Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

// Вот разложил поточнее, что выложил stasik007:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 08364CAFF8EFE8E9A5 84
A512 06 EFDDEDA268B1F15CF705F1F16FFADDE2 7B
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 02129A117169ADE46F 81
A512 06 CEE3A231846B7A3CACC16A81AE99A14F 8A
5A0A 81 08EC25077C96EB55 A8
A50A 06 3D71D0DDA5AC498D C8
5A02 01 A2
A505 06 00C206 87
5A0B 80 0208FA21BD9B0CF433 6A
A512 06 649C9CC965D9AA823804FA537F84ADC7 73
5A0A 81 0A99549CC666111A 30
A50A 06 1DF65042207C3621 B2
00

Включаю приставку:

5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 082ED10418C5A517A7 CF
A512 06 956EC42197FA58395A3D01B7EBB74C36 C5
5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 0265727014369503DA 15
A512 06 D3D208AC828AC4285A1F1BE8389276A2 93
5A0A 81 62861C9CE0618781 31
A50A 06 3E02027DA5B052A3 41
5A02 01 A2
A505 06 00C206 87
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 0104 4B
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 9AFF B7
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 00C206 87
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 81FF D0
5A02 03 A0
A504 06 2C10 14
5A02 01 A2
A505 06 00C106 88
5A02 03 A0
A504 06 2C10 14
5A0B 80 028C1358AFF19A5594 FE
A512 06 903ECAB191ACE9B53336455CD35DC860 BC
5A0A 81 9F3777774C64553C 15
A50A 06 64D75EC38A197E7B 52
5A02 01 A2
A505 06 00C106 88
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
00
*/

Расшифровка кодов

Код   Описание                   Данные  Ответ от батареи     Примечание

0x01  запрос оставшегося заряда   нет    energyleft_mAh:u16                                         
0x02  запрос температуры          нет    temperature:u8       cercius degree, min/max value unknown 
0x03  запрос напряжения           нет    voltage_mV:u16        
0x04  запрос тока                 нет    current_mA:short     positive if charging battery 
0x07  запрос ёмкости              нет    capacity_mAh:u16 
0x09  запрос оставшегося времени  нет    timeleft_min:u16     XMB showing not this value 
0x0c  запрос серийного номера     нет    serialno:u32         suspected 
0x80  запрос аутентификации?      9byte  16byte               encrypted data/reply 
0x81  запрос аутентификации?      8byte  8byte                encrypted data/reply

0x05  ответ от батареи            нет    NAK, BCC error and so on?? 
0x06  ответ от батареи            да     ACK, with reply data

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000


Во вложении:

1. "psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
   • Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
   • "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
2. "Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

EEPROM.png

[Ins|der]

ErikPshat, а драйвер этот где хранится?

[ErikPshat]

Ins|der, на волшебной карте памяти ))
Его можно дизассемблить через PRXTool 1.1 by TyRaNiD

[Ins|der]

ErikPshat, понятно
раз с карты, значит инструкции по работе в сервисном режиме, но нас ведь интересует сам переход

[ErikPshat]

Ins|der, я думаю, что сам сискон не в состоянии упрвлять командами, путь даже они в нём прописаны. Тут нужна дополнительная библиотека или софт, чем и приводятся в действие все обозначенные команды. ИМХО
А сам чип - это тупая железка.

[Yoti]

Загрузка с карты идёт после сервис режима. Сервис режим может быть запущен без карты. Имхо, гиблый путь.

[Boryan]

ErikPshat, чип сискона совсем не тупая железка ..а очень умная Все эти prx будут грузиться только тогда, когда он подружится с батарейкой. На данный момент я вижу только один вариант..тащить прошиву с контроллера батарейки. Батареек у меня уже прилично с разными чипами...нужно искать который отдаст своё содержимое...

Boryan добавил 27-09-2010 в 20:27
попа....поинтересовался на счёт чипа Nec upd78f0102h в старой батарейке у спецов нековских....вести неайс....

.....1-wire secure memory...А прошивки как таковой нет. Шифрует сама микросхема памяти. Для каждого сеанса генерируется новый 512 битный ключ. Всего 2^80 вариантов.

