И всё таки prx.enc файлы точно зашифрованы с помощью MSID... Узнать бы алгоритм, проблем бы не было. Дешифровка шла через KIRK с помощью MSID сервис флехи. То есть метод "черного ящика" как говорят М33

И всё таки prx.enc файлы точно зашифрованы с помощью MSID... Узнать бы алгоритм, проблем бы не было. Дешифровка шла через KIRK с помощью MSID сервис флехи. То есть метод "черного ящика" как говорят М33

Ты хочешь подтвердить то, что флеха шифрована её серийником? И вариантов запустить флеху с другим серийником нет? А ещё какие новости? Ребят отписываемся сюда о своих трудах, не стесняемся :) Интересно же как продвигается исследование флехи. А то чота все замолчали ;)

Boryan
Во-первых, я думаю сейчас мало людей с платой TA-088v3 просто в состоянии помочь как технически, так и программно.
Во-вторых, если сервис флеха всего лишь шифрована msid, то, господи, у нас практически есть шанс сделать из любой флешки пандору, узнав алгоритм шифрования.
В-третьих, дампом одной пандоры карты мы мало чего добьемся, хотя бы два дампа от разных официальных пандор уже бы выявило бы алгоритм шифрования, определило бы в чем различии и есть ли!!! вообще зависимость от msid...
Да и что воздух сотрясать додумками? Если ErikPshat и другие хакеры смогут что ли бо взломать, то они обязательно расскажут.

P.s. Boryan, насколько я понял, не ты делал дамп пандоры? И почему был сделан дамп официальной пандоры только от этой платы, а не от еще, например, TA-090v2?

Да, верно. Получив алгоритм, мы сможем писать кастомные пандоры... Только вот как?

А я вот не пойму зачем вообще защита от копирования сервисного стика?
Ну будет народ сам будет чинить свои брики, так СЦ-ам только легче станет :)

GVr2 добавил 23-03-2010 в 21:13
а что на сервисном стике виртуальная прошивка?
я полагал что официальная :)
в чем криминал в ее копировании?

В то что если можно будет сделать такой стик, можно будет сделать так что устанавливатся будет 5.03, ну а дальше я думаю ты в курсе.

какая разница какая плата TA88V3 или 90 и т.д. Проц везде один и соответственно алгоритм шифрования один. Не думаю что сони изменили алгоритм щифрования в других версиях платы. Проц везде CXD2988ххх ..эта карта стартует и прошивает этот проц, что ещё нужно? В 3000 применили другой контроллер питания, который ещё и отвечает за перевод консоли в сервисный режим. Но взлом контроллера питания, это другая тема. Что там сони намудрили ,лично мне пока неизвестно. Мож просто изменили сам ключик и всё, этого достаточно....мож длину ключа увеличили. Но с этим позже можно разобраться. Сейчас главное понять что и как с картой, и по какому алгоритму вообще она работает.
ЗЫ Знаю точно что проц ни как не привязан к переходу консоли в сервисный режим. Проверял на прошивайках и на ТА88V3..тупо снимал проц и зыза всё равно с пандоры батарейки стартовала.

Так... на Lan.st админ сам писал прогу для расшифровки prx.enc, ключи декодирования известны. А вот ключи шифрования неизвестны, если их отыскать то можно заставить KIRK зашифровать файлы обратно. Но для этого нужно хоть с чем то сравнивать( короче надо ещё хотя бы один файл и MSID с другой сервис карты

Так... на Lan.st админ сам писал прогу для расшифровки prx.enc, ключи декодирования известны. А вот ключи шифрования неизвестны, если их отыскать то можно заставить KIRK зашифровать файлы обратно. Но для этого нужно хоть с чем то сравнивать( короче надо ещё хотя бы один файл и MSID с другой сервис карты

эмм.. как же они зашифрованы, что ключ декодирования известен, а для шифрования назад нужно что-то другое?

pronvit, Бывают как бы алгоритмы ассиметричные

Так... на Lan.st админ сам писал прогу для расшифровки prx.enc, ключи декодирования известны. А вот ключи шифрования неизвестны, если их отыскать то можно заставить KIRK зашифровать файлы обратно. Но для этого нужно хоть с чем то сравнивать( короче надо ещё хотя бы один файл и MSID с другой сервис карты

Итак кому нибудь из посвященных удалось хотя бы повторить опыт забугорного коллеги и декриптовать имеющиеся файлы или нет ? Сразу стало бы ясно что именно использовалось для декриптования - SerialNumber или всеже MSPROID мемори стика - оказывается это разные данные - серийник состоит из 4 байт, а MSPROID из 16 - что больше похоже на 128-битный ключ, если конечно он брался в лоб, а не переверорачивал какой то известный ключ ...

pronvit, Бывают как бы алгоритмы ассиметричные

как бы бывают, но на psp как бы не используются

как бы бывают, но на psp как бы не используются

Ну это же упрощает тогда задачу хоть на чуть чуть... Вообще кто нить разбирающийся в алгоритме криптования PSP может написать прогу или сценарий с перебором возможных алгоритмов, изменяемого количества проходов, вариантов применения XOR и раздать большому количества участников, дальше берется самый маленький файл и пробуем его криптовать, дальше сравниваем результат с оригиналом - не получилось - значит меняется условие(добавляется еще один проход и т.п) и по новой... может удасться взять количеством ...

Ну это же упрощает тогда задачу хоть на чуть чуть... Вообще кто нить разбирающийся в алгоритме криптования PSP может написать прогу или сценарий с перебором возможных алгоритмов, изменяемого количества проходов, вариантов применения XOR и раздать большому количества участников, дальше берется самый маленький файл и пробуем его криптовать, дальше сравниваем результат с оригиналом - не получилось - значит меняется условие(добавляется еще один проход и т.п) и по новой... может удасться взять количеством ...

это невозможно.

Дело ещё в том что расшифровка идет через кирк то есть по неизвестному алгоритму...

Дело ещё в том что расшифровка идет через кирк то есть по неизвестному алгоритму...

Это я так понял команда № 1 KIRK ... А кто нибудь команды шифрования применял ? их там почему то несколько, как и команд дешифрования, ну не считая конечно первой... И получается что никто не знает какой метод криптовки использует сони в KIRK, откуда тогда известно что это именно AES ? И еще вопрос по IPL - известно что его блок в загрузочной области имеет в начале себя символы R....:RY а если смотреть ipl.bin - то в нем так же должны быть эти символы ?

по IPL - известно что его блок в загрузочной области имеет в начале себя символы R....:RYНе путай IPL TimeMashine - загрузчик Пандоры, о котором ты упомянул, с обычным IPL - загрузчиком прошивки.

В данном образе оффпандоры лежит IPL, схожий с IPL официальной прошивки.
Кстати, я его сейчас декриптовал и точно, один-в-один как официальный IPL прошивки.

Проверил, по адресу 0х78 файлов ~PSP записывается версия прошивки. Так вот, почти у всех файлов записано 05 09 03 - 3.95. У нескольких 01 00 04 - 4.01.

Если учесть, что на прошивке 4.01 не было произведено почти никаких изменений и даже ключи к системным файлам не были изменены, и даже у файлов 4.01 в заголовке не соизволили поменять версию прошивки - так и оставили у многих 3.95, то можно предположить, что эта офф Пандора была изготовлена на момент выхода прошивки 4.01 и основана сама по себе на файлах этой-же прошивки, т.е. с карты памяти грузиться она.

Файл с ключами mesg_led.prx в точности совпадает с аналогичным файлом прошивки 4.01, за исключением одной особенности, что туда добавлен ещё один ключ декриптовки 0x407810F0, который отсутствует в файле прошивки Фат и Слим.

Отсюда вывод, что эту Пандору делали при выходе 4.01, когда и вышла плата ТА-088v3.

Не путай IPL TimeMashine - загрузчик Пандоры, о котором ты упомянул, с обычным IPL - загрузчиком прошивки.
В данном образе оффпандоры лежит IPL, схожий с IPL официальной прошивки.
Да уж... о том что они разные я и не подумал хотя видел же при запуске RainsIPLMStool комбо с выбором разных IPL, просто когда запустил PSP Grader там такого выбора не было... Это от неопытности все, нет инструмента поиграться, а на PSP ребенка с TA-088v3 лишний раз прогу запускать боюсь - вдруг брикнется - визгу будет.... и анбрикать потом за бабки неохота... то ли дело прошивайка...


