/IMG] [IMG]http://img130.**************/img130/6347/img0192wq.th.jpg[/IMG]

**DIIGMO** · 26.07.2010, 14:36

Ипать-копать, да неужели аппаратным путем не пандорится, да еще и на 3000 в сервис режим не входит? А тут люди парятся, команды выискивают, а оказывается ножку надо было перерезать? А матплата дааааа, уникальная...
Для тех кто в танке: батарейки, которые идут с непрошиваемыми псп ни аппаратно, ни программно не пандорятся. А на 3000 так вообще особая батарейка нужна, а ты вот так просто...

wice.r · 26.07.2010, 17:22

Спасибо конечно за ответ. Но перелопатив уйму ресурсов, за прошедшие 5 дней, я про особую батарейку для 3000, как ты пишешь, чет не нашел, везде пишут про то как сделать из любой, повторяю любой родной батареи - пандоренную. Если не трудно, опиши об этом, или дай ссылку. Значит у меня все таки есть надежда на "виртуалку"?

spilov · 26.07.2010, 17:25

нет

Yoti · 26.07.2010, 18:39

везде пишут про то как сделать из любой, повторяю любой родной батареи -пандоренную

После прочтения гуаносайтов необходимо в обязательном порядке снимать с ушей лапшу.

**DIIGMO** · 26.07.2010, 20:59

Сообщение от wice.r

Спасибо конечно за ответ. Но перелопатив уйму ресурсов, за прошедшие 5 дней, я про особую батарейку для 3000, как ты пишешь, чет не нашел, везде пишут про то как сделать из любой, повторяю любой родной батареи - пандоренную. Если не трудно, опиши об этом, или дай ссылку. Значит у меня все таки есть надежда на "виртуалку"?

И так, давай по порядку
Ты имеешь ввиду это(взято из темы пандоры)

Оригинальный аккумулятор Sony из комплекта поставки.

Но опускаешь из виду это

PSP SLIM 3000-ной серии пока все не прошиваются. Но есть возможность запустить виртуальную кастомную прошивку с помощью ChickHEN.

Про особую батарейку для 300х, прочитай в первом сообщении данной темы. Её пока нет в природе, кроме как в некоторых сервис центрах сони.
Но, помимо самой батарейки, тебе понадобиться особая карта(пандора карта на подойдёт), которой так же нет в свободном доступе абсолютно для всех.
ПС. Проблема не в инструкциях, а недостаточном понимании и вникании в них. В инструкциях(по крайней мере нормальных) сказано, что 300х пандорой не прошить, на то они непрошивайки. Даже в этой теме ты не удосужился прочитать первый пост, иначе бы не возник вопрос про особую батарейку для 300х.
На этот пост можно, и даже нужно, не отвечать во избежании флуда.

kolio · 28.07.2010, 17:56

ну так, что будем делать ребят?
в тупик явно нельзя становиться. хоть кто-то подкиньте идей или заданий. или все сдались? или все участники уже сделали себе по сервиске? шучу

chel12 · 28.07.2010, 23:49

kolio, Сервиска, я думаю, у них уже давно есть, вот только сделать ее доступной для любого пользователя сейчас очень не просто.

kolio · 29.07.2010, 17:40

Сообщение от Yoti

После прочтения гуаносайтов необходимо в обязательном порядке снимать с ушей лапшу.

вот это уже больше на правду смахивает
я вижу только 2 варианта как сделать реальную сервиску:

1. либо считать имеющуюся прошивку на батарее. понять её смысл и изменить под себя и записать модифицированную туда же. либо если нет возможности прочитать, но известен алгоритм - писать свою и прошивать микруху на батарее
2. если известен алгоритм. подрубать комповый эмуль к PSP напрямую через k-line

ОСТАЕТСЯ ОДНО НО:
никто незнает, что нужно ответить приставке, чтобы SYSCON перевел приставку в этот режим, и вообще бывает ли такая батарейка

жаль авторы темы молчат

--------------------------------
kolio добавил 29-07-2010 в 17:40
Мужики, понимаю чуть не в эту тему, но всё же
http://www.youtube.com/watch?v=qsJCq1Gkk0g
нашел ссылку на http://code.google.com/p/valentine-h...i/introduction

допустим парень не ставит просто анимацию, а реально хакает. это происходит через изображение
если у него всё получилось, то нужно искать ошибку в библиотеках по обработке изображений.
если же вы считаете, что это просто анимация, то я готов удалить своё сообщение и послать того черта нах.
хотя я попросил у него протестить этот эксплоит

**t0rm3nt0r** · 30.07.2010, 08:09

kolio, читай в самом конце - http://lan.st/showthread.php?t=3107&page=4

kolio · 30.07.2010, 08:42

t0rm3nt0r, ха ха ха. как смешно

**Alex14435** · 30.07.2010, 09:40

Боря отдыхает на природе) Насчет остальных не знаю. И что нам даст прошивка чипа батареи? Если у сони спец батарея с отдельной программой то это нам не поможет. Единственный выход - дамп сискона (decap) либо пересадка сискона 200х на 300х но тогда нужно паять переходник, расположения контактов в них различно.

kolio · 30.07.2010, 09:52

Сообщение от Alex14435

....либо пересадка сискона 200х на 300х но тогда нужно паять переходник, расположения контактов в них различно.

а что это нам даст?
ну запустишь ты одну такую приставку. а дальше что? объявим тотальную скупку сисконов на территории России и Украины с 2000к?

сейчас единственная цель: получить алгоритм. каким способом - не играет роли

в общем не буду спамить. так как толку от этого ноль. буду ждать авторов, а по возможности спаяю kline
---------------------------------------
ну и на последок
http://webcache.googleusercontent.co...k&client=opera

полезная инфа по инициализирующему вектору для алгоритма. возможно в протоколе используется именно этот алгоритм шифрования

http://webcache.googleusercontent.co...k&client=opera
---------------------------------------
написал письмо Скоробогатову из Кембриджского Универа. Может ответит на него. Буду надеяться. Авось подскажет, что делать с этой микрухой
---------------------------------------
он мне ответил. я конечно доволен как слон

и снова ему написал нашу ситуацию. буду ждать ответа
---------------------------------------
на второе письмо увы он уже не ответил. в принципе логично.