ErikPshat, Я всё про сервисный стик ....выходит что только один вариант есть его запуска, это делать стик с MSID от оригинала? А вариантов собрать свою пандору пусть даже с оригинальной прошивой, нет?

Yoti, или дампер как-то криво сработал, но точно с 16-го сектора =)
Или я что-то напутал и MSID.bin у меня остался на карточке от какой-то другой проги. Скорее всего напутал, т.к. ваши дампы назывались attr0.bin

Но только я не пойму, откуда у меня взялся MSID.bin с такими данными. Я его тогда сразу удалил, но больше воспроизвести мне такой файл не удалось =)

А вариантов собрать свою пандору пусть даже с оригинальной прошивой, нет?
Я пытался сделать Пандору с оригинала. В том, что всё заливал правильно - сомнений нет.
Но дело в том, что и IPL заряжал на карту оригинальный и прошивку заливал оригинальную на карту. По идее должна была запуститься.
Но есть один нюанс, что пути к прошивке в IPL записаны как flash0:/, а файлы на карте лежат в ms0:/ :D

Вот и получается, что нам всего-то нужно поменять flash0 на ms0, но собрать обратно IPL как оригинал с цифровой защитной подписью мы не можем.

ErikPshat, Но есть один нюанс, что пути к прошивке в IPL записаны как flash0:/, а файлы на карте лежат в ms0:/ Чота я не понял :( Это как? Что, IPL берёт файлы прошивы с flash0:/,???? Откуда они там? А запрос MSID тоже в IPL прописан? Или мы зря заморачиваемся с ним? То есть с IPL мы не фига сделать не сможем...и какие задачи в нём прописаны мы их обязаны выполнить? И из сервисной карты мы сможем сделать только сервисную карту и не более...да и то если MSID удастся заменить....Неутешительно :(

Он про IPL от уже установленной прошивки. А тот IPL с сервис пандоры грузит только зашифрованные prx.enc которые без участия правильного MSID не расшифровываются...

ну и как эти prx мэтьюх декриптил? Наверняка используя MSID?

Boryan, ну что-ж ты у него сразу об этом не спросил?

ErikPshat, А с твоя пандора с оригиналом тож вырубает через 20 сек?

Boryan, да, точно так-же. Включаешь, погорит секунд надцать и вырубается. Секундомером не считал =)

Хотел попробовать собрать Пандору с официальной прошивки.
Ведь НАНД прошивки в PSP - это та-же память по структуре и технологии, что карта памяти. Там так-же в скрытой системной области записан загрузчик IPL, из которого идёт загрузка прошивки из размеченной логической области Flash0.

Думал, почему-бы точно так-же не стартануть прошивку с карты памяти. Ведь всё то-же самое. Записать оригинальный IPL в зарезервированную область, записать официальную прошивку в размеченную область.
Всё легально, все подписи на месте. Но тоже не запускается.

Просто, если декриптовать IPL, то там видно, что пути прописаны к Flash0. По крайней мере к flash0:/kd/pspbtcnf.bin точно помню путь был прописан. А в нём идёт список очерёдности загрузки файлов прошивки с уровнями привилегий.

ErikPshat, Теперь понятно...тупик короче :) который только Дател преодолел....Ну и ладно...мож хоть удастся MSID подделать и то хоть польза будет от сервисной флехи....хоть брики лечить бум:)
А ты декриптил IPL сервисной? Порядок его работы известен? Он точно MSID запрашивает?

Boryan добавил 03-04-2010 в 16:50
Просто хотелось бы уточнить ..точно ли все траблы с сервисной флехой в MSID зарыты? Просто если не так ...то будет жаль потраченного времени на поиски метода смены MSID

Boryan, IPL от сервисной я только декриптил до PART2. Там декриптится первый блок 0х1000, и как ни странно, вышел декриптованным последний блок, хотя у IPL прошивки последний блок выходит недекриптованным.

Потом в первом блоке лежит ключ декриптовки следующего блока 0х1000, а в следующем блоке лежит ключ от последующего. Таких блоков около 17-ти. Но декриптовка происходит в 4 где-то этапа. Значит остальные блоки просто между собой ксорятся по разным формулам.
В результате выходит небольшой конечный файл kbooti.bin в GZIP-архиве, где содержаться ключи к файлам прошивки и пути.

Но, к сожалению, я после PART2, следующую декриптовку делать не умею. Это делал rustot, причём вручную на компе вроде или кто-то ему на стороне декриптовал.
Там дважды он декриптуется, а затем ещё дважды, один раз на компе через Пёрл и затем программой, которую pronvit нарисовал.

То есть, для нас секрет одного действа в середине, которое от нас скрыл rustot и унёс с собой. Начало и конец мы уже знаем, как декриптовать.

а куда исчез rustot? Он что, не хочет нам помочь? :)

Да, Мэтьюлх написал собственную программу для загрузки MSID и ENC в кирк для расшифровки, без идентификатора никак.

ErikPshat, в декриптованном IPL по адресу 14180 прописан путь к \PSPBTCNF.TXT т.е. тому списку файлов что лежит в корне, а что если этот список изменить, например скопировать на флешку новую папку \kd - в нее положить известные файлы от пандоры или OFW которые по названию такие же как и те что лежат в папке \PRX и в этом списке прописать уже с учетом новой папки - начал было копировать это дело, но меня смутило различие в названии нескольких файлов. Например в этом списке и в папке \PRX есть упоминание про loadcorei.prx.enc, но в пандоре я нашел только loadcore.prx что в \kd что в \km и такая же хрень еще с одним файлом точно - что же это ? какая то модификация файлов под работу именно с флешки?
Еще не понятно наличие знака % в начале строчки у пары строк того списка - что это коммент или определенный режим запуска файлов ? в стандартных pspbtcnf.bin никаких процентов не обнаружил а вот последовательность загрузки файлов очень похожая....

И еще не очень понимаю - а нельзя ли как нить дизасемблить декриптованный IPL чтобы найти например что то похожее на инструкцию для KIRK по декриптовке этих файлов, ну например KIRK_DECRYPT(loadcorei.prx.enc, ключ_MSID ) ведь решили вроде что именно IPL ответственнен за загрузку файлов из списка \PSPBTCNF.TXT и дальнейшую загрузку *.bin из папки \JIG или не все так однозначно ? хотя других файлов же нет на флешке, а flash0 консоли не при делах поскольку подвергается форматированию...