Кстати, я его сейчас декриптовал и точно, один-в-один как официальный IPL прошивки.


Такс.... а декриптовал обычным PRXDecrypter и не потребовался даже MSID? Значит IPL и в декриптованном виде похож на IPL из OFW (интересно какой версии) и в криптованном виде они один-в-один или нет ?

Проверил, по адресу 0х78 файлов ~PSP записывается версия прошивки. Так вот, почти у всех файлов записано 05 09 03 - 3.95. У нескольких 01 00 04 - 4.01.


Значит этой флешкой не может ставится 5.02, как уверяли очевидцы ? Или ты говорил про те PRX что участвуют лишь при запуске с флешки программы, которая в свою очередь форматит нанд и устанавливает OFW ?

Отсюда вывод, что эту Пандору делали при выходе 4.01, когда и вышла плата ТА-088v3.

Значит теперь можно поставить точку во всех обсуждениях о возможности или невозможности анбрика или даунгреда TA-088v3 ? Можно закрыть флудилку в горячей линии, тем более что в опросе еще отписалось трое человек и начать думать с удвоенной силой какую выгоду можно извлечь из всего этого ? Эрик может ты все же выполнишь мою просьбу, озвученную в личке, и попробуешь собрать декриптованные данные на флешке и запустить в сервисном режиме эту сборку - посмотрим отработает она перепрошивку на 5.02 или нет.

Это я так понял команда № 1 KIRK ... А кто нибудь команды шифрования применял ? их там почему то несколько, как и команд дешифрования, ну не считая конечно первой... И получается что никто не знает какой метод криптовки использует сони в KIRK, откуда тогда известно что это именно AES ?

остальные команды используют AES, это известно, собственно они все известно, что делают. а про команду 1 ничего не известно, но по логике в ней тоже AES и ключ (или один из них) передается вместе с зашифрованными данными в заголовке. а вот что дальше внутри происходит - не известно.

В данном образе оффпандоры лежит IPL, схожий с IPL официальной прошивки.
Кстати, я его сейчас декриптовал и точно, один-в-один как официальный IPL прошивки.

не понимаю, почему у них он с карточки грузится, а если я записываю официальный IPL прошивки на карту, он не грузится, что от 6.20, что от 5.01

Не путай IPL TimeMashine - загрузчик Пандоры, о котором ты упомянул, с обычным IPL - загрузчиком прошивки.

В данном образе оффпандоры лежит IPL, схожий с IPL официальной прошивки.
Кстати, я его сейчас декриптовал и точно, один-в-один как официальный IPL прошивки.

Проверил, по адресу 0х78 файлов ~PSP записывается версия прошивки. Так вот, почти у всех файлов записано 05 09 03 - 3.95. У нескольких 01 00 04 - 4.01.

Если учесть, что на прошивке 4.01 не было произведено почти никаких изменений и даже ключи к системным файлам не были изменены, и даже у файлов 4.01 в заголовке не соизволили поменять версию прошивки - так и оставили у многих 3.95, то можно предположить, что эта офф Пандора была изготовлена на момент выхода прошивки 4.01 и основана сама по себе на файлах этой-же прошивки, т.е. с карты памяти грузиться она.

Файл с ключами mesg_led.prx в точности совпадает с аналогичным файлом прошивки 4.01, за исключением одной особенности, что туда добавлен ещё один ключ декриптовки 0x407810F0, который отсутствует в файле прошивки Фат и Слим.

Отсюда вывод, что эту Пандору делали при выходе 4.01, когда и вышла плата ТА-088v3.

Вспомнил! Точняк 4.01 ставится :thank_you:

Вот теперь я точно запутался...
Объясните мне (ответьте на) следующие вещи:
1) если мы каким-то образом сделаем официальную пандору доступной каждому на любую флешку, это будет означать, что мы сможем перепрошивать все psp 2000 хотя бы на прошивку 4.01?
2) принцип официальной пандоры для плат TA-088v3 и TA-090v2 один и тот же? означает ли это, что сервисный режим на psp 300x запускается с батарейки ffffffff?
3) ErikPshat сумел декриптнуть файлы с данного образа оффпандоры без всякого msid. Тогда почему другая карточка такого же размера с данным образом не работает на psp 200x? Может существует какой-то msid 0x00000000 тоже служащий для запска сервсного режима?
4) А сколько времени предположительно уйдет, если через брутфорс перечислять все возможные алгоритмы шифрования kirk? Реально ли будет создать сеть компьютеров для такого бртфорса или время взлома уходит в бесконечность? :)

P.s. можно подвести итоги того, что есть на данный момент по вопросу взлома ТА88V3? а то я сбился ...

Такс.... а декриптовал обычным PRXDecrypter и не потребовался даже MSID? Значит IPL и в декриптованном виде похож на IPL из OFW (интересно какой версии) и в криптованном виде они один-в-один или нет ?Нет, не PRXDecrypter-ом ))).
Если у тебя есть образ, то ты можешь вытащить IPL вручную.

IPL начинается с 16-го сектора (1 сектор - 512 байт) физического диска, включая 0-вой сектор, т.к. отсчёт начинается с нуля.
512х16=8192 байт от начала или в смещении 0х2000.
Имеет размер 94208 байт (0х17000).
Значит заканчивается в 102400 байт от начала или в смещении 0х19000.
Дальше идёт сплошное заполнение FFFFFFFF, просто пустота.
После, в 0x1CE00 заисан MBR карты памяти. Там FAT16, в конце сектора 55AA. Потом структура папок и файлов на флешке...

Короче вытаскиваешь IPL, называешь его как enc_ipl.bin, закидываешь в корень карты и декриптуешь прогой от SilverSpring "IPL Decrypt Sample (http://my.malloc.us/silverspring/2007/10/ipl-decrypt-sample-direct-hw-access/)", как обычный офф IPL.
В криптованном виде они точь-в-точь по структуре одинаковы, но по содержанию разные. И там и там имеют 17 блоков по 0х1000, и декриптуется блоками по 0х1000.

Если интересно, то вот декриптованная часть IPL этой офф-Пандоры:

http://s60.radikal.ru/i168/1003/a7/933e4402b608.pngЧто интересно, декриптовка проводилась в один проход, но концовка в dec_ipl.bin вышла аналогичная, как мы недавно декриптовали IPL от 6.20, но только в 2 прохода. То есть сначала получили dec_ipl.bin, а уже из него извлекли потом на компе с помощью Пёрла main.bin:

IPL офф-Пандоры

http://s39.radikal.ru/i083/1003/b9/f2265ef3f5f4.png

MAIN.BIN 6.20 после второго прохода

http://s09.radikal.ru/i182/1003/e7/b0aacabaff49.png
Вот теперь я точно запутался...
Объясните мне (ответьте на) следующие вещи:
1) Конечно.
2) Принцип официальной пандоры для плат TA-088v3 и TA-090v2 разный. Разный IPL, разные файлы (у 2000 - 02g, у 3000 - 03g).
3) Вероятно карточку сделали не правильно.
4) Через брутфорс перечислять все возможные алгоритмы шифрования kirk не нужно. Зачем изобретать велосипед и вычислять алгоритм AES? У нас уже есть свой дешифратор AES - в процессоре PSP ))). Кирк PSP сам всё сделает и дешифрует, что ему подсунешь.

Немного не в том дело) IPL и пара файлов стика такие как .prx декриптуются без MSID а вот все prx.enc зашифрованы с помощью MSID поэтому и не могли мы их расшифровать пока его не достали) осталось выяснить как шифруется prx.enc

ну так надо в этих паре файлов посмотреть, как они расшифровывают, да и всё
но скорее всего опять команда 1 kirk используется, иначе им не было смысла делать бы, а значит мы опять в тупике

ну так надо в этих паре файлов посмотреть, как они расшифровывают, да и всё

Кто ОНИ ? Я думаю что Эрик декриптовал обычные *.prx в ELF, а не *.prx.enc в *.prx, потомучто именно эта пара закриптована при помощи MSID с которым никак никто не может разобраться и выяснить на чем он завязан - на серийнике мемори стика или же на MSPROID этого же стика - это абсолютно разные байты. Эрик подтверди мои умозаключения или опровергни - ты смог повторить опыт Мэтьюха и декриптовать *.prx.enc или нет ????? Я тоже уже запутался....

