Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .
Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?
Код Описание Данные Ответ от батареи Примечание
0x01 запрос оставшегося заряда нет energyleft_mAh:u16
0x02 запрос температуры нет temperature:u8 cercius degree, min/max value unknown
0x03 запрос напряжения нет voltage_mV:u16
0x04 запрос тока нет current_mA:short positive if charging battery
0x07 запрос ёмкости нет capacity_mAh:u16
0x09 запрос оставшегося времени нет timeleft_min:u16 XMB showing not this value
0x0c запрос серийного номера нет serialno:u32 suspected
0x80 запрос аутентификации? 9byte 16byte encrypted data/reply
0x81 запрос аутентификации? 8byte 8byte encrypted data/reply
0x05 ответ от батареи нет NAK, BCC error and so on??
0x06 ответ от батареи да ACK, with reply data
тоесть я так понял что 6.20 psp 3000 уже взломана?только это не в паблике..у кого то из вас уже получилось перепрошить ее на кастом?в чем хоть лазейка то была?и очень ли сложно все это сделать?и реально ли простому человеку это сделать?как выше упомянули о спец оборудовании,это идет как запугивание что бы незнающие не лезли сами и не брикали либо в серьез нужно какое то оборудование?
ну увидим правильный ответ на 80D9 и что нам это даст ? он каждый раз генерится новый на запрос консоли...
Ответы всегда одинаковые (на один и тот же запрос, конечно), генерится
запрос, причем пакет запроса полный рандом.. просто есть разные алги
определяющие разные приоритеты (например 8002 - может запустить псп с доступом 1, 8008 - может запустить псп с доступом 2..)
Чтобы работать над криптом надо видеть код!.. фирменая батарейка
псп3000 не знает ответов для сервис режима, и взять их неоткуда.
Ответы всегда одинаковые (на один и тот же запрос, конечно), генерится
запрос, причем пакет запроса полный рандом.. просто есть разные алги
определяющие разные приоритеты (например 8002 - может запустить псп с доступом 1, 8008 - может запустить псп с доступом 2..)
Чтобы работать над криптом надо видеть код!.. фирменая батарейка
псп3000 не знает ответов для сервис режима, и взять их неоткуда.
я думаю что алгоритм один, нету там места для нескольких... а вот таблицы с ключами и дельтами есть наверняка и легко значения подставляются для каждого варианта запроса-ответа(8008, 80D9).
Был бы код в наличии - я думаю проблема решилась бы давно, то что обычная батарейка не знает каких то ответов - это теперь (после наших исследований) известно и думаю что правильные ответы мы вскоре увидим, но дальше то что делать ? без алгоритма мы не сможем их эмулировать...
А может кто то знает или сможет написать простую прогу, которой можно отловить в оперативной памяти все исполняемые команды определенной программы, работающей под windows и сохранить все их в лог ? Понятно что это наверняка умеет IDA или SoftIce, но это все тяжеловесные пакеты требующие определенных знаний, а хотелось бы простую програмку - дампер, которую обычный юзер смог бы запустить и снять лог одной кнопкой...
А может кто то знает или сможет написать простую прогу, которой можно отловить в оперативной памяти все исполняемые команды определенной программы, работающей под windows и сохранить все их в лог ? Понятно что это наверняка умеет IDA или SoftIce, но это все тяжеловесные пакеты требующие определенных знаний, а хотелось бы простую програмку - дампер, которую обычный юзер смог бы запустить и снять лог одной кнопкой...
А зачем? Если потрошить виндовую прогу, то IDA в самый раз, простой дамп ничего не даст, действительно будут нужны определенные знания. А так, дебаггеров много, OllyDbg может проще покажеться, если просто дамп снять ProcDump и похожие на него.
И еще, есть что-то виндовое что нужно поломать? Но все же лучше бы если бы кто нибудь снял бы дамп с батареи.
vbaranow, ну так вперёд реболь и будет тебе щастье. Тебе что ещё нужно прекреститься и поклоны отбить что бы ты поверил в то что я сказал?
Boryan добавил 10-09-2010 в 00:32 ANDPSP, оно..... но пока интересного мало..нужно было бы ключик менять через два такта. ..ну что бы на обе 80хх команды был один ключик...а то получется один на одну а на другую уже следующий..
Последний раз редактировалось Boryan; 10.09.2010 в 00:32.
Причина: добавил, подумав
ANDPSP,
брут по внешнему словарю или функа в софтине?
если ты про мой пост, то брут ответа на запрос реализован в моей проге, ты вроде скачивал ее себе, должен был увидеть, хотя там не все так просто - получается несколько алгоритмов брута - первый был на основе смены значений после 32 повторов - после это консоль рвет соединение и приходится перевключать батарейку, то что в посте было - это я чуть изменил и меняю значение брутящегося ответа для каждого запроса, Борян предлагает третий вариант - два раза отвечать одинаково на 800A и 8004 а уже потом менять ответ - тоже можно сделать, но смысла думаю не будет. Подождем лучше реальных логов :-)
Привет всем. Я позавчера приобрел себе чисто случайно psp 3008
С прошивкой 5.50. И тут началось...
Идея взлома с помощью батареи мне кажется нереализуемой. Я занимаюсь проф ремонтом мобильных телефонов 5 лет, работал в сервисе с авторизацией sony ericsson и нокиа. Так вот я на личном опыте восстановления gdfs (зона безопасности в телефонах сони ер.) знаю что в последние 3-5 лет подход к защите стал практически параноидальным.