странно, Мэтьюлх сказал что дальше part2 декриптовать невозможно...

По поиску инфы по смене MSID набрёл на кладезь софта по флехам http://remontflash.ru/index.php/home очень порадовала прога Flash Memory Toolkit 1.20 PRO тут http://remontflash.ru/index.php/component/virtuemart/?page=shop.product_details&flypage=flypage.tpl&product_id=474&category_id=42 мож кому пригодиться....там много софта ..его нужно изучать...мож чего и нам сгодиться :)

По поиску инфы по смене MSID набрёл на кладезь софта по флехам http://remontflash.ru/index.php/home очень порадовала прога Flash Memory Toolkit 1.20 PRO тут http://remontflash.ru/index.php/component/virtuemart/?page=shop.product_details&flypage=flypage.tpl&product_id=474&category_id=42 мож кому пригодиться....там много софта ..его нужно изучать...мож чего и нам сгодиться :)

Только что удачно сменил S/N у флешки. Он хранится в НАНде а не в контроллере! Взял 1й стик перекинул НАНД в USB прописал свой серийник, вкинул туда же другой НАНД серийник стал другой :) хотя это ещё не MSID но продвижение не плохое... И что странно серийник 16ти значный...

dimon-dlx, я тож эксперименты проводил и установил как и ты что и SN и MSID сидят в нанде :) Взял два стика по 2гиг, один простой а другой высокоскоростной, но с одинаковыми нандами. Это для того что бы контроллеры разные были, Снял нанд с высокоскоростного и поставил на простой. Флеха в компе и в PSP виделась, но не читалась и не форматилась. Есно контроллер, видя на борту не свою флеху, закрыл к ней доступ. И это правильно. На то он и контроллер :) если он считает что ошибок в нанде слишком много, то закрывает доступ в него. Но вставив этот стик в ПСП я считал его данные и удивился. Оказывается конроллер стика высчитывает MSID с нанда по своему алгоритму ....другой нанд на его борту и MSID другой :) Вот что было изначально:
данные скоростного стика:SN: FF435622
ID: 204D5350534E593000784400B9FF0000 2гига
данные обычного стика : SN: 00000011
ID: 204D5350534E59300079A800056F0000 2гига
данные нанда от скоростного стика установленно на борт контроллера обычного стика : SN: A7000000
ID: 204D5350534E59300078740014160000 и уже 256 мег!!! очень интересно.
Вернул всё обратно и оба стика заработали и инфа на них не пострадала

Boryan добавил 05-04-2010 в 21:28
Выходит что разные контроллеры и разный алгоритм высчитывания данных с одного и того же нанда....вот так ...

Boryan добавил 05-04-2010 в 21:45
и ещё...у каждого контроллере свой метод распределения данных в нанде...и посему на так легко будет найти в нанде то что нам нужно..ибо там мешанина...и походу для этого и существуют программы сборщики что бы увидеть то что нам нужно..И нужно в итоге остановиться на каком нибудь одном контроллере и ковырять его нанды, а иначе мы запутаемся :) Но самое главное что что это не тупик, и результат будет и он реальный. Это радует.

Boryan добавил 05-04-2010 в 22:09
dimon-dlx, тебе инфа http://www.uchobby.com/index.php/2007/05/05/read-embedded-flash-chips/ прогер нандов на базе картридера....и ветка про USB в качестве прогера нандов http://www.mobile-files.ru/forum/showthread.php?t=245686

интересно-интересно.. возможно, контроллеры эти хранили служебную информацию в разных местах на нанде и считали просто что-то не то, выдав это за мсид. ну или что-то другое, не знаю, что, там происходит.

а вот программы-сборщики нам как раз не нужны, я уже говорил. потому что пусть там и мешанина, но мешанина из блоков какого-то размера, а не из байт, так что наш короооткий мсид по-любому будет в каком-то одном месте, а остальные данные нам восстанавливать не надо.

pronvit, Супер! И на самом деле нафиг нам сборщики...но и в блоке MSID лежит в непристойном :) виде....как его найти нам? Я выкладывал сюда дамп снятый с адаптера...и что мы там нашли MSID? Ещё нарыл как сделать копеечный программер из картридера для xD карт....у меня как раз есть читалка xD http://www.uchobby.com/index.php/2007/05/05/read-embedded-flash-chips/ тока пока не разобрался как к нему микруху нанда присобачивать ..в смысле куда какую ногу нанда припаивать к считывателю

Boryan добавил 06-04-2010 в 01:14
в описании вроде как у НАНДА используются с 1 по 22 ноги ....а это одна сторона нанда потому как на одной стороне 24 ноги....а на картинках у него подпайка с обеих строн....непонятка :( чота буржуй накосячил

в описании вроде как у НАНДА используются с 1 по 22 ноги ....а это одна сторона нанда потому как на одной стороне 24 ноги....а на картинках у него подпайка с обеих строн....непонятка чота буржуй накосячил
Всё правильно надо подпаивать с двух сторон :) С одной стороны управляющие выводы (в основном) а сдругой стороны дата...

Ну чтож... Чел с сервиса заболел, хз когда смогут поменять мсид( Борян, скорей дуй на рынок за планкой для чипа)

dimon-dlx, Это я знаю...но меня смущает что буржуй написал...нафига он использует только с 1 по 22 ногу? Хотя на фотках всё правильно. Ошибся малость? Или на какой НАНД он дал описание? Хотя нафига мне городить огород? У меня есть Тритон ..легче купить ему панельку и вуаля.

И так мои опыты. Купил переходник под нанд для Тритона. Считал первый блок 64 страницы с 0х000000 по 0х00003F c нанда SAMSUNG K9WAG08U1M 2гига. Узнал всё про этот нанд из спецификации на него. У этого нанда нет служебной и закрытой области :) Это тупо флеха! И есть предположение что стиковский контроллер тупо резервирует себе область в нанде под служебные переменные. И учитывая (по спецификации) что в любом нанде самая надёжная область памяти это начальная, есно я её и считал. Но там каша в которой нужно найти SN и MSID....