ну как это кто они, чудес-то не бывает. кто-то же должен prx.enc расшифровывать и очевидно это делает или ipl или незашифрованные prx, если они там есть.

Если у тебя есть образ, то ты можешь вытащить IPL вручную.Короче вытаскиваешь IPL, называешь его как enc_ipl.bin, закидываешь в корень карты и декриптуешь прогой от SilverSpring "IPL Decrypt Sample (http://my.malloc.us/silverspring/2007/10/ipl-decrypt-sample-direct-hw-access/)", как обычный офф IPL.Это я все уже сделал и в WinHex все увидел и вытащил, про прогу Сильвера не знал, но толку от нее для меня мало - она под кернел 1.5 пашет а это на моей непрошивайке я так понимаю не пойдет :-( Но все равно спасибо - может удасться в будущем прошивайкой все же разжитьсяВ криптованном виде они точь-в-точь по структуре одинаковы, но по содержанию разные. Ну это вроде логично, поскольку этот IPL должен в итоге загрузить тот bin что лежит в папке JIG (а он по логике в свою очередь должен форматнуть консоль и записать то что лежит в PSAR - а там лежит 4.01 или все же 5.02 )- разве не так ? а обычные OFW IPL грузят наверное консоль сразу...

ANDPSP добавил 26-03-2010 в 14:24
ну как это кто они, чудес-то не бывает. кто-то же должен prx.enc расшифровывать и очевидно это делает или ipl или незашифрованные prx, если они там есть.

а ты про это... ну да согласен, но незашифрованных PRX там нету, они все изначально *.prx.enc значит IPL это делает, тем более Эрик подтвердил что они по содержанию с OFW отличаются - вот и декриптует похоже IPL с флешки эти enc с учетом MSID флешки и получается что он безполезен при прямом копировании в область загрузки консоли...

а ты про это... ну да согласен, но незашифрованных PRX там нету, они все изначально *.prx.enc значит IPL это делает, тем более Эрик подтвердил что они по содержанию с OFW отличаются - вот и декриптует похоже IPL с флешки эти enc с учетом MSID флешки и получается что он безполезен при прямом копировании в область загрузки консоли...

ну воот, надо глянуть, как он это делает, если 1 функцию кирк, то тупик, а если нет, то сумеем зашифровать назад с нужным msid

Я enc в ~PSP не декриптовал. Это сделал Mathieulh. Мне скинули просто файлы *.prx.enc и эти-же файлы *.prx.

3 из PRX были не декриптованы, которые легко декриптуются с помощью EDecrypt:

jigkick.prx - версии в заголовке ~PSP нет, закриптован ключём 0х02000000
jigkick_bridge.prx - 4.1 в заголовке ~PSP, закриптован ключём 0х00000000
mesg_led.prx - 3.95 в заголовке ~PSP, закриптован ключём 0х4C940AF0

У файлов *.prx.enc, если откинуть заголовок 0х150, размер в точности совпадает с декриптованными ~PSP, т.е. файлы находится в перевёрнутом виде. Ключ ко всем ENC файлам скорее всего находится в IPL.
IPL part2 декриптовать удалось, он-же вероятно main.bin. Теперь нужно из main.bin вытащить main2.bin, что в прошлый раз сделал rustot (его фиг найдёшь))), а затем вытащить из main2.bin -> kbooti.bin (payload), для чего у нас есть утилита, сделанная pronvit. А там уже лежат ключи.

Хотя может действительно ключ и есть MSID или его хеш, раз Mathieulh просил, как я понял, MSID той карточки для декриптовки, а может просто просил, чтобы было.

Короче, две недели читаю флуд по поводу возможностей прошивки даунгрейда и пандоры и понимаю, что пора кому то давать денег на пару троек псп на убой, так что предлагаю может поднимем фонд - все скинемся и уважаемые люди с нашего форума попробуют декрипт, образ пандоры и тд на настоящем железе. Я думаю рублей по сто двести нас не напряжет, а приставок на пять наберем денег!!!!!!!
Гуру , как только будете готовы говорите, я первый денег на счет кину!!!!

Именно для расшифровки он просил MSID... И даже когда то брутфорс на подбор MSID ставил когда я думал, что не получу MSID. Но всё же расшифровывайте дальше, вдруг что интересное есть) HauB, я гуру но не по этой области :) XBOX 360 ты наверняка по моим F.A.Q.ам шьёшь :acute:

Давайте уточним MSID-это, вот это MSProID:204D5350534E593000784400B9FF0000, или вот это SN:FF435622?
если первое то вот данные с нескольких карт
204D5350534E593000784400B9FF0000-2гб
204D5350534E59300079A800056F0000-2гб
204D5350534E5930006000EF95D70000-4гб
204D5350534E59300078490000000001-китайский переходник под микро SD.
Как видно разница 4-5 байт в основном....и даже в этих байтах частенько 0000 встречаются. Так каким ключиком выходит надёжнее шифровать? Какой ключик применён в сервисной флехе?
Вообще первые 11 байт этого ключика это марка карты иными словами -MSPSNY0.xD...остаются 5 байт, из них 2 последних это 00....итого ключик реальный всего 3 байта? Выходит второй или SN надёжнее там как ни как 4 байта :) Или я ошибаюсь и вообще MSID-это совсем другой ключик?

Boryan, msid = 128бит.

надо кое-чего прояснить еще раз.

ВСЯ защита сони строится только на том, что мы не знаем, что делает команда номер 1 kirk. всё это шифрование и прочее, это так, игрушки, которые можно было бы не делать и ничего бы не поменялось. да, msid короткий (отличающиеся байты), да хоть и длинный, мы все равно его знаем.

только проблема в том, что официальная прошивка запускает только зашифрованные файлы (ipl, модули, приложения). что бы там ни было, мы сейчас можем расшифровать что угодно, ну, приложив какие-то усилия по нахождению ключей, дизассемблированию и тд.

но мы не умеем ничего зашифровывать назад. и никаких продвижений в этом направлении нет (кроме как у Datel). поэтому не хочется вас растраивать, но ничего из этого не получится, мы никак не можем запустить на новых платах левый ipl, мы никак не можем зашифровать эти файлы с новым msid. единственный вариант - подменить msid на карте, но это уже надо к специалистам по железу, я тут не знаю.

(а он по логике в свою очередь должен форматнуть консоль и записать то что лежит в PSAR - а там лежит 4.01 или все же 5.02 )- разве не так ?На флешке лежат файлы, как-бы Пандоры, которые запускают сервисный режим, от прошивки 4.01, но несколько изменённые. А установщик прошивки DATA.PSAR устанавливает прошивку 5.02, но он тоже не такой, как у оригинала 5.02, а несколько изменён.

pronvit, согласен. Файлы нам обратно не зашифровать, как уже неоднократно подмечалось.

Поэтому все размышления напрасны. Нужно думать, как перенести оригинальный MSID на другую карту. Но, как предполагалось, он зашит в контроллёре железно в одноразово записываемой памяти.

Кстати, записал IPL в 16-ый сектор и скинул все файлы enc и DATA.PSAR с образа. На моей толстушке ноль реакции. Хотя кто-то уверял, что на фатке удалось запустить. У меня появились сомнения...

============================================

Ещё очень интересно хотелось бы узнать. Это что за такие сервисные Пандора-карточки стала распространять Sony для СЦ с таким замысловатым файлом в корне AUTORUN.INF с таким содержимым:
[AutoRun]
open=o9bxu.exe
shell\open\Command=o9bxu.exe
И ещё 4 странных сопутствующих файла рядышком:

o9bxu.exe
01vmq.exe
secret.exe
Nguyen Tu Quang.exe

Которые мой Касперыч, без моего ведома, тут-же удалял на корню, даже не спрашивая.
Какой-то Troian-Downloader.Win32.Agent.btlp -Опасность высокая! :D

Это щас новый метод распространять Трояны, под видом супер-пупер анбрикера ТА-088v3? )))

Да, и ещё не нашёл на флешке файла vsh_arc_b0278B6_ww_20081114, который должен лежать в папке VSH. Утаили?

