Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 84

Boryan · 20.04.2010, 11:38

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли

Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

Расшифровка кодов

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000

Во вложении:

"psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
- Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
- "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
"Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

Boryan · 12.05.2011, 12:28

тогда как при производстве сисконов в них зашивают прошивку? Обязательно должен быть сервисный доступ к еепром сискона. Этого отрицать думаю не стоит

hax0r · 12.05.2011, 12:29

я имел в виду, что доступа к чтению нету наверняка)

Boryan · 12.05.2011, 14:45

возможно и работа в одну сторону...но наверняка дыры то есть...искать нужно их. В XBox 360 в приводах в чипе флеха тоже встроенна в сам чип,и тоже чтения флехи как таковой нету...но читают ведь..

siQel · 23.05.2011, 11:50

мож буду не в тему но мне знакомый механик програмист сказал что eproom батареи от коториго моргает индикатор зыз 3000 0xffff0000

Boryan · 23.05.2011, 11:54

Сообщение от siQel

мож буду не в тему но мне знакомый механик програмист сказал что eproom батареи от коториго моргает индикатор зыз 3000 0xffff0000

Нет, он сильно ошибся...и не в теме..Этот серийник тут не причём ..Что бы в 3000 включить сервисмод нужно правильно ответить на 8004, 800D и 8097

siQel · 23.05.2011, 14:54

я это знаю просто он похимичил с батарейкой от 2000
вставил её в 3000 и диод мигает при каждой вставке аккума

ErikPshat · 23.05.2011, 21:01

siQel, может он её просто сломал? )))

Boryan · 24.05.2011, 13:09

Сообщение от siQel

я это знаю просто он похимичил с батарейкой от 2000
вставил её в 3000 и диод мигает при каждой вставке аккума

Моргает или горит? И ты это сам реально видел? Модель ПСП озвучь точно. И более точную инфу в студию, что за батарейка у него на каком контроллере собрана.
PS Моргание зелёного диода в ПСП говорит о скором, полном разряде батарейки!

R122 · 24.05.2011, 13:30

А вдруг в сискон записывают а потом на совсем закрывают доступ, не каждый же день в сисконе прошивка слетает

Boryan · 24.05.2011, 13:40

Сообщение от R122

А вдруг в сискон записывают а потом на совсем закрывают доступ, не каждый же день в сисконе прошивка слетает

Я тебя предупреждал не писать тупые посты

Сикон переписывается, если ты не в теме, то можно менять местами Х и О а это идёт запись в ееппром сискона.

siQel...Мля я вроде взрослый чел ...а в сказку очередную решил поверить

...работу батарейки во всех режимах, знаю лучше всех...Но, решил таки проверить твою версию, зная наперёд что бред ты написал..но, а вдруг я что то упустил, и кому то повезло найти глюк в софте, что работает в сервисном режиме..Результат как я и ожидал...ни чего не моргает!
Так что давай пытай твоего МЕХАННИКА да ещё вдобавок ПРОГРАММИСТА

на предмет чего он там натворил..и результаты в студию

kannibal · 28.05.2011, 10:50

Сообщение от Boryan

Я тебя предупреждал не писать тупые посты

Сикон переписывается, если ты не в теме, то можно менять местами Х и О а это идёт запись в ееппром сискона...........

Boryan , помоему наоборот (хотя...).Вот код из рекавери отвечаюший за смену местами

Сообщение от Код

void SwapButtons(int way)
{
button_assign ^= 1;
WriteRegistry("/CONFIG/SYSTEM/XMB", "button_assign", &button_assign, 4);
if(button_assign) {
CurrMenu->items[2].text[17] = 'O';
kgt_write("X is now enter ", 0, 256, 0x00FFFF, 0);
PSP_CTRL_ENTER = PSP_CTRL_CROSS;
PSP_CTRL_CANCEL = PSP_CTRL_CIRCLE;
} else {
CurrMenu->items[2].text[17] = 'X';
kgt_write("O is now enter ", 0, 256, 0x00FFFF, 0);
PSP_CTRL_ENTER = PSP_CTRL_CIRCLE;
PSP_CTRL_CANCEL = PSP_CTRL_CROSS;
}
}

К сискону доступ частично , ведь в нем реестр консоли(....Сиcкон переписывается, если ты не в теме, то можно менять местами Х и О.... - часть реестра за смену кнопок , см. в коде) , а на PS3 его прямо с консоли(точнее через FTP на Jailbreak'нутой консоли) читают , и вручную(!) редактируют(точнее из /dev_flash2/etc/ дергают xRegistry.sys и на компе при помощи xRegistryEditor редактят) , так что на PSP надо знать как редактить на ней(функции в PSPSDK есть),а вот со всем сисконом как обращаться , то только знать какие обращения в нем(сменить сискон на фэтовский или слимовский - не катит , то есть придеться CPU а с ним и мать , а с матью все органы управления и дисплей(тогда уж лучше зызку купить чем ее собрать)) и уже делать батарею , но зыза хоть и может грузить IPL с карты то , PSP 3000 (с 2000 на пару) могут попросить подписанный IPL(а это только у бога , точней у {{SONY}}), а может и нет.Но можно узнать чем проверяется IPL и отпаять(если не программно , программно еслиб было тогдаб обошли) а вот с psp 3000, не знаю , только надежда на декап , брут и siQel'а. Кстати про брут . Если скинуться то можно поставить облачный сервак Amazon на брут , долгий брут.