Boryan добавил 08-04-2010 в 11:13
Архив с хексом нанда и текстовым файлом с SN и MSID который считан с этой флехи залил на http://slil.ru/28926374 ...Мужики кто поможет найти в этом дампе MSID и SN? Я чота в нём запутался....:)

Boryan добавил 08-04-2010 в 11:25
Есно это дамп со стика, на котором залита обычная пандора и есно мусора там дофига....Вечерком попробую слить дамп с заводского девственного стика ....думаю там почище будет :)...Пробовал дамп снимать с нового стика но уже отфарматенного в компе ....там тож мусора добавляется куча...

И так мои опыты. Купил переходник под нанд для Тритона. Считал первый блок 64 страницы с 0х000000 по 0х00003F c нанда SAMSUNG K9WAG08U1M 2гига. Узнал всё про этот нанд из спецификации на него. У этого нанда нет служебной и закрытой области :) Это тупо флеха! И есть предположение что стиковский контроллер тупо резервирует себе область в нанде под служебные переменные. И учитывая (по спецификации) что в любом нанде самая надёжная область памяти это начальная, есно я её и считал. Но там каша в которой нужно найти SN и MSID....

Boryan добавил 08-04-2010 в 11:13
Архив с хексом нанда и текстовым файлом с SN и MSID который считан с этой флехи залил на http://slil.ru/28926374 ...Мужики кто поможет найти в этом дампе MSID и SN? Я чота в нём запутался....:)

У флехи в даташите указывается расположение boot sector оно либо в начале либо в конце... А встречал мануали где указано multi boot sector к чему это? И ещё после установки в мой usb програматор нанды переставали работать в стиках :( А если форматнуть их в USB превращались в культурные USB флешки. А восстанвление ранее слитого дампа не помогало хотя он восстанавливался байт в байт. Вывод контроллер USB флехи видит не весь нанд, хотя обьём флехи увеличивается на 13mb против того что отображает стик :)

И так мои опыты. Купил переходник под нанд для Тритона. Считал первый блок 64 страницы с 0х000000 по 0х00003F c нанда SAMSUNG K9WAG08U1M 2гига. Узнал всё про этот нанд из спецификации на него. У этого нанда нет служебной и закрытой области :) Это тупо флеха! И есть предположение что стиковский контроллер тупо резервирует себе область в нанде под служебные переменные. И учитывая (по спецификации) что в любом нанде самая надёжная область памяти это начальная, есно я её и считал. Но там каша в которой нужно найти SN и MSID....

мм.. а почему бы для надежности не считать всё, а не первые страницы, когда оно, может, и не в них..

pronvit, 2 гига по COM порту :) Тритон сутки читать будет :) Я сейчас проше поступлю...есть девственная флеха с завода....соответственно нанд у неё полностью чист окромя служебной области, и есть форматнутая в компе под виндой...ранее вроде на неё ни чего не писалось...хотя если сливать дамп хексом со стика нового но форматнутого ..там уже мусора дофига. Короче сравню оба дампа снятых Тритоном ....надеюсь различия в дампах будут в основном где серийник...хотя ХЗ мож там всё будет измененно....как работает контроллер стика -это загадка похлеще кирка :)

pronvit, 2 гига по COM порту :) Тритон сутки читать будет :) Я сейчас проше поступлю...есть девственная флеха с завода....соответственно нанд у неё полностью чист окромя служебной области, и есть форматнутая в компе под виндой...ранее вроде на неё ни чего не писалось...хотя если сливать дамп хексом со стика нового но форматнутого ..там уже мусора дофига. Короче сравню оба дампа снятых Тритоном ....надеюсь различия в дампах будут в основном где серийник...хотя ХЗ мож там всё будет измененно....как работает контроллер стика -это загадка похлеще кирка :)

Забей через Хекс оба стика 00 есть команда Fil disk sector выставляеш 00 и вперед. Сотрёт даже Fat но стики останутся робочими, правда их приёдется потом форматить. Но стик в служебную облась Хексу добратся не даст :) Вывод будут чисто служебные данные...

не получится...смотрю новую флеху (на неё ни чего не писалось)но форматнутую, в хексе как логический диск ..там мусора полно...а если как физический диск, то она чистая....с какой области хекс читает логический диск? Смотрю флеху с завода и физический и логический диск -чистота:) Как затереть весь мусор в логическом диске?

не получится...смотрю новую флеху (на неё ни чего не писалось)но форматнутую в хексе как логический диск ..там мусора полно...а если как физический диск то она чистая....с какой области хекс читает логический диск?

Открываешь win Хекс, выбераеш Edit, там Fill Disk Sector (Ctrl L), там выбираеш Fill With Heh Values, в окошке пишеш 00, и нажимаеш ок. Радуемся результату :)

Мля!!! Только что обратил внимание :) 4 шт китайских качественных стика по 2 Гига....все с одной партии. Коричневым цветом высокоскоростные....всё сделанно в качественной упаковке, типография не прикопаешся....внутри сделаны качественно ...нанды самсунговские ...контроллеры корпусные не плюшки....а вот и SN и MSID у всех одинаковые до бита :))) значит могут китаёзы делать со стиками всё что угодно :) Мож их напрячь и заказать партиечку нужных нам стиков? У кого есть завязки?