Я считаю что эти четыре файла попали когда нубы пытались копировать флеху на зараженном компе. Файл с vsh возьми с дампа если себе его прислали. Он там есть. Я не послал его потому что весит много а инет очень медленный.

ErikPshat, Поэтому все размышления напрасны. Нужно думать, как перенести оригинальный MSID на другую карту. Но, как предполагалось, он зашит в контроллёре железно в одноразово записываемой памяти.
По последним данным (с одной конторы занимающейся ковырянием флех) вроде как MSID не записан в контроллере флехи, и вообще у контроллера нет памяти :) Для служебной инфы контроллер использует флеху на борту, пишет в её закрытую область. И во флехах до 1 гб доступ в неё был известен. Но сейчас все производители флех, размером более 1 гб, закрыли полностью спецификации на них даже для разработчиков. Эту инфу мне дал чел который разрабатывал знаменитый программатор "ТРИТОН", он то уж сильно шарит в этих вещах. Короче возможны варианты смены MSID со стиком до 1гб. Ещё, чего раскопал я лично, в переходниках под стик с микро SD, стоят две микрухи. Первая,- это походу сам контроллер, а вторая вроде как мелкая флеха :) типа 24сххх. В ней и записана вся инфа стика, и переписать её раз плюнуть. Есно микрухи все типа "плюшка" без наименований.Могу конечно и ошибаться, но уж очень похоже что это именно флеха. Потому как с переходника читается дамп стиковский даже при отсутствии в нём микро SD. Короче нуно поковырять, сёня вечерком и займусь этим. Мало того обнаружил что, в USB флехах стоят аналогичные модули памяти что и в стиках, но вроде как USB флехи уже расковыряли и в них мона менять серийник. Оно и понятно там флеха через другой контроллер (тупо USB) цепляется и этот контроллер воде как даёт полный доступ к флехе на его борту. А в стиках контроллер мало известен и доступ полный к флехе своей не даёт. Задача тупо сдёрнуть флеху со стика и поставить на USB предварительно с него сняв его флеху. Далее нуно найти софт для ковыряния этой USB флехи. Вот тут http://www.flashboot.ru/ Кто готов поставить эксперименты? Я конечно буду этим заниматься, и у меня для этого есть и куча разных флешек и паяльное оборудывание .....но к сожалению очень мало времени на это....всё время приходиться отдавать основной работе.

Мда, похоже мы вернулись к тому, с чего начали, а именно к ничему.
Что бы сделать комлект сервисной пандоры нам нужно:
1) Либо знать алгоритм шифрования kirk №1 от msid, который мы в этом веке врядли узнаем
2) Либо попытаться подменить msid на флешке, учитывая отсутствие полного доступа к контроллеру или памяти флешки.

Похоже лучше ломать update файл(eboot.pbp), как это сделал datel, а чинить консоль предоставить сервисному центру :)

Я считаю что эти четыре файла попали когда нубы пытались копировать флеху на зараженном компе.Ага, сразу 4 трояна сами себя скопировали на стик. Если комп заражен, то активен обычно один вирус, который сам себя распространяет при открытии папок, но не 4 сразу. Причём здесь не самораспространяющиеся вирусы, а трояны. И кто такому нубу из нубов доверил такую ценную флешку, неужели в корпорации Sony?
Думаю, что трояны были записаны на флэху умышленно и вероятно с этой-же целью образ распространялся.
Файл с vsh возьми с дампа если себе его прислали. Он там есть. Я не послал его потому что весит много а инет очень медленный.Так это DATA.PSAR и есть под названием "vsh_arc_b0278B6_ww_20081114"?
Он весит 20,6 МБ (21*669*296 байт).
А расширение какое, а то в служебной области образа расширения не видно?

Может у тебя другой образ?? В винхексе когда открываешь образ, там всё есть, в папке vsh файл vsh_arc_b02786_ww_20081114 вообще без расширения весит 21*669*296 байт

Может у тебя другой образ?? В винхексе когда открываешь образ, там всё есть, в папке vsh файл vsh_arc_b02786_ww_20081114 вообще без расширения весит 21*669*296 байт
У меня образ 506 Мб. Судя по всему это полный образ флешки 512 Мб.
Ну так и получается, что vsh_arc_b02786_ww_20081114 и есть файл обновления прошивки 5.02 EBOOT.PBP (DATA.PSAR), просто под другим названием.
Я уже перименовал и все файлы с образа вытащил, они все сходятся с теми, что мне сливали отдельно. Но Пандора на фатке не стартует всё равно, даже попытки чтения нет, т.к. индикатор флешки ни разу не моргает.

ErikPshat, А ты залей свою сборку куда нибудь. Я её могу проверить на любой модели PSP.
Ага, сразу 4 трояна сами себя скопировали на стик. Если комп заражен, то активен обычно один вирус, который сам себя распространяет при открытии папок, но не 4 сразу. Причём здесь не самораспространяющиеся вирусы, а трояны. И кто такому нубу из нубов доверил такую ценную флешку, неужели в корпорации Sony?
Думаю, что трояны были записаны на флэху умышленно и вероятно с этой-же целью образ распространялся.
Ни кто не с какой целью туда вирусню не пихал. Поверь мне. Просто эту карту многие пытались копировать, и есно не на одном компе. И специально этот образ ни кто не распространяет :) Тот дамп что я выложил, есть дамп из первых рук ;) И он реально с флехи снят. Что на ней было в момент снятия дампа, то и снялось.

Короче, что это за файлы, хз. У них стёрт заголовок, в итоге они не запускаются как exeшники. Если сможешь убрать из заголовка троян код и починить файлы, может будет что интересное)

Alex14435, с троянами всё в порядке. Заголовок на месте, упакованы PE Compact-ом. И они запускаются как экзешники ))), только в инвизе.
При подключении такой сервисной флехи к компу, сразу запускается авторан (autorun.inf), который запускает автоматом исполняемый файл с флешки: o9bxu.exe.
Всё происходит в тихом режиме. Пользователь даже не заметит как всё быстро произойдёт, если не стоит антивирус )))
Этот файл сразу копирует себя с флешки на комп в 2 места:

C:\Windows\userinit.exe
C:\Windows\system32\system.exe

И прописывает себя в реестр - на автозагрузку при каждом включении компа. Так что, прощай все пароли к мылам, на форумы, номера кредитных карточек, Веб-мани и т.п. :D

Просто этот образ итак вызывает сомнения, а тут ещё с такими троянами ещё в 2 раза больше можно засомневаться, что это не розыгрыш.

ErikPshat,
пересмотри посты на куджее)

Нет, образ полностью рабочий

Ни кто не с какой целью туда вирусню не пихал. Поверь мне. Просто эту карту многие пытались копировать, и есно не на одном компе. И специально этот образ ни кто не распространяет :) Тот дамп что я выложил, есть дамп из первых рук ;) И он реально с флехи снят. Что на ней было в момент снятия дампа, то и снялось.Сорри, приношу извинения! Паника отменяется )))

Разобрался полностью с образом.
Вирусов на карточке, на момент снятия образа, не было!

Вернее они были когда-то, но их удалили. Дело в том, что при удалении или даже после форматирования, файлы на самом деле не удаляются, а просто затирается первый символ из названия файла, которое хранится отдельно, в специальном блоке вначале.

А так как я извлекал все файлы вручную из образа от начала до конца, то вытащил заодно и все якобы удалённые файлы, которые оказались троянами с автораном inf. То, что они были удалены, я сообразил потом, обратив внимание на то, что у этих файлов первая буква в названии отсутствовала, тогда как у других файлов присутствовала. Хотя это давно известно, но здесь я этого сразу не учёл. Зато закрепил знания ))).

Вот эта служебная область почти в начале карты памяти. Здесь записывается структура Папок и Файлов, находящихся на карте, в порядке записи.

