Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 70

Boryan · 20.04.2010, 11:38

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли

Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

Расшифровка кодов

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000

Во вложении:

"psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
- Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
- "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
"Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

Alezhek · 21.12.2010, 20:58

а что в них ищем? кстати, а где на них доки? выложи , пожалуйста

Boryan · 21.12.2010, 21:38

забирай http://zalil.ru/30194382..ну а искать чего? ...дырку

Способ вытащить прошивку..верефикацией..написанием своего кода для вытаскивания прошивки.. и записью его в контроллер..короче искать уязвимость

hax0r · 21.12.2010, 23:28

Boryan, Я тут доку почитал... Есть инфа о том, какие биты защиты установлены в тех 9202,которые в наличии есть?

Boryan · 22.12.2010, 00:46

hax0r, пока такой инфы нет..сложно зацепить 9202...он рассчитан на работу со штатным программатором в отличии от 501...потому пока думаем как его зацепить...а что там нарыл по поводу битов защиты?

lazard · 22.12.2010, 01:52

Boryan, а разве 9202 есть в батарее на зызе с платой 93?

Alezhek · 22.12.2010, 08:53

в 9202 все гораздо хуже - "чексум" даже по документации идет блоками по 256 байт. А программатор придется переделывать под него
по мне - так овчинка выделки не стоит... разве что памяти там всего 4К.. проще разбираться, если все-таки удастся сдампить

hax0r · 22.12.2010, 11:36

Boryan, 9202 еще жесче чем 501... в нем биты защиты даже команду verify не пропустят... еще есть защита на определенную область памяти... регистр защиты от помех... ну и стандартные от стирания чипа, стирания блока и записи... самопрограммирование в нем есть, но оно недоступным становится, если биты защиты установлены... точнее, если оно предусмотрено в той прошивке, которая в нем сейчас и биты защиты установлены, то можно воспользоваться, если его в прошивке нету-то уже ничего не записать...
В общем, 9202 - не вариант, если защита на нем стоит..

hax0r добавил 22.12.2010 в 10:56
lazard,не важно на какой батарее он стоит. Главное что там есть ключи и алгоритм работы. Новые ключи по такой инфе не сложно вычислить.

hax0r добавил 22.12.2010 в 11:36
Boryan,единственное но... там написано, что биты защиты в 9202 можно переустановить, использую команду защиты чипа от записи (стирания чипа в 102).. только пока не понятно что из этого выйдет.. щас читаю доки на 102..

Boryan · 22.12.2010, 12:12

hax0r, давай давай ..напрягай мозги..а то у меня уже все мысли кончились

..жесть с этим NECом ..Ни кто с ним походу во всё мире не колупался как авэрками и пиками...вообще инфы ноль. Непонятно как китайцы нарыли алгоритм...ведь суко клепают баты левые на каждом углу...и прошивка есть почти у каждого китайца....а ни как у них её не выпросить...пробовал все варианты ..и за бабки и в обмен на карточку...тупят суки..типа не понимают что я хочу от них...Да и чел который обещал вытащить с 501 прошиву обломался..короче вся надежда на нас..только самим найти уязвимость в чипе и вытащить оттуда прошиву...других вариантов почти нет...

hax0r · 22.12.2010, 13:49

Boryan,китайцы скорей всего тупо декап сделали и все..) и не парились особо..) китайцы, сцуко, такие китайцы..)) они, сцуко, хитрые...
Изучу доки на 102 в ближайшее время, мож наколупаю чего...

ANDPSP · 22.12.2010, 14:08

Сообщение от Alezhek

может все-таки еще раз проверить и команду Verify?
[IMG]

[/IMG]
ведь судя по доку.. проверять можно от 1 байта?

Что же ты примечание (Note) в вышеприведенный фрагмент не включил ? Сразу бы все понятно стало.... короче вот тебе фрагмент переписки с разработчиком FlashProg, а он побольше всех нас в неках шарит...

про верификацию

я конечно принял эту инфу к сведению но все же решил сам проверить, так вот методом научного тыка и нашлись эти 4 байта достаточные для верификации...

свежий лог

Лень писать комменты в логе, тот кто разбирается прекрасно все поймет - чип вначале полностью стирается, потом во всю память пишется 8 тестовых байт (они пишутся в первый блок), дальше идут попытки верификации заведомо правильными байтами: 1 байт, 2 байта, 3, 4, 5, 6, 8 - где 4 и 8 там успех, потом во второй блок пишутся других 4 байта и так же верифицируются правильными и неправильными значениями ну и напоследок прототип брута - вот тут очень интересный результат - если сразу верифицировать 4 байта - то все нормально , а если посылать побайтно правильные байты то в результате будет провал...

Ну и еще интересное - вспомнил как гонял батарейку по однобайтовым командам и решил так же пробить чип на недокументированные команды, в итоге нашлась пара таких команд A4h и 9Eh

лог по командам

ответ 020104FB03 говорит о том что команда не поддерживается (стр. 17 доки), а вот ответ 020105FA03 (для A4 и B0) говорит про ошибку передачи параметров, но признает что команда есть...

А в случае с 9E вообще положительный статус

но после этой команды чип клинит - дальше не хочет отвечать на посылы команд, скорее всего ждет передачи каких то данных...

Вот такие пироги :-(

hax0r · 22.12.2010, 14:15

ANDPSP, да... интересно было бы выяснить с какого чипа NECовцами система команд сдута была...

Boryan · 22.12.2010, 15:19

hax0r, а толку от этого? Нужно самим ковырять и искать дырку..не верю я в то что в NEC не существует дыры...просто её реально ни кто ещё не искал...

hax0r · 22.12.2010, 17:03

Кому-нибудь из присутствующих случайно не попадались книги по аппаратному взлому..?) Глупость, конечно, спросил, но все же вдруг..)

**DARK-MAN-X** · 22.12.2010, 17:22

Сергей Скоробогатов
Книга по аппаратному взлому
Semi-invasive attacks – A new approach to hardware security analysis

(на английском языке)

144 стр., University of Cambridge, 2005

Книга представляет собой подробный разбор методов взлома микропроцессоров и смарт-карт. Отлично иллюстрирована.

Выложена автором в формате pdf (11.6 MB), распространяется свободно

just google it

может и бесполезна однако это первач-вторая ссылка в гугле

hax0r · 22.12.2010, 17:53

DARK-MAN-X, спасибо, эту книгу тут уже выкладывали) Я думал может еще какие есть.. В Гугле ничего не нашел пока... Изучаю страницу Скоробогатова...

Yokel · 22.12.2010, 19:21

если уж говорить о доках от Скоробогатова, то про NEC в этой описано!
http://www.cl.cam.ac.uk/~sps32/ches2010-bumping.pdf

Boryan · 22.12.2010, 19:32

ну ковырять чип методом Скоробогатова ... дешевле будет поймать китайца ..набить ему морду ..дать денег и сказать что бы притащил прошивку

lazard · 22.12.2010, 20:02

С английским не на ТЫ, но тут чуть ли не ренген чипа. Кстати, о ренгенах: может лучше взять лампу из низкого диапазона, приобрести необходимую оптику и просветить чип. С электрикой тоже не на ТЫ, но такой способ применял при поиске дефекта внутри деталей. Реально ли?

Boryan · 22.12.2010, 20:13

lazard, бред

lazard · 22.12.2010, 20:16

Boryan, тогда будем бить китайцев...