Вообще попробуй на ночь оставить снятие тритоном с той которая с завода. Посмотрим что выйдет. Главное-снять полностью

Открываешь win Хекс, выбераеш Edit, там Fill Disk Sector (Ctrl L), там выбираеш Fill With Heh Values, в окошке пишеш 00, и нажимаеш ок. Радуемся результату :)
Ага ...только нужно покурить бамбук минут 40 пока 2 гига 00 заполнятся со скоростью 56 метров в минуту :)
Зы ушёл курить бамбук :kalyan:

Boryan добавил 08-04-2010 в 21:55
ППЦ какой то :( в хексе забил весь логический диск 00, все 2 гига. Короче микруха чистая стала. Снял нанд со стика считал на Тритоне с 0х000000 по 0х000FFF посмотрел хекс и нефига не понял ....в начале каждой страницы какой то код....мож это серийник для надёжности в начале каджой страницы пишут? Но есть и интересные места ...но один фиг там каша

Boryan добавил 08-04-2010 в 21:59
хекс лежит тутhttp://slil.ru/28929682 дальше читать нет смысла попробовал кусками там везде ff

ППЦ какой то в хексе забил весь логический диск 00, все 2 гига. Короче микруха чистая стала. Снял нанд со стика считал на Тритоне с 0х000000 по 0х000FFF посмотрел хекс и нефига не понял ....в начале каждой страницы какой то код....мож это серийник для надёжности в начале каджой страницы пишут? Но есть и интересные места ...но один фиг там каша
Та же ж... что и у меня FF чередуются с непонятными данными скорее всего нужно читать весь дамп :(

блин мож весь этот мусор от того что флеха ранее записана была и затем 00 в неё я записал.....плохо то что в других стиках и в девственном оказались нанды не самсунг а Hynix....а тритон их не может прочитать

По смещениям 0x0004DDC0 и 0x0046DDC0 находятся идентичные блоки размером 2112 байт. Интересно если считать с NAND'а больше инфы будут ли встречаться эти же блоки...?

Заполнять кодом 00, а также FF ,55 или AA не показательно, такие области могли уже быть в нанде изначально, а если записать кодом типа 0x5A (буква 'Z'), то области с 'ZZZZZZZZZZZZZZZZ', скорее всего будут записаны вами.

GVr добавил 09-04-2010 в 00:49
Навскидку:
00000200 00 27 00 00 FF FF 96 8B D0 27 9D FA 39 82 E3 51
00000410 00 27 00 00 FF FF 96 8B D0 27 9D FA 39 82 E3 51
00000620 00 27 00 00 FF FF 96 8B D0 27 9D FA 39 82 E3 51

16 байт 00 27 00 00 FF FF 96 8B D0 27 9D FA 39 82 E3 51 являются служебными, типа разделитель секторов (каждые 512 байт), а идут с периодом 528(512+16), а не 512 адресов и для полезных данных (которые видит winhex) должны быть пропущены.
Программы, анализирующие дампы нандов для извлечения данных это и делают.
В данном случае опытному программеру исключить эти служебные данные как два пальца...

Правильно, к каждому сектору 512 байт, прикрепляется дополнительно 16 байт. Эти 16 байт, насколько я слышал, чексумма каждого сектора.

И правильно, в Хексе виден этот служебный код, который нужно отбрасывать, чтобы получить чистый код.
Это вроде как раз то, о чём я писал здесь (http://www.pspx.ru/forum/showthread.php?t=83611), как об "избыточном коде".

ErikPshat, Мне зызу притащили в ремонт на замену привода UMD...псевдоним в зызе ErikPshat...случаем не твоя? ребят спецы по хексам гляньте ещё архивчик http://slil.ru/28933173....это 37% дампа от нанда 2 гигового....Тритон их 24 часа снимал....:) есно по COM порту не разгонишься....больше я не вытерпел ждать :) Предыдущие дампы были с ошибками...потому как я выставил большую скорость COM порта....а этот дамп верный. Посмотрите мож найдёте реально этот хитрый MSID......вот такой он должен быть SN: FF435622
ID: 204D5350534E593000784400B9FF0000

Boryan добавил 09-04-2010 в 16:51
значит зыза поклонника ErikPshatа :)

Интересно, а ни как нельзя получить доступ напрямую к внутренней памяти ПСП?
Просто выпаяв микросхему памяти из псп, и впаяв её в в программатор и таким образом подключить её к компьютеру. Знаю в старых платах стояла k5E5658ACM-D060, а какая в новых платах используется мне не известно, возможно она уже интегрирована в cpu.

Интересно, а ни как нельзя получить доступ напрямую к внутренней памяти ПСП?
Просто выпаяв микросхему памяти из псп, и впаяв её в в программатор и таким образом подключить её к компьютеру
А что это нам даст. Впринципи то можна...

dimon-dlx добавил 09-04-2010 в 18:20
Боря сделай поиск в свойм дампе по слову msid! Что было там записано, на этой флешке? :)

псевдоним в зызе ErikPshat...случаем не твоя?Нет, не моя =) Таких в инете пруд-пруди.
Просто когда-то мой ФАК по всему инету разнесли.
Так вот, кто этим ФАК-ом (http://tinyurl.com/y3t2ms2) пользовался, у того псевдоним высвечивался мой :D

dimon-dlx, на ней была записана обычная пандора ну и всякие игрухи исошники. Странно то что в винхексе забивал всё 00 видать не везде винхекс доступ имеет :) Странно что вообще блоки FF попадаются....ведь по идее там должны быть 00

Boryan добавил 09-04-2010 в 19:11
дерьма всякого осталось на флехе а того что нужно и нет...

А что это нам даст. Впринципи то можна...

Это даст возможность даунгрейдить прошивку psp :)

Это даст возможность даунгрейдить прошивку psp :)

Через Nand програматор??? Это не практично и ресурсоемко... В добавок боюсь если слить уже установленную прошивку с чужого PSP она не будет работать на другой, так как насколько я понял из обьяснений Ерика и других, файлы prx подписуются консолью собственным ключём...
Или я не понял что ты конкретно имееш в виду...

Wesbam,Ты далёк от истины :) Во первых, в слимках вся память какая есть, и плюс оперативка, всё сидит в одном корпусе ЦП, и добраться туда не реально.....да и зачем это? Чего ты оттуда сдампишь?

Boryan добавил 10-04-2010 в 12:30
Блин башка кругом идёт от этих нандов .....вот ещё кое что полезное нашёл из утилит http://simvsl.com/index.php?newsid=5644 вот статейка о поддельных флехах http://people.overclockers.ru/TiN/articles

dimon-dlx Ты все правильно понял.

Эх жаль, раз флешь сидит в проце об этом можно забыть.
А то я уже губу раскатал :)

Ни у кого нет фоток мат плат, в хорошем качестве?
Интересуют фото плат TA88V3 и TA90.
Искал в сети да ничего не находил.

Ни у кого нет фоток мат плат, в хорошем качестве?
Интересуют фото плат TA88V3 и TA90.
Искал в сети да ничего не находил.