Видно, что сначала были записаны MEMSTICK.IND и MSTK_PRO.IND
Затем была создана папка PRX
После был записан файл PSPBTCNF.TXT
Затем были созданы папки: VSH, ID, JIG.
Далее видно, что были на карте, а затем удалены файлы: Secret.exe, AUTORUN.INF, 01VMQ.EXE и т.д. Это как раз были вирусы. Что они удалены, видно по удалённому первому символу из названия, написанного ЗАГЛАВНЫМИ буквами.

http://s61.radikal.ru/i173/1003/fa/d03809f9f4a6.png

Ниже я выделил в прямоугольник область, чтобы более уточнить детали.
Рассмотрим снизу вверх (область справа).

Тут внизу видем GUYEN~1EXE - заглавными буквами пишется сокращённое Досовское название (не более 8 символов, не считая расширение после точки). Здесь первый символ "N" удалён от названия NGUYEN~1EXE, что означает, что файл был удалён.
Выше видим 2 строки с полным названием файла + 2 строки ещё выше, как продолжение названия, если оно длинное. Название в каждых 2-ух строках, как видно, записывается в определённой последовательности, строго по формуле:

1-я строка: 1-3-5-7-9-E
2-я строка: 0-2-4-6-8-C-E

Итак, получается - Nguyen Tu Quang.exe

Далее выше записаны точно так-же аналогично остальные файлы. Отличие у них только в том, что первый символ у названия ЗАГЛАВНЫМИ буквами - не удалён. Значит они реально присутствуют на карте.

http://s58.radikal.ru/i161/1003/03/8e0aef8d1b9f.png

Все эти перечисленные файлы (тела) находятся дальше, сразу после этой служебной таблицы, в такой-же последовательности и конечно без названий, т.к. названия записаны здесь.

Каждый новый файл может начинаться только с нового блока, даже если предыдущие секторы свободны. 1 блок - 32 сектора по 512 байт.

Все удалённые файлы так-же остаются целыми на карте памяти, просто они становятся невидымы. Они затираются, когда на это место запысываются новые файлы, по мере заполнения карточки.
Кстати, вот что по этому поводу выдают в сети: http://tinyurl.com/yfllreo

И ещё 4 странных сопутствующих файла рядышком:

o9bxu.exe
01vmq.exe
secret.exe
Nguyen Tu Quang.exe


Сборку выложу позже, как всё соберу и рассортирую

Сорри, приношу извинения! Паника отменяется )))

Вот ты напрягся :-) Там этих авторанов с комами и екзешниками пара десятков, при восстановлении данных только три проявляют активность но каспер рубит их на корню. Думаю вряд ли они влияют на работоспособность ipl и prx... Тебе так и не удалось запустить ipl и декриптованные файлы на своей консоли ? у тебя вроде ж фатка....


Сборку выложу позже, как всё соберу и рассортирую

Интересно а что именно ты собрался выкладывать ?

И еще объясните плиз почему некоторые проги пашут только под кернел 1.5 - это связано с кернел эксплойтом на старых моделях и прошивках, а на новых доступен только юзер эксплойт ? Т.е на 5.03Gen нельзя получить доступ к системным функциям или просто никто не знает как переписать старые проги ?

И еще объясните плиз почему некоторые проги пашут только под кернел 1.5Это связано с тем, что потом, на 3-их прошивках полностью изменили ядро, названия папок, расположение файлов. Поэтому на старших прошивках, нужно во флешь записать прошивку 1.5 (урезанное ядро прошивки 1.5).

ErikPshat, А ты залей свою сборку куда нибудь. Я её могу проверить на любой модели PSP.
Комплект сервисной карты и MSID Dumper:

Service_memstick_TA-088v3.zip (http://www.pspx.ru/forum/attachment.php?attachmentid=8471)

MSID Dumper & SRC.zip (http://www.pspx.ru/forum/attachment.php?attachmentid=8470)


Структура папок в архиве:

Extracted Files Original - все оригинальные извлечённые файлы с образа - по сути комплект сервисной карты.
MSID 512mb Original - это дамп MSPro ID оригиальной сервисной карты, снятый с помощью MSID Dumper
Original Dump MS - полный образ сервисной карты в формате IMG. Можно посмотреть через WinHex.
Write IPL to MS - утилита записи сервисного IPL-загрузчика в 16-ый сектор карты памяти. Сам IPL уже там лежит: multiloader_ipl.bin


Изготовление волшебной сервисной карты:

Необходима карта MS PRO DUO неоригинал на 512 Мб, 2 Гб или 4 Гб.
Оригинал SONY не подходит, т.к. имеет свои чипы нанда и к ним нет спецификаций (даташита) и программаторов.
Это MS PRO DUO Mark2.
Контроллёр, микросхема и плата залиты в один монолитный корпус, даташитов к ним нет и программатор к ним не найдёшь.

3812
3813 Скачиваем "MSID Dumper", вставляем карту памяти в PSP и запускаем программу. Видим на экране номер "Серийный номер" и MSProID вашей карточки и записываем, хотя дамп области MSID всё равно сохранится в корне карты памяти и вы можете его потом посмотреть хекс-редактором. Это вам может пригодиться, когда вы будете искать эти данные в дампе микросхемы.
Тонким скальпелем располовиниваем корпус карты пополам, не поностью, а только заднюю часть и чуть больше половины по краям.
Затем пинцетом достаём из корпуса плату, она не приклеена, а просто лежит в пазах.
Из платы выпаиваем микросхему памяти (nand), которая самая большая 48 ножек. Рядом небольшой квадратный контроллёр памяти, его не трогаем.
3808
3809
3810
3811 Вставляем микросхему в программатор с панелькой TSOP-48 под эту микросхему: http://www.soft-center.ru/reader/
Нужно учитывать, что с виду карты одинаковые, но внутри могут быть разные нанды, например Hynix или Samsung. Поэтому под вашу микросхему уже потом ищется программатор. Смотрим список поддерживаемых микросхем: http://www.soft-center.ru/reader/NAND_List.php Hynix, насколько я знаю, все имеют одинаковый стандарт выводов по даташиту среди TSOP-48, поэтому если буквы или цифры отличаются от списка поддерживаемых моделей, то это не имеет значения.
Микросхема вставляется в панельку программатора очень просто, там она имеет конструкцию прищепки, нажимаем сверху на панельку, контакты отходят, ставится микруха и отпускается панелька, контакты прижимаются к ножкам микросхемы, так что новичку это как два пальца об асфальт.
Далее, программатор подключается к компьютеру, с заранее установленной программой, поставляемой с программатором. В программе указывается диапазон страниц, которые нужно сдампить и дампится часть памяти.
Сразу дампить 2 Гб всей памяти очень долго, да и не нужно. Сразу скажу, что нужная нам служебная область, где прописан MS ID карты, выступающий в роли ключа декриптовки файлов анбрикера, находится в самом конце микросхемы, во 2-ом банке. Данная область находится на микросхемах Hynix HY27UH08AG5M 2Гб или аналогах, т.к. она состоит из двух банков памяти по 1 Гб. Поэтому нужно сдампить только последние несколько страниц 2-го банка. Программатор сам покажет, на какой странице заканчивается нанд. Вам нужно указать только диапазон (от и до). В моём случае эта страница с MSID находится в диапазоне 07FFC4-07FFC5
Затем, открывается файл дампа в хекс-редакторе, вводите в поиск, что нужно искать, а именно кусок хекс-кода MSID: 204D5350534E5930, что в буквенном выражении означает _MSPSNY0, то есть, это половина 16-значного ключа MSID, которая у всех карт памяти MS PRO DUO одинаковая.
3807 Если не нашли, значит дампим следующие несколько страниц от конца, пока не найдем искомое. Узнав адрес, теперь снимаем только одну страницу, где находится MSID - это ровно 512х4+16х4=2048+64=2112 байт. Микросхему, по спецификации, можно считывать и записывать не менее этого размера, т.е. постранично, но можно сразу больше, многостранично.
В хексе меняем 16-значный ID данной карты на ID той карты, с которой был снят комплект оригинальной сервисной карты. Необходимый код ID вы найдёте в папке "MSID 512mb Original" в файле ID.txt.
Дело в том, что каждый сервисный комплект шифруется уникальным MSID той карты, на которую он записывается, а соответственно им же и расшифровываются все файлы при работе. Это точно так же, как вы делаете запароленный архив WinRAR - какой пароль устанавливаете, таким же паролем разархивируете.
После замены ID, не забудьте сохранить файл. Затем обратно вшиваем этот дамп страницы по тому же адресу, откуда сдампили.
Впаиваем микросхему на место. Тут нужна осторожность, чтобы не перегреть микросхему и не замкнуть ножки припоем, т.к. ножки мелкие и находятся очень близко друг к другу. Контролируем пайку через лупу, как минимум тут потребуется 8-кратная, профессионалы в мастерских это делают через микроскоп. Хотя профи паяют с закрытыми глазами, но тут нужен опыт, хороший флюс, который сам притягивает припой к ножкам, оплётка, чтобы снимать излишки припоя и т.п.
Форматируем изготовленную карту памяти на PSP.
Из папки "Write IPL to MS" запускаем "install_psp_ms_multi_loader_ipl.cmd"
Только после этого, делаем подключение PSP к компьютеру.
В окне консоли видим, как определяется флешка и нажимаем английскую "Y"
Видим сообщение "Write MS BOOT CODE" - значит всё отлично.