Boryan добавил 27-09-2010 в 20:44
кому интересно вот полные доки на контроллеры NEC http://www2.renesas.eu/micro/product...A#IMF_plmtools

[ErikPshat]

Boryan, почему ты думаешь, что сам чип сискона такой умный и всем управляет?

Вполне вероятно, что программную оболочку берёт на себя именно драйвер/библиотека. Инструкция выглядет следующим образом:

• Сискон->Старт драйвера->Управление и генерирование команд драйвером сискона->инициализация процессора.

[Boryan]

стартовая страница http://www2.renesas.eu/micro/product...A#IMF_plmtools..изучаем ...делаем выводы...

Boryan добавил 27-09-2010 в 20:48
ErikPshat, а ты представь брикнутую зызу...в ней всё слетело к чертям и prx тоже...как тогда должен сискон стартануть при отсутствии библиотек? Программа перевода в сервисный режим и инициализации батарейки в нём вшита намертво..это как минимум

[ErikPshat]

Сообщение от Boryan а ты представь брикнутую зызу...в ней всё слетело к чертям и prx тоже...как тогда должен сискон стартануть при отсутствии библиотек?

А ты представь, как восстановить брикнутую ЗЫЗУ, если нет драйвера сискона )))
Сам сискон не в состоянии восстановить psp без главного управления, хотя даже служебные функи (и только) в ней присутствуют.

Правильно, волшебная карта должна взять управление на себя и в этом помочь.
И индикатор обращения к карте - не бессвязная штучка, а определяется по написанному управляющему коду в драйвере, а не в сисконе. Это как техники решат. Если они ничего не решат, то и зелёная лампочка даже не моргнёт, как и чирик в попе )))

[Boryan]

ErikPshat, но всё то что ты описал выше происходит только после того как сискон подружится с батареей и даст команду ЦП для старта, и цп грузит всё остальное с карты...ему загрузить prx и заставить моргать лампочку нужна тысячная доля секунды Как и базар сискона с батарейкой происходит за доли секунды....ты не думай что это долгие процессы...

[crashnok]

Драйвер нужен для другого- например подать напряжение на дисплей.
И он грузится на 100% после токо как сискон включил сервис.

[Boryan]

вот ссылочка http://www.cl.cam.ac.uk/~sps32/mcu_lock.html где Скоробогатов чипы от NEC поместил в список взламываемых...неинвазивным методом

[ErikPshat]

Boryan, вроде ты должен видеть эту тему: https://www.pspx.ru/forum/forumdisplay.php?f=203

[stasik007]

Почемуто никто не допустил мысли что в самом сисконе есть область памяти для собственных дров - эту мысль доказывает поведение прошиваемых приставок после обновления до 6.30 а затем отката на кастом пандорой - они продолжают игнорировать левые батарейки! - значит драйвер в сисконе обновился а кастом при откате перешивает только нанд!

[kolio]

Сообщение от Boryan обрати внимание на то что при одинаковом запросе например : 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E CD 24 04 5B 1D AF 01 77 3D 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E 75 EE 3A F6 CA 30 12 01 31 получаем разные данный во вторых 8ми байт. Либо так и должно быть либо это глюк проги

Прювет всем
Боря ты просил проверить эту хрень.
Вот, что у меня

5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 3F F9 67 7D 5A DB 50 BC 74
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E F3 EC C4 0A 40 1C 9B 3C F1
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C2 98 F4 2A A9 38 58 03 1D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C2 98 F4 2A A9 38 58 03 1D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E F3 EC C4 0A 40 1C 9B 3C F1
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 1B 1A 8C 65 D2 BF 2C 17 D7
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E D9 2A F6 72 62 4F 88 0D 20
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C2 98 F4 2A A9 38 58 03 1D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C2 98 F4 2A A9 38 58 03 1D

вариантов ответа скажем так не много
в логе я выделил совпавшие группы
если очень быстро клацать, то ответ почти всегда приходит один и тот же. всё это я наклацал за 3-4 сек в общей сумме
------------------------------------
может у кого-то есть исходник Бат граба 2.1 ? так как у меня 1.3 версия, в которой неверное формирование чек-суммы