Могу сфоткать и выложить TA88v3
Кстати могу сказать что Nand чип всё таки не на проце, хотя, Ерик, такое возможно и применяется в моб тел довольно часто. Ничего фантастического, Паяется сначало проц, нижний слой, на него сверху флешка :) Всё выглядит цивильно и похоже на двух-этажный процессор...

ребят я занимаюсь ремонтом зызок и знаю их отлично изнути ....нанд в слимках сидит именно в одном корпусе с ЦП как и оперативка ....и ещё они очень дохлые....стит слегка перегреть ЦП при реболле и звиздец нанду и оперативке...причём зыза стартует и на первый взгляд вроде работает....но ни одна игра далее заставки и белого экрана не идёт...

Жаль.
Я подозревал что это так, но надеялся на лучшее.
Спасибо за ответы.

а на чего ты надеялся? Flash 0,1,2,3 ты можешь считать из рекавери меню ....только вот непонятно, чего ты там делать собрался? Ты хоть для начала ...и что бы просто так не флудить ради флуда... поизучай Зызу поглубже и узнай чего у неё во флешке лежит....а потом мечтай :) Тут в чистом нанде от стика ,не фига не разберётся ни кто, а ты хочешь во нанд зызы залезть....да ещё в нанд напрошивайки ....уж там ты точно ни чего не сделаешь...ну если только настройки, да иконки изменишь....ну шрифты поменяешь...ну или брикнешь её в итоге...

Boryan добавил 13-04-2010 в 03:19
ВОТ ОНА!!!!!Попалась сцуко....сидела во втором чипе (нанд двухчиповый) в самом конце любуйтесь....http://slil.ru/28948888 только отредактировал я дамп под нужную мне инфу и решил обратно залить.....программатор попросил стереть нанд....стёр ...а не фига не записал....пробую залить родной хекс...таже фигня....одни FFFF. Ребят в чём дело....вроде как такие микрухи блоками только можно писать...ну или как там....страницами....мож я не правильные адреса выбрал? Я читал второй чип с адреса 0х07FFC0 по 0х07FFFF.....ну есно и писал обратно по этим адресам .....где траблы? вот что читала с этой карты зыза....
SN: FF43 5622
ID: 204D 5350 534E 5930 0078 4400 B9FF 0000 и это легко найти в данном хексе

Boryan, То есть, предположительно и теоретически можно подделать msid на любом стике?

можно ли на любом ...не уверен :) С оригиналами не копался..а вот на китайском клоне может и возможно....но сложно....дело в том, что помимо изменения данных MSID изменится и контрольная сумма блока....а для контроллера стика это будет уже неисправный блок....нужно будет ещё в служебном заголовке блока изменить и данные о контрольной сумме ....что бы контроллре думал что это он сам поменял MSID....вот как то так наверное это нужно делать...я пока точно не знаю...в этом я пока не спец....А что скажут спецы?

Boryan, можешь снять такой же дамп с другой карты с известным msid? Желательно отформатированой.

Эрик, Чел, здорово! Всем привет, я тут с дружественного сайта подтесался.
Имею одно предложение для имеющих дамп той-самой-оф.пандоры. Говорите, при загрузке с такой флэшки консоль перезагружается через 15+ секунд? А есть у кого ком-шнур с псп в комп, чтобы наглядно понюхать, что там творится?
Немного предысловия. Последний раз, тема со сниффом ПСП через ком-порт рассматривалась аж в лохматом 2006 году, то есть до раскрытия Пандоры, и тогда дело ограничилось эмуляцией гарнитурного пульта (через телнет), клавиатурой и.т.д. Только вот присутствовали и там некоторые... эммм... темные пятна в командах и запросах. На данный момент достоверно известно следующее: ком-порт активируется сразу при включении консоли и в этот момент представляет собой чисто физический интерфейс обмена данными (кое-какие данные действительно идут). При загрузке пршивки уже подгружаются библиотеки, интерпретирующие порт как надо конкретному приложению, добавляя сему процессу логическую прикладную структуру. Прошу меня простить, если спутал терминологию - сказывается недостаток опыта. Но, как идею - не отметайте, ибо мало-ли где собака может быть зарыта. С уважением ко всем дискутирующим, Ryu с pspfaqs.ru.

Boryan, Писать скорее всего надо весь чип :( Так же проверь линию WP. Может с ней проблемы... Стик китайский?

dimon-dlx добавил 13-04-2010 в 16:51
Evolret, Возможно найти схему на этот кабель? Отладка при загрузке мне извесна и многое действительно может показать...

dimon-dlx, да нет дело не в WP, дело в спецификации на микруху K9WGA08U1M....и в программаторе. Короче микруху эту можно стирать и программировать только блоками.....а я лох в этих делах...в смысле структуры нанда.....с какого адреса и по какой мне нужно работать я точно не знаю......я выше писал с какого адреса и по какой я читал и писал соответственно ....просто я не попал в размер блока наверное потому микруха и не пишется. Вот ссылка http://slil.ru/28952491 на даташит этой микрухи. Ребят, кто шарит в структурах нанда, подскажите правильно, с какого и по какой адрес читать и писать нанд? Как правильно отредактировать дамп ,и где и как изменить заголовок под новую контрольную сумму, что бы контроллер признал этот блок исправным.

Нашел много инфы для разработчиков по Memory Stick'ам вдруг пригодится http://slil.ru/28952521

Парни, вот схема корда:
http://nil.rpc1.org/psp/pics/diagram.png
А вот и распиновка порта в консоли:
Well after much research i can confirm the following pi-out for a PSP SLIM remote connector
1 2 3 4 5 6
o

7 8 9 10 11 12

LOOKING AT THE PSP REMOTE PLUG FROM THE TOP, REMOVED FROM PSP,

1) rx
2) +vs ( this behaves as a psp phat, ie see all other threads for sce remote device power behaviour )
3) Cable detect input ( 42k to gnd= component cable present )
4) remote detect line ( cts )
5) Pb
6) Agnd
7) Mic input
8) Tx
9) Dgnd ( Agnd in Comp Cable mode )
10 ) Y
11) Agnd
12) Pr
Вот, как-то так. Нужные в данном случае, как Вы многие знаете - rx, tx, Agnd, cts. питание придется подавать самостоятельно, 2,5В, ибо у слимок питание поменьше.
Если кому надо, вот ссылка на источник: http://nil.rpc1.org/psp/remote.html