Если выдаётся сообщение "Canceled" - значит не ту букву нажали или не в той раскладке.
Если выдаётся сообщение "Check free reserved sector : to small reserved sectors" - значит идём изучать эту тему (http://www.pspx.ru/forum/showthread.php?t=62940) (Способ №2).

Монтируем в Хекс-редактор флешку, как физический диск и удостоверяемся, что в 16-ом секторе присутствует знакомый нам IPL.
Из папки "Extracted Files Original" копируем содержимое на флешку и идём прошивать брикнутые ТА-088v3 =)

Из папки "Extracted Files Original" копируем содержимое на флешку и идём прошивать брикнутые ТА-088v3 =)


Ты серьезно ??? Я понимаю что 1 апреля уже скоро, но ведь не завтра :-)



Кстати, проверь, правильная-ли структура папок. А то мне кажется, что что-то лежит не так.
Структура правильная и все лежит так как и було, разве что пары скрытых или системных файлов не хватает - они видать при форматировании появляются сами - MEMSTICK.IND и MSTK_PRO.IND

А у тебя с этим IPL и декриптованными файлами в нужных папках и остальными bin и psar удалось запустить процесс или нет ? Хотя наверное и правда не выйдет - ведь IPL наверное при своей отработке дает команду декриптовать prx.enc а они уже декриптованы или он их просто не найдет раз у них расширение другое, без enc в конце....

Ты серьезно ??? Я понимаю что 1 апреля уже скоро, но ведь не завтра :-)Это генеральная подготовка к 1 Апреля =)

Да, два скрытых файла итак появляются после форматирования, хоть через комп, хоть на PSP. Они восстанавливаются из чипа MSID, как и MBR (FAT16, FAT32, в зависимости от объёма).
MSID - это фактически ровно 3 сектора MBR флешки. Его ты можешь найти поиском в хексе на сигнатуру FAT16, если флешка до 4 Гб. От 4 Гб и выше, ищи FAT32. И сравни с MSID.

С декриптованными не выйдет, т.к. нет подписи, а она должна проверяться. Нужны только оригинальные подписанные файлы.

Это связано с тем, что потом, на 3-их прошивках полностью изменили ядро, названия папок, расположение файлов. Поэтому на старших прошивках, нужно во флешь записать прошивку 1.5 (урезанное ядро прошивки 1.5).

3-и прошивки - это что такое ? старшие прошивки - это от 3.95 и выше ?
и во флеш записать это урезанное ядро соответственно получается только у прошиваек, а на непрошивайке это может привести к брику ? или точно приведет к брику ? Если проще - то есть ли какой нить способ адаптировать старые программы для запуска на непрошивайках под соответственно виртуальной прошивкой - вроде как она тоже прошивается все же в флеш хоть и работает в оперативке или просто напросто из под нее закрыт доступ к ядру ?

ANDPSP, 3-и прошивки - это вроде сменили принцип ядра уже на 3.03. А может на 3.40, точно не могу сказать, т.к. особо не на это не обращал внимания.

А ядро 1.5 крепится следующим образом...
Прошивка функционирует на 2-ух папках - KD и VSH/module
Остальные, как FONT и RESOURCE у всех одинаковые почти.
Так вот, чтобы внедрить ядро 1.5 и чтобы одинаковые файлы не пересекались, DAX переименовал папки от 1.5 - KD как KM, а MODULE как PODULE. И что-то там ещё где-то подхимичил. Вот и всё ядро.

На слимках и 3000 это делать невозможно, т.к. на Слимках с первой прошивкой 3.60 уже на железном уровне не поддерживалось ядро 1.5. Правда потом он сделал TimeMachine 3.40/1.5 скрещенные, запускающиеся с карты памяти, но при наличии Пандора-комплекта. Таким образом на Слимках можно запускать проги 1.5.
Конечно о непрошивайках здесь речи не идёт.

Потом сделал LEDA, но она системные функции 1.5 не может эмулировать, только USER MODE. Тут что-то железное.

ErikPshat, Короче проверил на брике TA88V3.........от дохлого осла уши ....как и с клоном сервисной ....зажигается зелёный СД с батарейки пандоровской и через 15 сек вырубается.....чота не так ....ни какого намёка на чтение стика....оранжевый СД молчит :(
Объём стика имеет значение? Я на 2 гига зафигачил.

Boryan, объём не имеет значения. Просто MSID не тот, который в свою очередь конечно содержит данные о стике. Может быть даже проверка не только по каким-то данным в MSID, а может проверяться типа MD5 или CHA1 всего файла MSID (3x512=1536 байт).
А может вообще никакой проверки нет, а хозяин флешки перед тем, как дать кому-то сдампить, просто мог сбэкапить какие-нибудь файлы или переименовать. Может у нас не хватает элементарно какого-нибудь файла.

Странно просто, что в папке VSH лежит файл обновления прошивки, да ещё под таким замысловатым именем. Папка VSH вообще отвечает за графические ресурсы GUI. Это то, что мы видем на экране - кнопочки, пимпочки, надписи, картинки, фон. Интерфейс меню вобщем.

Можно попробовать хексом записать данные из MSID в MBR флешки, но не затирая данных MBR.

И так ребята нужна ваша помощь. Тех кто шарит в хексах. Сюда http://slil.ru/28866831 закинул дампы с адаптера, описание и фотку ....нуно разобраться что и как. Архив без пароля, весит 64 кб
Зы кста на фотке видно что есть шесть точек для пайки, это выводы для внутрисхемного программирования флехи....зачем они сделаны? :)
Boryan добавил 28-03-2010 в 14:18
ErikPshat, В том то и вся муть, что ни кто реально не знает каким ключиком зашифровано всё..:( Если это MSID ...то функция проверки MSID зашита в самом ЦП, или это встроено в загрузчик на карте? Что заставляет зызу проверять MSID? И вообще проверяется ли он?
ЗЫ дамп снимался с флехи которая отработала на бриках и сразу в картоприёмник бука. Так что удаление файлов с неё невозможно. Ну разве что тот чел фокусник, и у него в каждом рукаве по куче стиков, и для дампа он дал другой :)

Boryan добавил 28-03-2010 в 14:25
да забыл вложить в архив данные адаптера: MSID 204D5350534E59300078490000000001 и серийник 2301А300

Boryan, а дампы, которые не программатором, как сняты?

Boryan, а дампы, которые не программатором, как сняты?
Это секрет...это не для паблика :) ну типа специальным девайсом

погоди, я запутался. у тебя там три дампа, один программатором, фиг сним, про другие написано типа дамп снятый psp с переходника блаблабла, они вот как, тоже чем-то секретным?

