Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 88

Boryan · 20.04.2010, 11:38

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли

Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

Расшифровка кодов

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000

Во вложении:

"psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
- Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
- "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
"Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

Zero0cooL · 29.04.2012, 19:29

Ок может с "школотой" я и вспылил (извиняюсь перед всеми кто старше меня) но, за***чиватся с батарейкой не советую это пустая трата времени. На мой взгляд нужно контроллер "обходить" а не "разводить".

**Rankin** · 29.04.2012, 19:34

Сообщение от Zero0cooL

Ок может с "школотой" я и вспылил (извиняюсь перед всеми кто старше меня) но, за***чиватся с батарейкой не советую это пустая трата времени. На мой взгляд нужно контроллер "обходить" а не "разводить".

У тебя шило что-ли в одном месте вскочило или весна? Народ все что мог сделать на данный момент уже сделал.

Zero0cooL · 29.04.2012, 22:21

Сори за нубский вопрос:
А почему зыза не может стартонуть через USB, если из за нехватки питания то его можно увеличить искуственно , ведь начиная с 2000 в них встроена зарядка через USB!!!
Если не из за этого прошу обьясните из за чего?

**vash** · 29.04.2012, 23:08

Сообщение от Zero0cooL

А почему зыза не может стартонуть через USB

У зызы аппаратный заряд только через разъём питания, а через юсб только програмный. Проще говоря, пока ПСП не включишь, она заряд с миниюсб принимать не будет.

**alex1216** · 01.05.2012, 22:13

Сообщение от Zero0cooL

Я хоть дело говорю а вы застряли в тупике.

Давай-ка уточним, какое "дело ты говоришь"?
В теме где обсуждается ИМЕННО взлом батарейки Пандоры PSP-3000 ты предлагаешь плюнуть на это и сделать "взлом зарядки Пандоры PSP-3000"?!?
И вот это ты называешь делом?

Теперь о "тупике".
Возможно, что для тебя отсутствие батарейки Пандоры PSP-3000 (или зарядки или USB) и есть тупик. Так вот и займись делом - реализуй свои мечты. Вот тогда будет "дело" - а не пустая болтовня!
Или ты хочешь так - ты крикнул глупость и все побежали её реализовывать? Зачем? Чтобы ты потом мог сказать, что это ты нашел способ "лечить" трешки?
Так вот, расстрою тебя. Способ "лечения" существует. И он известен. А здесь обсуждается ИМЕННО "взлом батарейки Пандоры PSP-3000"!

ErikPshat · 15.05.2012, 09:10

Сообщение от lport3

Похоже, ключ крипта изменяется динамически,
причем точно сказать по какому принципу сложно.
Если считывать одну команду с интервалом в 1-2 сек,
то ответ долго не меняется, если сокращать или увеличивать
время между запросами, ответ меняется. Привязки к лок.идентификатору
нет, проверил все.

Вот примерчик, считывал сериями (внутри серии паузы 50мск).

lport3 добавил 27-04-2010 в 21:10
Вот, собственно и все, динамический ключ..(
может даже кирк..

Ну не совсем динамически изменяется код. Там не только первые 8 байт у всех повторяется, но и постоянно повторяются полностью все 16 байт.

frostegater · 15.05.2012, 09:44

ErikPshat, Я знаю эрик!!!! Я знаю!! Нужно зафиксировать сlockgen, тогда рандомизатор накроется и будут выдаваться одинаковые значения, так как только на основе показаний часов может зависеть рандомизация когда не запущен кирк (соответственно тру алгоритм рандомизации mt19937 не работает).

medvedzver · 12.07.2012, 15:00

ТоварисчИ! не пинайте под живот сильно, если ДАТА от АКБ приходит в syscon(он же вроде отвечает за перевод в сервис режим?), может стоит пересадить сискон с прошиваемой модели?

lupus · 12.07.2012, 23:47

нет в нём всего, что нужно. можно не пересаживать.

frostegater · 19.07.2012, 02:40

Ммм.. достаете с платы PSP батарейку (маленькая такая, отвечает за сохранение времени), снимаете несколько разговоров JIG и PSP. Если они не имеют между собой ничего общего, то закоротите на clockgen'е GND с TX (по идее, нужно же перекрыть отправление) и снимите логи снова.

P.S. С чего такие догадки? Потому, что пока не запущена система, нельзя использовать рандомизатор на основе "мусорника", логично предположить, что он на основе времени. Поэтому время должно быть одинаковым чтобы результаты рандомизации были одинаковыми. Как это ПОПРОБОВАТЬ сделать, я ПРЕДПОЛОЖИЛ выше.

ErikPshat · 10.09.2012, 20:44

K-Line нужно было подключать не к среднему контакту батарейки, а к специальному контакту USB.

crashnok · 10.09.2012, 21:25

На Q1004 тоже пробовал сканить, но не разобрался.