[Yoti]

stasik007,
лично я про такое вообще не слышал =)

[kolio]

Yoti. я тебе с работы вышлю схему.
а вот подопытная оригинальная батарея + спаяный kline

вот как видно всё сделал аккуратно без лишних проводов извне

фото раз

коробочка обрела всего лишь посадочную площадку + микруху в ней

фото два

вот такой удобный коннектор типа "ПАПА" выпаял с какого-то устройства. давно было, уже не помню с чего именно, но под контакты батареи подошло 1-в-1. этой стороной как раз коннектор торчал помню в самой плате, то-есть контакты для припаивания тут подошли как соединительные

фото три

ну вот так оно в действии

фото четыре

[Boryan]

kolio, ну нафига такие картинки большие делать сделай нормальные

Boryan добавил 28-09-2010 в 10:44
вот рабочая прога http://zalil.ru/29737850 исходников у меня нету

Boryan добавил 28-09-2010 в 10:48
kolio, повторяющиеся вторые 8 байт в ответе на 80хх это запрос батарейки к зызе..это говорит о том, что генератор ключей в батарейке паршивенький

[kolio]

Сообщение от Boryan kolio, ну нафига такие картинки большие делать сделай нормальные

думаю это не критично для дела

Сообщение от Boryan вот рабочая прога http://zalil.ru/29737850 исходников у меня нету

та у меня скомпиленная 2.1 есть. значит исправлю в 1.3 ошибку

Сообщение от Boryan kolio, повторяющиеся вторые 8 байт в ответе на 80хх это запрос батарейки к зызе..это говорит о том, что генератор ключей в батарейке паршивенький

а 80D9 для сервиски идет после авторизации?

[ANDPSP]

Сообщение от Boryan ну разобрал я хитрую китайскую батарейку... всё тот же NEC...

тот да не тот - это уже МК uPD78F0752 с поддержкой управления LED и битами защиты от чтения, стирания, записи flash и т.д.
вот доки по нему http://zalil.ru/29738333
вряд ли есть надежда что китайцы не выставили биты защиты, да и программатор нужен видать специфичный PG-FP5.

Может выложишь все виды микрух которые удалось наковырять - вдруг кто то найдет что то реальное среди них...

ANDPSP добавил 28-09-2010 в 13:01

Сообщение от Ins|der Ins|der добавил 27-09-2010 в 11:40 ANDPSP, спасибо за уточнение) но что насчет ответа батареи?

не понял что ты имел ввиду... уточни...

Сообщение от Ins|der насколько я помню, фат-батарейка работает со слим-консолью (в том числе в сервис режиме), выходит нужные команды она знает? вроде ещё 8001 была, если мне память не изменяет)

фат-батарейка работает именно в резервном режиме, ответа на 8008 она не знает но знает на 8004 - так и работает... а при пандоре она знает ответ на 8002 и тоже пашет...

а вот 8001 не встречали ни разу в логах... может ты путаешь с 81 запросом ?

ANDPSP добавил 28-09-2010 в 13:02

Сообщение от Boryan вот ссылочка http://www.cl.cam.ac.uk/~sps32/mcu_lock.html где Скоробогатов чипы от NEC поместил в список взламываемых...неинвазивным методом

нет там наших неков к сожалению...

ANDPSP добавил 28-09-2010 в 13:11

Сообщение от Boryan Boryan добавил 27-09-2010 в 20:44 кому интересно вот полные доки на контроллеры NEC http://www2.renesas.eu/micro/product...A#IMF_plmtools

уточнение - это не совсем наши чипы (семейство 78K0/KB2) - нужно внимательнее смотреть линейки, отличия могут быть минимальными но значительными.
старый чип UDP78F0102H относится к семейству 78K0/KB1+ и в нем нет битов защиты
чип из белой пандоры UDP78F0752 относится к 78K0/IX2
так что читаем доки под конкретные модели а то запутаемся нафиг...