Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

// Вот разложил поточнее, что выложил stasik007:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 08364CAFF8EFE8E9A5 84
A512 06 EFDDEDA268B1F15CF705F1F16FFADDE2 7B
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 02129A117169ADE46F 81
A512 06 CEE3A231846B7A3CACC16A81AE99A14F 8A
5A0A 81 08EC25077C96EB55 A8
A50A 06 3D71D0DDA5AC498D C8
5A02 01 A2
A505 06 00C206 87
5A0B 80 0208FA21BD9B0CF433 6A
A512 06 649C9CC965D9AA823804FA537F84ADC7 73
5A0A 81 0A99549CC666111A 30
A50A 06 1DF65042207C3621 B2
00

Включаю приставку:

5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 082ED10418C5A517A7 CF
A512 06 956EC42197FA58395A3D01B7EBB74C36 C5
5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 0265727014369503DA 15
A512 06 D3D208AC828AC4285A1F1BE8389276A2 93
5A0A 81 62861C9CE0618781 31
A50A 06 3E02027DA5B052A3 41
5A02 01 A2
A505 06 00C206 87
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 0104 4B
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 9AFF B7
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 00C206 87
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 81FF D0
5A02 03 A0
A504 06 2C10 14
5A02 01 A2
A505 06 00C106 88
5A02 03 A0
A504 06 2C10 14
5A0B 80 028C1358AFF19A5594 FE
A512 06 903ECAB191ACE9B53336455CD35DC860 BC
5A0A 81 9F3777774C64553C 15
A50A 06 64D75EC38A197E7B 52
5A02 01 A2
A505 06 00C106 88
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
00
*/

Расшифровка кодов

Код   Описание                   Данные  Ответ от батареи     Примечание

0x01  запрос оставшегося заряда   нет    energyleft_mAh:u16                                         
0x02  запрос температуры          нет    temperature:u8       cercius degree, min/max value unknown 
0x03  запрос напряжения           нет    voltage_mV:u16        
0x04  запрос тока                 нет    current_mA:short     positive if charging battery 
0x07  запрос ёмкости              нет    capacity_mAh:u16 
0x09  запрос оставшегося времени  нет    timeleft_min:u16     XMB showing not this value 
0x0c  запрос серийного номера     нет    serialno:u32         suspected 
0x80  запрос аутентификации?      9byte  16byte               encrypted data/reply 
0x81  запрос аутентификации?      8byte  8byte                encrypted data/reply

0x05  ответ от батареи            нет    NAK, BCC error and so on?? 
0x06  ответ от батареи            да     ACK, with reply data

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000


Во вложении:

1. "psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
   • Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
   • "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
2. "Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

EEPROM.png

[ErikPshat]

Да ладно, я уже понял. Повнимательнее пересмотрел предыдущий ролик.

А где пандора-то? Меню пандоры не видел опять )))

Но ведь по даташиту 24LС02, вон рисунок сверху, там чётко написано, что 7 - WP (Write Protect)

[Boryan]

так пиха шитая...и есно с пандоры не будет стартовать пока карточку с пандорой не вставишь. В пихе стоит карточка пандоры и пиха стартует с пандоренной баты....Ты чота тупишь дружок Не будет карточки с пандорой, пиха просто зажжёт зелёный огонёк и будет квадрат малевича... Я есно меню пандоры не запускал...

[ErikPshat]

Boryan, ну я понимаю, что если бы западоренная карточка не стояла, то с запандоренной батарейкой не включилась бы.
А где меню Пандоры то всё-таки xD

Ладно, шучу опять.

Я вот только не пойму. На протяжении 2-ух с лишним лет, к нам постоянно обращались люди с такой батарейкой, жаловались, что никак не переводится в сервисный режим. И мы с такой мучились и так ничего не вымучили.
И наш товарищь вчерашний то-же не мог просто так запандорить.

А у тебя всё просто - взял запандорил/взял распандорил, без шаманств.