у SONY есть emma card(Для телефонов) и крутые защищённые сервера, которые сейчас выполняют практически все функции по восстановлению защиты в их устройствах. В течении трёх лет я восстанавливал сек зону хардварно-софтовым методом. Изначально это была вообще замена нанд, поскольку без эмма не представлялось возможным восстановить сек зону при старой OTP/ Через год появилась иформация и загрузчики для понижения EROM (тот же IPL в псп). Для этого в нанд на два шара подавалось напряжение и принудительная заливка erom со старым cid, загрузчики к которому существовали давненько.
Вот поэтому мне неверится, что в каком то из их новых устройств можно каким то средством узнать этот код или алгоритм генерации. Надежда на утечку информации. По моему мнению взлом будет софтовым.
crashnok, согласен что у соней паранойя на защиты...но кто не делает ошибок? А уж тем более параноики...уж им то и свойственно ошибаться...что сказать не здоровые людишки )) В сервисных картах они со своей защитой обосрались по полной....ломанули эту мега-бронированную дверь....ломанём и дверь чёрного хода...))
Другие консоли: Все PSP, все PSV, SCPH-1002, SCPH-102, SCPH-77008, CECH-4208C, SCPH-1000R
Регистрация: 19.03.2008
Адрес: Россия
Сообщений: 5,746
Вы сказали Спасибо: 819
Поблагодарили 3,857 раз(а) в 2,023 сообщениях
Сила репутации: 1
Репутация: 3857 
(репутация неоспорима)
krashnok,
совсем не тот случай. Эмма юзает подписаные загрузчики, детища лида, лазера, ден_по и т.д. - патченые и официальные. На данный момент разработан суперсид и есть возможность понижения...
Вот об этой ситуации я хорошо знаю. The_laser стоял в стороне курил, когда команда программатора "круизер" сперла (знакомства и связи у них были) алгоритм и карту и удачно понижала сид через свой сервак. Через какое то время Лазер тоже получил доступ к информации, и также добавил p96 авторизацию в своем продукте "setool". Суперсид к сожалению пока не написан и не будет по моему мнению, потому что все эти алгоритмы и лоадеры для понижения версии сида(ером) даже не ними разработаны.
Так почему же не тот случай, если лучшая команда по SE (это признано на всех буржуиских форумах) не могла написать алгоритм? A с Лазером я на форуме общался именно на эту тему, и было сказано- "у нас нет тех связей как у кукурузеров и заполучить эту штуку возможности пока нет"
Но всё же... Всё возможно, желаю удачи. И сам тоже что то попробую.
Чесно говоря я об этом просто не слышал, и говорил именно о Cid 49 51 52 и т. п. сертификатах и прошивках к ним. Во первых это чисто условно суперсид- это как бы патч ерома на свободный доступ к фс телефона. Я таким не увлекался. Но я об этом и не подумал по той причине что он то всё равно имеет тот же самый ред 52 сертификат.
И про кредиты никто и не говорил - платные решения были больше 8 месяцев назад даже по сбросу сида на 49. Но я его не тратя денег на кредиты понижал.
Я и на А2 сейчас без проблем могу изменить и имей и восстановить гдфс и ером. Но это не суперсид. Вообщем я просто не слышал про эту шутку, да и только потому что она мне бесполезна в плане ремонта. У меня на сони эриксоны 4 программатора и я знаю что говорю. И то что я не слышал о каком то патче и неправильно понял "суперсид" ещё не дает вам права писать- "не нужно мне тут"
это уже к теме не относиться, если хотите есть мой номер аськи вот там об этом можно.
наконец-то купил этот долбанный кабель на pl2303. можно сказать повело. 6-7 магазинов обошел. везде уже такие выкидывают
итого имею кабель для сименсов
фото прилагаю - сори фотоаппарата нет, мобилка не фонтан.
фото 1
ну и сама микруха PL2303HXC
фото 2
а вот приблизительно составил схему моих выводов уже на COM порт:
фото 3
резюков r12 и r13 я по сопротивлениям не выявил.
Прошу помочь дорисовать схемку, чтобы получился k-line
что требуется допаять к выводам, чтобы я мог слушать и писать в порт. буду премного благодарен
напряжение на выводах COM порта (тестил) 3.4 В
Последний раз редактировалось kolio; 12.09.2010 в 21:55.
Другие консоли: Все PSP, все PSV, SCPH-1002, SCPH-102, SCPH-77008, CECH-4208C, SCPH-1000R
Регистрация: 19.03.2008
Адрес: Россия
Сообщений: 5,746
Вы сказали Спасибо: 819
Поблагодарили 3,857 раз(а) в 2,023 сообщениях
Сила репутации: 1
Репутация: 3857 
(репутация неоспорима)
Факт наличия не меняется от платности или бесплатности. Ред52 при суперсиде - условен. И доступ не только к ФС, но и к мэйн. "Какой-то патч"? Человек, имеющий программаторы обязан знать про патчи. Ибо в них (программаторах) есть функция "анлок бай патч". И последнее: я сразу написал, что суперсид есть. И утверждение, обратное моему, как раз даёт мне возможность использовать вышенаписаную формулировку.
Почему вы меня учите что я должен знать а что нет? Я знаю все до единой функции в своем оборудовании. И они позволяют и позволяли делать ПОЛНОЕ обслуживание. Да и анлок бай патч в нормальных мастерских уже 2 года не делают. Я высказал свое мнение по поводу этой батареи и если будут скрины удачного решения, то тогда я соглашусь что я был неправ.