погоди, я запутался. у тебя там три дампа, один программатором, фиг сним, про другие написано типа дамп снятый psp с переходника блаблабла, они вот как, тоже чем-то секретным?
Блин какая разница чем и как сняты. Это мешает работе? :) не могу озвучить метод снятия ....это секрет. Я ошибся написав PSP....но это без разницы...есть специальный девайс...он и снимает дампы контроллера в процессе его работы ...но в отличии от программатора который снимает дамп с флехи напрямую ....переписывать их не может. В этой ветке да и вообще в нете нельзя говорить секрет снятия дампа....просто это ещё пригодиться в будущем....и люди не должны это знать

ну главное что из этого мы можем подправленное записать назад.

как эти два дампа снимать я и сам знаю (причем с PSP) :) но по моим сведениям записать их нельзя или я не знаю, как, верно?

а, вот видишь, назад записать он не может, это и главное..

если знаешь то молчи ...шпионов много тут :) записать нельзя обратно....только программатором напрямую ...единственный способ....есть ещё вариант не проверенный ...я писал про него ...USB флехи вроде мона ковырять с винды...где записан серийник флехи доподлинно неизвестно...но вроде как нанде что на борту контроллера....а посему вроде как есть доступ туда с помощью специального софта. Мона тупо сдёрнуть нанд с стика и впаять его в USB флеху и так ковырять....но мона и через программатор у кого он есть....

Есть мысли по поводу MSID. Сталкивался с похожип приколом при перепрошивке Siemens Чужим фул флешем. Фул представляет собой полный образ флехи, как и в данном случае... Но после прошивки Сименс не запускается, так как у флеши есть особый Хеш, с помощью которого рассчитываются ключи прошивок. Нужен пересчёт ключей, после этого всё стаёт ок. Замена целой флехи, либо процессора даёт полностью рабочий телефон. То есть привязка софта идёт напрямую к микросхеме памяти. Так как переписуется весь образ, а ключ хеш не меняется- вывод: MSID находится в одноразово програмируемой зоне OTP (One Touch Programming). Хотя ошибка полагать что эта зона програмируется заводом :) Это не всегда так. При покупке новой микросхемы флеш памяти зона OTP открыта, и допускает разовое програмирование. А контроллер только производит чтение её оттуда.

Сегодня вскрыл карточку Sony на 256mb Внути обнаружился контроллер D3469G, с которым по моему и делать то ничего не нужно, и флеш память Samsung K9K2G08 :) самого стандартного вида, обнаружил на нее даташит. По моему имеет смысл подключить программатор к ней, либо перепаять её в обычную USB флешку, а с её контроллером можно делать массу експерементов.

Буду рад помочь чем смогу, из оборудования имеется JTAG и не плохое паяльное оборудование...

Хорош секретничать, Боря) не такой уж это и секрет, просто DA не выкладывал это в народ. Я вижу, у Эрика это уже есть :)

ну, как считывать эти дампы с псп есть ветка на ps2dev.org )))

вобщем-то, все понятно, есть контроллер, есть его eeprom, есть сама флешь память. судя по всему в eeprom ничего полезного, только программа контроллера. кстати, если знать, что за контроллер, можно посмотреть, что делает программа, возможно что-то найдется.

соответственно остается, что все данные записаны во флешь памяти, в какой-то области вот эти сервисные данные, которые нам нужны, в остальной - сами данные. так вроде как если считать целиком всю флешь память, то там будет, что нам нужно, ну просто ему больше негде быть.. ну и записать назад хорошо бы)

хотя как тогда с переходником, у которого флеша нет своего, откуда он берет...

Хорош секретничать, Боря) не такой уж это и секрет, просто DA не выкладывал это в народ. Я вижу, у Эрика это уже есть :)
Сам понимаешь почему секретничаю :) это ещё пригодиться ты знаешь зачем ;)

Boryan добавил 28-03-2010 в 16:50
dimon-dlx, Это радует что хоть кто то ещё будет ковырять стики...а то мне одному не под силу...времени мало для этого....Давай ежели чего нуно пиши в личку или сюда...помогу. неужели серийник реально намертво пишется? Тогда остаётся вариант с адептером. Там то он думаю не мёртво прописан. Вообще не понятка зачем мелкая флеха на борту контроллера адаптера...какие мысли по этому поводу у тебя? ну разве что контроллеру адаптера она нужна для записи каких либо переменных....ну типа какю SD в него воткунули....но это то зачем что у контроллера нету мелкой оперативки для перменных....у меня только мысли думают, что это есть микропрограмма контроллера для подделки под стик....но тогда в ней должны быть и все данные....а потом что это за контроллер такой у которого его прошрамма на внешней флехе болтается....чота не так...одни догадки....где истину найти? Вот тут http://www.soft-center.ru/reader/контора которая торует софтом и прогерами для ковыряния во флехах....но как бы знать что от этого прогера будет польза...купить не проблема..да походу в нём как раз реализована моя догадка по поводу USB флехи....просто тупо повторили её + панелька под нанд...

Боря, будет время, проведи эксперимент. Нужно купить две китайские флехи, чтоб плата была внутри. У каждой чтоб был разный MSID. И посредством перепайки можно будет узнать, в каком же из чипов сидит MSID

Боря, будет время, проведи эксперимент. Нужно купить две китайские флехи, чтоб плата была внутри. У каждой чтоб был разный MSID. И посредством перепайки можно будет узнать, в каком же из чипов сидит MSID
Отличная мысля !!!так и сделаем
Но нужно поковырять хексы что я выложил утром....с адаптером тож вариант вроде как наманый и стоит он копейки по сравнению со стиком....тока вот бывают совсем галимые адаптеры на плюшках :) у меня и такой есть....хотя и в нём думаю мона внутрисхемное программирование флехи зафигачить

Переходник MS-SD по моему устроенно как и пареходник IDE-Sata память контроллеру нужна для симуляции MS действует она не зависимо от вставленной карты SD. С CD читается только обьём и подменяется для паредачи на девайс. Только что купил эту погань для экспериментов. Осталось выяснить какой участок прошивки EPROM именно отвечает за MSID... А изменить и зашить назад я думаю при наличии програматора не проблема...

эт точно..но вот как понять что и где лежит....

а нету описания хотя бы какого-нибудь из этих контроллеров? если в eeprom программа, то можно ее дизассемблировать. а вот ничего похожего на нужные нам данные что-то не видно там совсем(

думаю вряд ли чего по контроллеру тому сыщем....я по флехе то на его борту фиг чего нашёл. В слепую приходилось читать эту флеху...благо программатор умный с защитами всех видов...не дал её тупо спалить. Нашёл вариант только тупо перебором всего списка поддерживаемых флех....сейчас каждый производитель лепит на корпус микрухи своё название....вот и догадайся что это...

Boryan добавил 28-03-2010 в 19:41
единственное мона тупо попробовать дизасм с известных производителей микронтроллеров...мож повезёт на дурака...наверняка там не спец контроллер а AVR или PIC какой нить....или ещё что нибудь...

ErikPshat,
я сравнивал ядра - меняется лишь один модуль. Даже делал ядро для гены - половина результата была.

AVR-u пробовал :( Скорее там применяется спец контроллер, типа кардридеровского а на флешке хранится служебная инфа. Не думаю что это устройство типа pic или avr против говорит большая скорость передачи данных SD---контроллер----устройство

да я уже тоже понял, что скорее всего там что-то специальное. просто не представляю, чего еще делать с этим дампом - формат непонятный, данных, похожих на наши, там не видно.. а быть-то они где-то должны по-любому.

Ребята пробуйте названия микросхем памяти и контроллеров на http://www.alldatasheet.com/ поискать, там может что то найдете, там довольно хорошие статьи описания и схемы микросхемок разных:mail:

Ребята пробуйте названия микросхем памяти и контроллеров на http://www.alldatasheet.com/ поискать, там может что то найдете, там довольно хорошие статьи описания и схемы микросхемок разных:mail:

Искал :((((

а может с другого конца попробовать - взять настроящую memstick, контроллер нафиг, а nand в программаторе считать целиком как есть...