Boryan · 16.09.2012, 19:00

ребят

да забейте вы на эту батарейку

Там нечего ловить реально...я уже писал об этом. Нету новых ключей для неё ...как и нет новой таблицы ....это тупик ..и взять их неоткуда.

frostegater · 17.09.2012, 04:49

Boryan, да воть успокоиться не можем. Я так понимаю в dev разделе не все плюшки от тебя. Предлагаю слить наработки в паблик, раз этим больше не занимаешься, ну или хотя бы в dev раздел. Много кто этим заняться хочет, авось кто продолжит дело деда Бори.

**VanSardis** · 17.09.2012, 05:26

Итак, для Е - вход в сервис
код на спец. контакт USB + комбинация из 4-х кнопок и включение питания
но ещё есть прикольчик , что этого не достаточно
нужно грамотно выйти ИЗ сервис режима

Yoti · 17.09.2012, 20:17

VanSardis,
сколько молчал =) Знал же ещё до поступления кастраток в продажу, насколько помню =)

ErikPshat · 24.09.2012, 21:05

Сообщение от VanSardis

Итак, для Е - вход в сервис
код на спец. контакт USB + комбинация из 4-х кнопок и включение питания

Насколько я понял, модуль syscon использует только эти клавиши: HOME, VOLUP, VOLDOWN, SCREEN, NOTE и HOLD.

Boryan · 27.09.2012, 08:47

Сообщение от frostegater

Boryan, да воть успокоиться не можем. Я так понимаю в dev разделе не все плюшки от тебя. Предлагаю слить наработки в паблик, раз этим больше не занимаешься, ну или хотя бы в dev раздел. Много кто этим заняться хочет, авось кто продолжит дело деда Бори.

Да вроде всё сливал что было....только толку? Ребят тут есть желающие ломануть алгоритм AES 176 байт...мало того, заточенный фирмой SONY под себя ...и это ещё не всё... ещё нужны помимо взлома этого алго 4 ключика по 16 байт и только зная полностью алго который соня наворотила из стандартного AES и имея эти 4 ключика только тогда возможно создать новую таблицу из которой котроллер батарейки генерит ответы сискону. Думаю такое даже не посилам суперподразделению военных криптоаналитиков

))) Алго ещё возможно и можно ломануть..тут математика...а вот найти 4 ключика по 16 байт....ну вобщем думаю понятно...

P.S можно попытаться сдампить сискон и из его дампа вытащить таблицу...НО!!!!а кто знает какое ядро использует сискон? Раздербанить батарейку было "просто"

там контроллер NEC и все его команды не секрет для паблика...посему имеяя дамп, и сделав реверс кода, можно было вычислить полностью всю работу и алгоритм батарейки...А вот с сисконом думаю будет облом...там соня использует своё какое то мудрое ядро, и хз как там реверсить сдампленный код? Дело в том, что вся эта суперзащита батарейка <> девайс с которым она работает, изначально была разработана не для приставки ПСП. Если кто помнит ..именно Сони создала первую батарейку инфолитиум. И уж она попыталась защитить её по максимуму ...походу что бы быть монополистом. Ей это удалось...посему мы и имеем очень можную защиту, которую до сих пор не взломали. Судите сами, левые батарейки не от Сони хреново работают в соневских девайсах..будь то видеокамера...фотик и т.д. И даже если и попадаются рабочие экземпляры..то тут тупо клон, который китайцы тупо скопировали на современном оборудывании с самого кристалла чипа. А сервисной батарейки 3000 в реале не существует..посему и нет её копии. Многие наверное в курсе что не все китайские батарейки работают в 3000 ПСП..они температуру ( да да 3000 сискон даже температуру если не в норме нах посылает) кажут 2500 тысячи градусов

)) но китайцы и это подправили...но соня им пошла на встречу..видать разрешила делать клоны

)) и оставила в сисконе работу по первым 4 ключам ( они использовались в старых батарейках) а родные батарейки для 3000 работают с 5 и выше ключей....и перелопатив как минимум около сотни китайских клонов я не в одном не нашёл работу выше 4 ключа....это говорит о том ..что, даже китайским мега ворюгам и спецам по клонированию,- батарейка не по зубам...
В итоге делаем выводы что ловить тут не чего....посему и я ушёл в другое направление

)) В данный момент меня интересует взлом китайских знаменитых ядер от медиатека....в народе тупо МТК****

))Они сейчас используются везде.

ErikPshat · 27.09.2012, 14:53

Boryan, на 300х и выше батарейка ваще нипричём. Она не знает и не использует никаких команд.
Поэтому использование Kline (JIG) в данном случае не уместен на средний контакт батареи.
Анбрик происходит без участия среднего контакта батереи и без вынимания или запандоривания батарей 300х, PSPgo, PSP-Ешек.

Boryan · 27.09.2012, 20:19

ErikPshat Ошибаешся!!! Я логи снимал с 300х ..именно по среднему контакту батарейки она и переходит в сервис...только не батарейка вставляется, а эмулятор батарейки и он именно по среднему контакту и базарит с сисконом...USB тут вообще боком и не при чём