[Boryan]

ErikPshat, Так я же не простой чел ....а РАЗРАБОТЧИК ! разницу улавливаешь?

[Serg5ser6]

Сообщение от Boryan Правда пандорится эта батарейка не на всех зызах но это и понятно. У меня есть три штуки полностью прошиваемые. Так вот, на одной эта бат не пандорится, а на двух других всё нормуль.

Уточните пожалуйста модели PSP (платы).

[Boryan]

slim v.1.0 TA-085 бат пандорится
slim v.1.1 TA-085 V2 бат не пандорится

[DIIGMO]

Сообщение от Boryan slim v.1.1 TA-085 V2 бат не пандорится

Так это не удивительно, v2 и дальше не поддерживают программный способ пандоризации батарейки)

[Yoti]

Сообщение от Boryan а РАЗРАБОТЧИК

Глава группы разработчиков всё видит! =)

[SAST]

Еще раз спасибо Boryan !!!!Выручил! Прошил на программаторе. Поправил бинарник и все заработало.

[Boryan]

да не за что

Boryan добавил 10.01.2011 в 23:52

Сообщение от hax0r В 9202 всего 4кб... начало памяти занимают данные инициализации и различные указатели... Даже если наш лоадер будет размером в 256 байт, мы сотрем всю инициализацию и кусок программы... К тому же запись/стирание возможно только блоками, которых всего 16 по 256 байт... будем надеяться на команду "swap".. иначе можем потерять важные данные..(например, константы, если они используются в алгоритме преобразования..) В каких батарейках стоят эти 9202, что стало возможным уменьшить необходимый размер памяти с 16кб до 4..?? Почитал про порты... Пока думаю использовать одну ногу на запуск процесса и одну ногу на вывод...

Ну эта ...где код под 9202? Когда напишешь? Короче есть китайцы 9202 с полным доступом Так что поле для деятельности открыто Только слив дампа делай на Р40...так удобнее
Ну и эта всех с прошедшими ...и за работу срочно

Boryan добавил 10.01.2011 в 23:53
Кто ещё готов написать код по вытаскиванию прошивы из 9202?
АКТИВНЕЙ ПОДКЛЮЧАЙТЕСЬ!!!

Boryan добавил 11.01.2011 в 00:30
короче программатор разработан и отлажен +софт ANDPSP написал. Программатор всё на моей любимой PL2303+СD4011+74HC02+ кварцы 4 и 8 мГц. В принципе схема не очень сложная для радиолюбителей. Девайс этот умеет шить и стирать полностью и поблочно 501 и 9202 чипы ..ну и есно брутить и ковырять их Снимать с них данные о статусе бит защиты и чистоте блоков. Ну и есно умеет работать с батарейкой и зызой как многим уже знакомый клайн Вот такой универсальный девайс получился.

Boryan добавил 11.01.2011 в 00:42
Теперь дело за малым Нужен чел ( у меня мало времени) который изучил бы полностью доки на 9202 и понял бы есть ли возможность написать свой код минимальным объёмом который вытащит дамп прошивки контроллера на один из портов. В принципе 9202 поддерживает внутреннюю эмуляцию еепрома..значит команды на чтение памяти есть...вот только дают ли они доступ ко всей памяти? Это нужно понять из доков...Короче нужно понять, есть ли возможность своим кодом залитым в начало прошивки вытащить её всю. Думаю потеря начала прошивки из за того что туда будет загружен код ...не страшна...нам нужен только алгоритм.

[hax0r]

Boryan, и тебя с прошедшим)
У меня остался последний экзамен 15-го... так что, думаю, начну писать 16.. а насчет P40 не уверен.. но посмотрю, как писать начну.
А началом прошивки, думаю не стоит пренебрегать, потму что в первый блок попадают область верторов и начало области программы. Там вполне могут храниться константы для вычислений, а если еще и прерывания используются в проше, то векторы тоже не помешали бы... Алгоритм без констант-это конечно хорошо... но константы лучше тоже вытащить постараться, чтобы потом долго не мучаться вычислениями.

hax0r добавил 11.01.2011 в 13:43
а полностью доки не обязательно изучать. Достаточно только регистры, команды и маппинг памяти)

hax0r добавил 11.01.2011 в 13:44
Почему именно на P40 надо-то?)