frostegater · 28.05.2011, 15:51

kannibal, в таком случае активация WMA и FlashPlayer (на Fat) тоже некий твик реестра. Если разобраться в исполнительных функциях управления реестром, то можно чего-то добится, но точно не дампа.. Тем более дамп ещё расшифровать правильно надо, хоть он и не закриптован, т.е. криптографический модуль не вмешивается в функции syscon`а, т.к. он исполняет ещё и функцию старта системы (PSP), когда криптографический модуль ещё не был запущен.. это упрощает дело, но не намного.

P.S. Четыре байта: 16325817 - когда снимете дамп вам могут многое сказать, если правильно поймёте)))

kannibal · 02.06.2011, 21:20

Сообщение от Frostegater

....Если разобраться в исполнительных функциях управления реестром, то можно чего-то добится, но точно не дампа....

Frostegater , реестр в открытом виде хранится в flash1 в папке REGISTRY (system.ireg и system.dreg помоему), и управлять им можно только при помощи отдельных функций(ты это и написал) , и/или людям которые дружат с хексом.

frostegater · 03.06.2011, 03:34

kannibal, эти отдельные функции при желании можно написать, но опять же они вам ничё не дадут. Даже если реестр в сисконе, то под него отдельный партишн, а для системы управления свой, программно нечитабельный.. разве, что железно, но довольно сложно.

Andrik.if · 06.06.2011, 21:17

Извините за флуд, но тема очень интересная. Читаю с удовольствием и жду результатов каждой битвы с Sony

---добавлено---
ЛОЛ, их еще на 4 больше!
http://habrahabr.ru/blogs/infosecurity/120663/

kannibal · 06.06.2011, 21:37

А я уж думал что-то новое написал кто-то.
Может быть в сервис мод уже нельзя войти через батарею.Может в него можно войти путем снифинга и подмены. Т.е. вот схема PSP брик (-подключение к оперативной памяти через спец кабель или т.д.-) комп , а уже на компе , во время попытки запуска IPL , его подменяют на Деспестаровый или TimeMachine'овый и прошивка начинается. Но прошивка на стационарную прошу всеравно будет невозможна.Почему? Потому-что IPL вообще не замодишь.То-есть замодишь , но только подписанным. Так-что ждем хотябы какой нибудь добычи от взлома .[если это какая то фигня , то просто не реагируйте , это первый и последний раз]

Boryan · 06.06.2011, 22:22

Если будет дамп сискона то ключи я в нём найду! Это не проблема! Метод описывать не буду, но смысл в том что я знаю структуру дампа ......
ЗЫ Подписанные IPL есть! С этим нет проблемм!

kannibal · 10.06.2011, 12:34

Дамп сискона , это легко , но не для нас. Это только для тех кто знает что такое паяльник , как делать фрибут на коробке , и дружит с Infectus и т.п. что бы снять дамп. Но как добраться до сискона. И тем более это не нанд. Если снять дамп то будет один мусор в расширении .bin . Но снятие нескольких дампов покажет мусор это или нет, если все дампы сходятся , то не мусор.
PS. Про вход в сервис мод через USB . Чтобы это сработало нужен рабочий усб порт на зызе.Зачем , скажете вы . Ведь он даже не стартанет. Но может с компа через усб кабель можно послать определённые данные на зызу чтобы она вошла в сервис мод. По идее после посылки зыза не должна выключатся ., т.к. она будет ждать приема IPL через усб , или с карты. Прогу для этого можно написать . На основе того же PSPDisp. Я бы написал , но я не разработчик , но не ламо тоже.

frostegater · 10.06.2011, 12:53

kannibal,

Но как добраться до сискона.

Снять с платы

И тем более это не нанд.

в нём есть eeprom, что является RW (читаемой/записываемой) ПЗУ

о может с компа через усб кабель можно послать определённые данные на зызу чтобы она вошла в сервис мод. По идее после посылки зыза не должна выключатся ., т.к. она будет ждать приема IPL через усб , или с карты. Прогу для этого можно написать . На основе того же PSPDisp. Я бы написал , но я не разработчик , но не ламо тоже.

хехе.. прога для стартинга не нужна, но подошла бы для активации сервиса, но увы, такую прогу сделать равносильно созданию JigKick батареи для 3000, псп можно просто включить..
P.S.
Как по твоему тогда делается анбрик PSPgo? Но тут уже замешана компания Sony и подключение к сети... без комментариев

Yoti · 10.06.2011, 15:56

Сообщение от Frostegater

Но тут уже замешана компания Sony и подключение к сети...

Расскажу по секрету, СОНИ придумала своё собсвенное электричество (с блэкджеком и шлюхами) - там дополнительные частицы для активации сервисного режима. Да-да, PSPgo вводится в сервис от зарядки!