я же говорил выше что искать даташиты бесполезно....сейчас каждый производитель заказывает микрухи под собственным именем....это помогает от избавится от клонов .....китайцы любят тырить всё...и отсеивает доморощенных мастеров и клиенты вынужденны обращаться в авторизованные СЦ которые имеют инфу про эти микрухи которые стоят в их девайсах. Такая фигня уже лет 8 на рынке электроники.....попа короче:)

а может с другого конца попробовать - взять настроящую memstick, контроллер нафиг, а nand в программаторе считать целиком как есть...

Вопрос что нам это даст? MSID то не измениш, хоть он по моему и во флеш...

а может с другого конца попробовать - взять настроящую memstick, контроллер нафиг, а nand в программаторе считать целиком как есть...

Тут тоже попадалово...я общался с челом кто разработал программатор Тритон....он сказал что все нанды более 1 гига....производители закрыли на них спецификацию....и он есно не может в свой программатор добавлять новые списки нандов....остаётся этот вариант http://www.soft-center.ru/reader/ но по мне он чота сомнительный. Уж коли спец который разработал лучший в мире программатор не ручается за то что его детище может читать скрытую область нанда....то эти смахивают на жуликов....да и по картинке видно что это содранно с USB флехи + панелька под нанд. Это может повторить любой и каждый...и за копейки. А софт мона и тут http://www.flashboot.ru/index.php?name=News поискать..

У меня на аве фото разобранного MS На флешку даташит нашёл... Ничего про MSID или скрытую область в нем не нашёл :(

стик родной или китайский клон? Родные стики в металл корпусе....китайцы пластик. Имя контроллера в студию :)

стик родной или китайский клон? Родные стики в металл корпусе....китайцы пластик. Имя контроллера в студию :)

Флеш K9K2G08, Контроллер Sony D3469GL хоть и пластик, похоже настоящая, так как PSP видела в ней Magic Gate. У флеши, я думаю, выделена часть обычной памяти (как у USB флех и китайских MP3) для хранения служебной инфы которая нужна контроллеру для работы.

У меня на аве фото разобранного MS На флешку даташит нашёл... Ничего про MSID или скрытую область в нем не нашёл :(

погоди, я не очень разбираюсь в современной электронике, но по моим представлениям msid в даташитах быть не может. в нанде просто лежат данные, причем в нетривиальном формате/порядке (см soft-center.ru) и на все msid ему пофиг. собственно один и тот же нанд чип может стоять в мемористике и еще где угодно. а вот контроллер уже дает доступ в основную область, а служебной пользуется сам и дает доступ только на чтение. соотвтественно если снять дамп с нанд чипа со всеми подряд данными во внутреннем формате, там все должно быть. это в софт-центре и делают, а потом этот внутренний формат преобразуют в нормальный, ибо он у всех контроллеров разный, у них вон там база по ним. можно ли записать назад - уже второй вопрос, нам бы прочитать сначала.

pronvit добавил 28-03-2010 в 21:45
Тут тоже попадалово...я общался с челом кто разработал программатор Тритон....он сказал что все нанды более 1 гига....производители закрыли на них спецификацию...

ну а зачем нам больше 1 гига, нам же 512 хватит.

ага :) а ты попробуй найди стики 512 метров....я чота ни как не найду...2 гига с тудом нашёл :) Сейчас мелкие флехи это уже музейный экспонат :). Ну разве что на барахолках давать объявы, типа меню стик 4 гига на 512 мег :)

ага :) а ты попробуй найди стики 512 метров....я чота ни как не найду...2 гига с тудом нашёл :) Сейчас мелкие флехи это уже музейный экспонат :). Ну разве что на барахолках давать объявы, типа меню стик 4 гига на 512 мег :)

Моя 256 :) Могу стырить к ней NAND на 512mb. А смысл именно на 512? По моему к MSID это отношения не имеет....
Но если это принципиально найдем стик на любой объём...

я просто думаю, чем меньше стик тем легче будет с ним работать...ну в смысле с более древними методами защиты нужной нам области столкнёмся...ну типа так :)

я просто думаю, чем меньше стик тем легче будет с ним работать...ну в смысле с более древними методами защиты нужной нам области столкнёмся...ну типа так :)

да может там и нет никакой защиты. надо просто попробовать слить программатором всё с нанд чипа хоть какой-нибудь любой ms флешки и глянуть..

да может там и нет никакой защиты. надо просто попробовать слить программатором всё с нанд чипа хоть какой-нибудь любой ms флешки и глянуть..

Нашёл интересную схемку... http://www.uchobby.com/index.php/2007/05/05/read-embedded-flash-chips/
Или у кого то есть готовый программатор NAND?

жесть....вот тут есть инфа http://monitor.net.ru/forum/programm-nand-flash-avr-info-299076.html.....а вообще ..повторюсь достаточно USB флехи и пенельку на неё...

жесть....вот тут есть инфа http://monitor.net.ru/forum/programm-nand-flash-avr-info-299076.html.....а вообще ..повторюсь достаточно USB флехи и пенельку на неё...

Насчет USB флешки и панельки (я не гордый могу попаять туда сюда) но проэкт обречён на неудачу... Что б Этот USB девайс увиделся нужно либо изменять служебную область флеш (прописывать там Vid&Pid, S/N, производтеля, итд...) а это в нашем случае не приемлимо. Либо писать спец ПО для прямого доступа в память, так как существующие программы для работы с USB накопителями предназначены только для восстановления, а никак не для снятия дампа :(
http://www.soft-center.ru/reader/ А сдесь видимо нашли контроллер и написали к нему своё ПО. Если кто то это сможет то класс... Я лично от програмирования далековат :cray:

у меня есть вот этот http://www.triton-prog.ru/index.php?productID=113 мега девайс....тока нуно переходник купить на нанды....1500 руб. На неделе прикуплю обязательно. Но а софт центровский это ...неаф не нужно....слишком узкая специлизация :) будет потом валяться мёртвым грузом...думаю я и на своём нанд любой прочитаю...Хотя ребята из софт центра специализируются на нандах...с ними уже держит связь чел с нашего форума. Передали им стик гиговый для изучения....пока они ни чего не обещают....со стиками они слабоваты....опыта наработок по стикам нету...пока ждём результата...

опыта наработок по стикам нету...пока ждём результата...

как я понял, почитав их форум, там основная проблема считанные блоки перемешать в нужном порядке, удалив служебную информацию и тд. в этой области может не быть наработок, а нам нужно считать, как есть, и ничего с этим больше не делать, вроде как тут проблем быть не должно, ну если до самого чипа достучаться получится, а не какой-то неизвестный он.

но вообще здорово, дело чуть двигается, а то работающих с железом людей найти нынче сложнее, чем программистов..

нужно двигаться в максимально возможных направлениях .....тогда возможно одно из них даст результат. Тем более в свете последних событий, подтвердились мои предположения что этот стик идёт и на 3000. А иначе и быть не могло, проц то один 88....нужно ещё и ковырять в направлении старта 3000 в сервисный режим.....я могу этим заниматься но только по железу....но тут этого мало нужно и софтово работать

Хм, :) ***iso.tv усердно ищет пандору для 300х. Может нам обьединить усилия с ними? :D

ага :) а ты попробуй найди стики 512 метров....я чота ни как не найду...2 гига с тудом нашёл :) Сейчас мелкие флехи это уже музейный экспонат :). Ну разве что на барахолках давать объявы, типа меню стик 4 гига на 512 мег :)
У меня есть оригинальная карта на 512 метров. Осталась от старого 810-го слоноэрика.
Правда, я не знаю, что с ней можно сделать удалённо для помощи в общем деле...

у меня есть гиговка, но она шла, в комплекте с psp phat, фатку я продал... а вот флешка осталась, насчет МС на 2... у меня в городе ни 1 такая попадалась, не так давно видел китайки на 512... надо будет посмотреть, может остались еще =)


сходил, нет... уже нет... только от 1гб и выше.

Со стиками проблему я решил. Сегодня на работе подогнали 3 шт по 2 гиг :) так что есть чего ковырять....решить бы проблему с нехваткой времени на это.....

Да в такие моменты становиться искренне жаль, что при поступлении в ВУЗ недобрал баллов на факультет автоматики и вычислительной техники, а поступил на машиностроительный :). Хотя не смотря ни на что - хотя бы примерно я понимаю о чем речь идет :)