Evolret, Братишка ты конечно извени ....но зачем уводить тему в сторону? Тут уже работают люди по реальной теме...и твои идеи здесь пока не к чему. Оно спасибо конечно..в будущем может и пригодиться...но я уже несколько постов реально задаю вопросы и мне нужны ответы на них..... Я одобряю твоё желание помочь, но для начала не мешало бы изучить эту ветку :) Зачем ,и чего снифить, если на данном этапе всё упирается в MSID карты и IPL заставляет CPU использовать этот ключик для декрипта prx.... Мы пытаемся изменить MSID на стике и сейчас вся проблемма именно в этом .....если есть знания по структурам NAND, то лучше помоги этими знаниями.
ЗЫ А потом не путайте PSP 1000 и 2000 серий и уж тем более на 88 CPU....это абсолютно разные консоли.

Boryan, Если честно, то мысль в теме плавно перешла от невозможности запустить пандора образ из СЦ на других картах, к другой мысли, о том, как подделать msid на карте памяти.
Кстати, я запутался. В какое время мы все пришли к выводу, что образ пандоры не работает из-за неправильного msid?

может мой пост не в тему будет, т.к. в хаке не силен. Но точно знаю, что хак по смене Volume ID карты на нужный есть (100% работает для SD карт и обычных USB-flash). Сам менял с помощью одного батника, который где-то откопал. Шел в комплекте с одной из версия The Bat Voyager v.4 (там именно привязка регистрации по ID флешки шла). Возможно он и для MS покатит.


PS. похоже ошибся - сейчас посмотрел - меняет 8-значный номер, а это по ходу не ID, a SN

Boryan, ну знаешь-ли... Ты разве можешь видеть, что творится в консоли во время загрузки с такой карты? Разве можешь видеть, чего не хватает и что считывается? Нет. Все, что было сказано выше - эмпирика и логические выводы. А я хочу, чтобы у тебя был инструмент, которым ты можешь непосредственно отследить ход загрузки, процесс проверки IPL и все прочее. Если тебе не надо - ну, кому-то другому пригодится.
P.S. - Мы здесь не буки. Знал-бы я ответы на твои вопросы - ответил бы уже давно...

Evolret, Он же объяснил, что нельзя подобраться к нанду из-за того, что он сопряжен с процессором, и следовательно нельзя отследить ход проверки ipl.

chel12, елки-палки, да я ничего не утверждаю. Работы, чтобы сделать такой хвост - пол-часа от силы. А пользы может быть очень много. Никого не заставляю, никому не навязываю. Надо будет - сделают и посмотрят.
chel12, ты сам понял вообще, про что я речь веду?

Немного предысловия. Последний раз, тема со сниффом ПСП через ком-порт рассматривалась аж в лохматом 2006 году, то есть до раскрытия Пандоры, и тогда дело ограничилось эмуляцией гарнитурного пульта (через телнет), клавиатурой и.т.д. Только вот присутствовали и там некоторые... эммм... темные пятна в командах и запросах. На данный момент достоверно известно следующее: ком-порт активируется сразу при включении консоли и в этот момент представляет собой чисто физический интерфейс обмена данными (кое-какие данные действительно идут). При загрузке пршивки уже подгружаются библиотеки, интерпретирующие порт как надо конкретному приложению, добавляя сему процессу логическую прикладную структуру.
Да я помню тоже было такое. Когда на первых порах ломали прошивки, этим способом пользовались. Так что этот вариант тоже откидывать не стоит.

Через порт гарнитуры есть довольно секретные функции. Взять даже тот-же датчик наклона.

Боря, в дампе флехи сдвиг на MSID... По идее инфа о размере должна быть после MSID. Нехорошо это как то. При записи попасть будет сложнее. Нельзя ли полностью её перешить? и это случайность что ссылка на дамп оканчивается на 8888?

Alex14435, что-то я не понял, что куда сдвинуто? В дампе вроде все корректно.
Boryan, Сейчас пытаюсь разобраться с докой - писать нужно сразу всю страницу, т.е. 2К + 64 байт, Но мне пока не понятно как там на сектора все это дело делится. Кстати удавалось ли хоть что-то с помощью программатора записать или только читал?
У тебя точно Самсунговский чип?

В смысле начинается не с начала строки... И расположение не такое как в дампе MSID прогой. Могут быть проблемы с подменой

Alex14435, а чего она должна быть выровнена? Там записана какая-то структура служебных данных в том числе и msid. Перед msid в этой структуре были какие-то данные меньше 16 байт, вот она и не выровнена. Структура наверняка кратна 16 и пишется целиком, вот и все. Прогу я не смотрел еще, но там данные насколько я понимаю получаются через контроллер и необязательно структура служебных данных вычитывается "как есть".

Klerikus, С докой на микруху я уже разобрался ....работать с ней можно только блоками в коих 64 страницы. Программатор именно так и работает, блоками пишет и блоками читает. В нём и в настройках адресов начала и конца записи/чтения я могу минимум выставить только размер блока. Так что тут всё нормально. Переписать MSID уже не вопрос....вопрос в том, что по даташиту на эту микруху в странице 4 блока по 512 байт+16 байт служебной инфы и контрольная сумма этой страницы. Выглядит это так: 512+512+512+512+16+16+16+16 то есть в начале 4 блока по 512 а далее 4 блока по 16 байт....но это всё по даташиту....а в реале мы имеем структуру отличную от рекомендуемой 512+16+512+16+512+16+512+16....странно что многие 16 байт блоки похожи как близнецы.....и ещё после нескольких страниц может быть блок большого размера, вообще без опознавательных признаков и этих 16 байт в конце....Что это за блоки? Они все заполнены кодом FF....это что резервные блоки? Получается что вообще в этой флехе мешанина какая то....Мало того при смене редактировании MSID во флехе нужно заново подсчитать новую контрольную сумму и вписать её ...но вопрос куда в какие 16 байт....те что выше или ниже.....так как нарушена структура я не пойму какие 16 байт несут инфу о тех 512 байт блоке ...который под ними или над ними? И опять же где в этих 16 байтах сидит инфа о контрольной сумме?