[Boryan]

Р40 в бате уже используется на выход, он заточен под клайн. Проще будет прочитать данные. и ни чего не городить

[hax0r]

P40 ж двухбитный порт... я хотел восьмибитный заюзать... какойнить P2x например..

hax0r добавил 11.01.2011 в 14:01
ясно,тогда постараюсь)

hax0r добавил 11.01.2011 в 14:02
я думал вы его выпаивать из баты будете..)

[Boryan]

да не вопрос ..делай любой какой тебе удобнее ...поцепиться не проблема к нему будет..это уже моя задача

[hax0r]

Кстати, где таких отличных китайцев достали, если не секрет?)

hax0r добавил 11.01.2011 в 14:06
просто через восьмибитный передача пошустрее будет, я из этих соображений) ну и код поменьше должен получиться

[Boryan]

и с началом прошивки может нам и повезёт. Как ты знаешь номальные кодеры ни когда прошивку с нулевого адреса не запускают...всегда пропуск делают. Возможно что по нулевому адресу стоит адрес джампа...тогда залив наш код и прочитав содержимое ..мы поймём есть ли джамп и куда он....тогда второй раз в новый чип мы заливаем наш код по этому адресу и уже вычитаем начало. Итого убив два чипа мы получим полную прошивку. Чипы есть в нужном количестве Так что ещё не всё потрерянно...правда с 501 не удалось стащить прошивку по причине инициализации портов с нулевого адреса...Чел каким то своим методом пытался снять прошиву..и он успешно снимал прошивки с чипов в которых прошива начинается не с нуля....А тут ему не хватало тактов для вытаскивания дампа потому как сразу с первых тактов инициализировались порты . Но это было в 501....надеюсь с 9202 повезёт..

Boryan добавил 11.01.2011 в 14:13

Сообщение от hax0r Кстати, где таких отличных китайцев достали, если не секрет?)

ХЗ тупо валялись ..разобрал..просканил...оказалось китайцам лень было биты защиты активировать

[hax0r]

тут дело не в нормальности кодеров) просто в этих контроллерах память устроена достаточно специфично.. вот смотри, с 25 страницы

hax0r добавил 11.01.2011 в 14:17
первый блок-это с 0000Н по 00FFH...

Сообщение от Boryan ХЗ тупо валялись ..разобрал..просканил...оказалось китайцам лень было биты защиты активировать

я {удивляюсь} с этих китайцев....

[Boryan]

с 9202 вообще пока непонятка по докам одно а на практике другое...блоки по 256к...81Н биты защиты ..пробовал по этому адресу писать ....ни какого влияния на эти биты нет!!! Вот и верь докам

[hax0r]

Boryan, ну это очень странно тогда.. можт в неправильном формате писал..? или может это не 9202..?) если уж докам не верить, то кому ж верить тогда.??

[Boryan]

ХЗ по докам вообще нет команды А4 которая тащит из чипа данные о статусе битов защиты...а на деле есть Просто доки ширпотребовские не всё в них походу истина Нэк так косячит...чипы 9202 точно. Не обращай внимания на доки...мы сначала на кошках откатаем код...а дальше мона уже и на оригиналах работать
Хотя может и ошибся я с форматом ....но один чип убился когда я в него тупо дамп залил от другого чипа Возможно попал в область битов защиты...чип тупо коннектится даже перестал. Видать в 9202 если стоит бит защиты от стирания он даже коннектится не будет Хотя про это ни где не написанно...а вот 501 если весь защищён всё равно коннектится....а 9202 не хочет..