Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 80

Boryan · 20.04.2010, 11:38

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли

Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

Расшифровка кодов

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000

Во вложении:

"psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
- Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
- "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
"Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

Boryan · 30.01.2011, 21:17

Alex14435, не спеши..не всё сразу...слишком много инфы хочешь узнать

**DARK-MAN-X** · 30.01.2011, 23:55

Yoti,
ErikPshat,
Нужен чат.
Кто им занимается и занимается ли вообще?
или наказывать сильно юзеров и перенаправлять в темы предназначеных для флуда и флейма потому что похорошему никто не хочет.
Даже я =)

ErikPshat · 31.01.2011, 00:21

DARK-MAN-X, вопросы по чату уж абсолютно не имеют отношения ко взлому батарейки.
Не нервируйте меня!

**DARK-MAN-X** · 31.01.2011, 12:46

ErikPshat, ну раз Yoti сказал что будет чистить оффтоп то решил написать ибо всё равно всё будет очищено.
Как прочитаешь удали =)

Boryan · 31.01.2011, 18:16

Ну вот собственно и всё

100% дамп на руках ..ранее было только 90% вытащенно ..стёр нек..залил дамп проверил и бату ..всё как часы

Дело за малым ....

В дампе изменил серийник на ff...залил в чип...бат стала пандорой 2000

**Evolret** · 31.01.2011, 18:48

Boryan, супер! Респект! Дело действительно за малым - не спалиться. Неизвестно, чем все с Геохотом кончится, так что я на твоем месте был-бы поосторожнее. Всего тебе хорошего!
Могу себе представить, как сейчас пляшут вокруг костра кЕтайцы, и эксклюзивный facepalm компании Дятел)

Boryan · 31.01.2011, 19:04

Evolret,
Есно ..финиш не далеко

Далее о новостях писать тут не чего...кто в теме тот знает о предстоящем результате. Что сказать? МЫ ПОБЕДИЛИ!
Хочется в итоге поставить жирную точку

И сказать,- что моя работа как и работа тех, кто был рядом со мной, лишний раз доказывают и тому есть наглядный пример

..что ЛЕНЬ И СТРАХ ПЕРЕД НЕИЗВЕДАННЫМ,- ЭТО ОЧЕНЬ ПЛОХИЕ КАЧЕСТВА ЧЕЛОВЕЧЕСКОГО ХАРАКТЕРА! Старайтесь убить их в себе на корню и да будет с вами СИЛА!
Начиная этот проект... я в знаниях был одинаков со многими..и только сильное желание добиться результата привело меня к успеху.
Огромное спасибо всем кто мне помогал ...без них я бы не осилил этот путь. Особенно хочется отметить в этом ANDPSP!
Ну вот и всё

Ещё раз СПАСИБО всем кто заходил в эту ветку и принимал в ней участие.

**Evolret** · 31.01.2011, 19:10

Boryan, с этим не возможно не согласиться. Реально - молодцом, так держать. Самое интересное, для меня лично, было не результативность, а то, какими методами и через какую ж... результат был получен. Это не просто детективный роман - это полный гайд. Удачи и успехов во всем!

Boryan · 31.01.2011, 19:21

Из всей проделанной работы... самый кайф -это то, что взломали до сей поры НЕВЗЛАМЫВАЕМЫЙ чип фирмы NEC.

Вот этим можно гордиться...а остальное и батарейка...так себе фигня

hax0r · 31.01.2011, 19:26

Сообщение от Boryan

Из всей проделанной работы... самый кайф -это то, что взломали до сей поры НЕВЗЛАМЫВАЕМЫЙ чип фирмы NEC.

Год у сони как-то неудачно начался прям..))) сначала ключи от пс3 из контроллера выковыряли, потом посмотрели внимательнее и оттуда же ключи для псп выковыряли... теперь вот еще и батарейку от псп ломанули...)))))

у них там в сони еще хоть что-нибудь осталось невзломанное, интересно?

Дальше, я так понимаю будет НГП(ака псп2)..:p

Boryan · 31.01.2011, 19:35

hax0r, А вот это очень сладкий кусочек...ох и поломаем

PS уже мечтаю о такой....реальный девайс.

hax0r · 31.01.2011, 19:37

Сообщение от Boryan

hax0r, А вот это очень сладкий кусочек...ох и поломаем

PS уже мечтаю о такой....реальный девайс.

Согласен) Я уже давно о ней мечтаю

lupus · 31.01.2011, 19:54

Ну что, господа, спешу вас поздравить, вы действительно проделали большую работу. Следил за темой давно, хоть и не с самого начала. К сожалению помочь вам нег мог, но по крайней мере и не флудил в теме

Всем вам жму руки, в первую очередь Боряну.

Yoti · 31.01.2011, 20:09

И на этой счастливой ноте тема закрывается!

Boryan · 18.02.2011, 12:33

Всем привет! Но вот мы тут снова объявились

Что сказать? Очень сильно я ошибся в надежде на скорый взлом алгоритма шифрования. Оказалось что это очень крепкий орешек...и возможно не ломаемый. Так что на данный момент пока идёт исследование алгоритма, я решил поделиться со всеми снятым дампом. Ковыряйте у кого есть желание

В целях безопасности и блокирования создания батарейки без моего участия ключи шифрования затёрты. Всё остальное полностью работает. В дампе изменён серийник на сервисный и разблокирован ограничитель диапазона команд 80хх. Бат с этим дампом умеет отвечать на весь диапазон от 8000 до 80FF. Для работы с чипом можно использовать вот эту схему программатора (свою пока публиковать не буду) http://forum.cxem.net/index.php?showtopic=32095. Если кому удастся ломануть алгоритм вперёд меня, то отписывайтесь в личку, дам данные и ключи для продолжения работы. Дамп забираем тут http://zalil.ru/30528476 Он в двух форматах .bin для работы в IDA и .hex для прошивки самого чипа.

CTAPbl · 01.03.2011, 12:58

Народ,я бы с удовольствием помог,но я в этом не шарю((Но PSP-3000 у меня брикнулась(удалил папку vsh с flash 0),я ооочень жду результата

Boryan · 01.03.2011, 13:03

Ну и к чему ты это написал? Таких ждунов с бриками много, и если каждый сюда будет отписываться о своём брике, то это явно не ускорит работу а только замусорит ветку.