Boryan добавил 14-04-2010 в 20:21
AVP-720, Кинь ссылку на прогу ...штука нужная...пригодиться.

Boryan добавил 14-04-2010 в 20:25
Вчера попробовал тупо изменил MSID и SN и залил обратно в нанд...прилепил его в стик ...ну и есно что и следовало ожидать...контроллер стика заметил не соответствие контрольной суммы той страницы где я ковырялся....и есно закрыл доступ к нанду. Короче флеха компом видется ..буква ей присваивается...но сделать с ней ни чего нельзя....Зыза её вообще не видит...Буду дальше ковырять...:)Нужно контрольную сумму менять на правильную...

Boryan добавил 14-04-2010 в 20:32
Evolret, да суть не в том что можно.....все хотят халявы....вкладываться в это дело ни кто не хочет....и уж тем более ковырять свою зызу ....Ты посмотри, кто тут реально занимается и пошёл на трату денег? Так пару человек рискнули....ну про себя я промолчу....сколько бабок уже влетело только в одни стики....не одна новая зыза...

...но вопрос куда в какие 16 байт....те что выше или ниже.....так как нарушена структура я не пойму какие 16 байт несут инфу о тех 512 байт блоке ...который под ними или над ними? И опять же где в этих 16 байтах сидит инфа о контрольной сумме?

ну это же очевидно, после блока служебная инфа и чексумма. как она считается сейчас попробую понять

чексумма 2 байта или больше?

чексумма 2 байта или больше?

ну раз служебной инфы там 16 байт, то явно больше 2х байт сумма. там может быть хитрая сумма.

а как узнать это? Мужики кто в поиске даташитов силиён....нужны даташиты на нанды Hynix HY27UV08AG5M и её аналог фирмы VDATA VD102P3PC53-L5.....блин не могу найти ....нанд Самсунговский сдох ..осталось дофига стиков именно с вышеназванными нандами

а как узнать это? Мужики кто в поиске даташитов силиён....нужны даташиты на нанды Hynix HY27UV08AG5M и её аналог фирмы VDATA VD102P3PC53-L5.....блин не могу найти ....нанд Самсунговский сдох ..осталось дофига стиков именно с вышеназванными нандами

ну фиг знает как, сидеть, смотреть и думать надо.. я пробую..
а вот что сдох - плохо. (а чего сдох?) эт мы так если будем сначала искать алгоритм вычисления суммы, а потом они будут дохнуть, и заново искать для других - нехорошо..

сдох потому что я лох :) при прошивке нанда прогер попросил стереть микруху, есно не всю, а тот блок с которым я работал....ну я разрешил...он и затёр FF...и теперь некоторые ячейки память так и остались FF, он туда записать ни чего не может....так мало того, я не понимаю.. пишу в нанд, а затем считываю с него то что записал....сраниваю с исходником....всё смещено на 4 байта....ХЗ почему....то ли прогер чудит..толи сама микруха уже умирает....И она такая одна единственная....а вот других дофига....и непонятка с их распиновкой....сравниваю стик на котором нанд самсунга сидел с остальными, у остальных разводка дорожек под нанд одинаковая....а у самсунга своя....и она стандартаная для нандов в таком корпусе....а вот остальные видать кривые...

Чексумму контроллер должен считать, и скорее всего одинаково для любых нандов.
Чтобы определить "где в этих 16 байтах сидит инфа о контрольной сумме" нужен дамп со случайными данными(не только 00 или FF).

Всегда считал что ид нанда не меняется, типа на заводе
втуливают ид для работы в системах с контроллером автоматически
выставляющим режимы. Тупо перелить мсид с гигового нанда в
двух-гиговый, например, однозначно приведет к неработоспосбности.
Для примера, возмите, планку оперативной памяти с пс, там есть
еепромка которая и определяет всё. Если в сервисстике и есть хитрая
инфа, то не более одного байта, а может и нескольких битов. Надо
сравнивать стикиды с нескольких стиков (по объему и архитектуре
совпадоющим с сервисным).

так я дамп выкладывал где и MSID и SN прописан и другая инфа про стик

Boryan добавил 14-04-2010 в 23:14
lport3, Как видишь, ты ошибался как и многие.....я тож ранее так думал....и многие твердили, что серийник записан в контроллере намертво в одноразовую флеху....оказалось не так :) нас жестоко обманывали...

Boryan добавил 14-04-2010 в 23:18
Boryan, Если честно, то мысль в теме плавно перешла от невозможности запустить пандора образ из СЦ на других картах, к другой мысли, о том, как подделать msid на карте памяти.
Кстати, я запутался. В какое время мы все пришли к выводу, что образ пандоры не работает из-за неправильного msid?
prx закриптованны с использованием MSID....когда мэтьюху дали MSID от сервисного, он декриптил с помощью него сервисные prx.....тут и так думаю ясно ...

Боря, ты не понял, переписать стикид не фокус,
главное знать где в нем нанд-ресы а где продуктор-ид,
который возможно и отличает сервисный стик.

prx закриптованны с использованием MSID....когда мэтьюху дали MSID от сервисного, он декриптил с помощью него сервисные prx.....тут и так думаю ясно ...
стик ид не маленький, каким куском декриптили..))
кодов запуска от першингов там никто не наковырял?..))

lport3, Фома неверующий :) вот тебе данные стика SN: 0024732B
ID: 204D53505344B30001CD387000000000.....этого достаточно? :)
каким куском декриптили ..это вопрос к мэтьюху...

Boryan добавил 14-04-2010 в 23:46
вот ещё несколько для анализа :)
204D5350534E59300079A800056F0000
204D5350534E5930006000EF95D70000
204D5350534E593000788884C6AA0000
204D5350534E59300078490000000001
204D53505344B30001CD387000000000

Boryan, Так, хорошо, теперь я верю в то, что msid нужен.
Стоп, так получается он раскриптовал prx с использованием msid! Почему же просто не закриптовать с помощью другого msid? Емае зачем такие сложности с подменой msid? когда можно проще простого взять и закрптовать с помощью оригинального msid другой MS PRO DUO?

chel12, Друг ты далёк от истины :) для того что бы закриптовать нужно знать алгоритм....а его ни кто не знает.....задай поиском на этом форуме "кирк" и поймёшь что это такое :) вот с помощью кирка делают декрипт....кирк -это чёрный ящик...модуль для декриптовки...что в нём и во какому алгоритму он работает ...ни кто не знает....

Boryan, Вопрос, а не быстрее ли раскрыть алгоритм кирка, чем ломать голову над подменой msid? :o

сдох потому что я лох :) при прошивке нанда прогер попросил стереть микруху, есно не всю, а тот блок с которым я работал....ну я разрешил...он и затёр FF...и теперь некоторые ячейки память так и остались FF, он туда записать ни чего не может....так мало того, я не понимаю.. пишу в нанд, а затем считываю с него то что записал....сраниваю с исходником....всё смещено на 4 байта....

ну вот можно на ней пока экспериментировать научиться туда писать правильно (в другие блоки).. я уж думал она совсем физически сдохла..

pronvit добавил 15-04-2010 в 00:19
Boryan, Вопрос, а не быстрее ли раскрыть алгоритм кирка, чем ломать голову над подменой msid? :o

ну так вперед) все только за будут, потому что это решит ВСЕ проблемы.

pronvit добавил 15-04-2010 в 00:22
Чексумму контроллер должен считать, и скорее всего одинаково для любых нандов.

для нандов для всех одинаково, а вот контроллеры разные могут по-разному. а так как если в другой флешке будет другой нанд, то и контроллер скорее всего тоже, то...

Чтобы определить "где в этих 16 байтах сидит инфа о контрольной сумме" нужен дамп со случайными данными(не только 00 или FF).

не так просто. там были блоки с одинаковыми данными, но разными этими 16 байтами. единственное объяснение, которое я могу придумать, это что первые байты это инфо о блоке типа адреса или что-то такое, а сумма считается от самого блока и этих данных тоже. но с другой стороны там есть блоки, в которых и данные и эти 16 байт одинаковые, значит, там не адрес...

Скиньте пару prx encr.,decr. и msid желательно,
попробую пробрутить парой криптов. Если размер не
изменяется, не должно быть сложно. Файлы желательно
маленькие jigkick_bridge например.
В программе edecript что за крипт применяется
известно?

Скиньте пару prx encr.,decr. и msid желательно,
попробую пробрутить парой криптов. Если размер не
изменяется, не должно быть сложно. Файлы желательно
маленькие jigkick_bridge например.
В программе edecript что за крипт применяется
известно?

да ничего не получится. это все через kirk идет, а чего он внутри делает - никада не пробрутишь и не догадаешься..

не так просто. там были блоки с одинаковыми данными, но разными этими 16 байтами. единственное объяснение, которое я могу придумать, это что первые байты это инфо о блоке типа адреса или что-то такое, а сумма считается от самого блока и этих данных тоже. но с другой стороны там есть блоки, в которых и данные и эти 16 байт одинаковые, значит, там не адрес...

В принципе ИМХО правильное предположение.
Пример расчета этих 16 байт есть здесь (http://www.samsung.com/global/business/semiconductor/products/flash/downloads/applicationnote/ecc_algorithm_for_web_512b.pdf). У нас LSN тоже имеет место быть, но структура иная и RESERVED области тоже юзаются.

вопрос в том, что по даташиту на эту микруху в странице 4 блока по 512 байт+16 байт служебной инфы и контрольная сумма этой страницы. Выглядит это так: 512+512+512+512+16+16+16+16 то есть в начале 4 блока по 512 а далее 4 блока по 16 байт....но это всё по даташиту....а в реале мы имеем структуру отличную от рекомендуемой 512+16+512+16+512+16+512+16

Этот момент тоже не понятен, хотя на 18 стр.: " To make EDC valid, the page program operation
should be performed on either whole page(2112byte) or sector(528byte)." ...
A 2,112-byte page is composed of 4 sectors of 528-byte and each 528-byte sector is composed of 512-byte main area and 16-byte
spare area.

и дальше:

Table 2. Definition of the 528-Byte Sector

Т.е. там есть понятие сектор 512 + 16. Возможно считываются данные посекторно?

странно что многие 16 байт блоки похожи как близнецы.....

Например один логический сектор(LSN термин опять же отсюда (http://www.samsung.com/global/business/semiconductor/products/flash/downloads/applicationnote/ecc_algorithm_for_web_512b.pdf)) и одинаковые данные - результат одинаковые контрольные суммы.

и ещё после нескольких страниц может быть блок большого размера, вообще без опознавательных признаков и этих 16 байт в конце....Что это за блоки? Они все заполнены кодом FF....это что резервные блоки?

Неиспользуемые страницы. В них ничего не писали - соответственно и служебные 16 байт тоже "чистые". Возможно и резервные, т.к. насколько я понял в NANDе допускаются "бэды", и для сохранения объема должен быть какой-то резерв. С завода чип скорее всего идет весь FF-ками заполненый, только в каком-то блоке какая-то служебная инфа записана (msid и др.).


По поводу Hynix:
Вот (http://www.hynix.com/datasheet/pdf/flash/HY27UH08AG%285_D%29M%20%28Rev0.6%29.pdf) даташит на микруху HY27UH08AG5M.
Отличия от твоей: HY27UH08AG5M - SLC, HY27UF08AG5M - MLC. Не думаю, что для конечного пользователя есть какие-то отличия в использовании (кроме цены). Тут (http://www.gaw.ru/html.cgi/txt/publ/memory/nand.htm) даже кое-что на русском по NANDу.

Тааак, Вас уже не туда понесло.
Тему закрываем ввиду безперспективности, по словам самого автора, работ в данном направлении.
Если у Вас появятся свежие идеи, сообщайте в ЛС - откроем)

Итак, более года тема провела в небытие под грифом "Секретно", ну вот теперь час Х настал.

Тема выложена из скрытого раздела в паблик.

Подробная инструкция по изготовлению сервисного комплекта для PSP-200X ТА-088v3 опубликована в следующей теме:

Pandora (unbricker/downgrader) for the TA88v3 (http://www.pspx.ru/forum/showthread.php?t=92433)



Хронология данной темы сохранена и немного почищена от флуда.
Закрыто.