Boryan, поздравляю с удачным финалом такой жуткой истории. Сам в детстве палец до кости прожег электричеством.
А батарейку-то конеш сломаем) все что сделано можно сломать))

Мда... А еще говорят что Москва лидирует по уровню организации больниц. Борис, это твоя лучшая работа :pleasantry:

Boryan
Поздравляю. Собственно думаю все тут переживали за твоя палец!
А насчёт наших больниц всё почти так и есть. Если у тебя есть знакомые в больницах или ещё лучше в минздраве то, у тебя всё хорошо, если нет то, тебя доить будут все подряд.
Сам так же ложился в больницу, пока через 10 рук знакомого не нашли ничего делать не хотели то, аппарат сломан , или врача нет.
Собственно с пальцем ГЦ и скорейшего полного воздаровления, надеюсь чувствительность полностью восстановится или уже восстановилась :)

Мда... А еще говорят что Москва лидирует по уровню организации больниц. Борис, это твоя лучшая работа :pleasantry:
Бессовестно врут! В Москве самые плохие врачи!!!Сюда едут все отбросы с регионов в надежде нарубить капусты. А если у врача основная цель заработать бабла -это уже не врач! На первом месте должен быть человек которого ты лечишь. Что ни говори а в Москве у них и официальная зарплата не хилая....но видать не хватает...на мерседесы. Это у меня не первый случай с врачами. Банальный аппендицит в 2002 г, так вырезали что выписали через 2 месяца....и потом полтора года не вылезал из под ножа ( уже своего знакомого) хирурга...только он и спас. В итоге в брюхо вшили сетку из пластика ...вот уже 8 лет живу с ней :). А у приятеля в Смоленской обл. во время отдыха там... прободная язва желудка...там же и прооперировали ..через 4 дня как огурчик был :)

Перечитал тему, хочу присоединится. Скиньте схему к - line ту с которой все работают

segacool, качай и присоеденяйся http://zalil.ru/29874735

в ниличии только брикнутая 3004 подойдет? Схему скачал завтра соберу и попробую спс., на фото 1 провод RX второй TX а третий? +5v?

+3.3в и земля..схему смотри..там всё ясно нарисованно

Нарисовал схему подключения к кабелю, так думаю проще, ну во всяком случае мне.

http://s009.radikal.ru/i309/1010/c8/2844d60830ba.jpg

segacool, 3.3в бери с 4 ноги пэлки...

Собрал схему, не пойму как подключать. подключаю минус на минус зызы а к-лайн к среднему контакту, не раб и пиха не вкл при таком подключении, как правильно?
_______________________________________________________________________________
Как проверить к лайн?

segacool, чего то напутал проверяй

Монтаж правильный,может микруха дохлая, русская точно подойдет? как правильно соединятся?

segacool добавил 28-10-2010 в 02-55
Видимо не судьба. Сегодня взял другую микруху все тоже самое, соеденил просто рх на средний контакт тоже не читает ничего, пробовал другой преобразователь тоже ничего, может у меня зыза не раб, с батареи вообще никак не стартует, а с зарядки просто горит лампочка зеленая

segacool, Если двигаешь рычажок включения зызы при брикнутой консоле должна зажигаться зелёная лампочка. Если горит оранж лапочка это говорит о процессе заряда ..значит зыза уже договорилась с батарейкой...для чтения логов достаточно подключить Rx PL2303 к среднему контакту батарейки....читать логи прогой реалтерм...настройки его не помню...Прога псп бат работает только с полным клайном....короче разбирайся сам...если есть голова то разобраться легко...у меня физически нет времени каждому сюда вновь пришедшему объясять что и как делать.Вся инфа есть полностью в этой ветке...читайте всё внимательно и будет вам щастье :) А потом вы хотите повторить путь который все уже давно прошли и логов тут выложено достаточно для полного анализа. Зачем тебе это ..если это уже тут всё лежит? Типа увидеть собственными глазами как снимается лог? Что тебе это даст?Ты думаешь что то новое там откроешь? Уже всё открыто полностью и все команды вычисленны. Весь процесс обмена разобран по молекулам:)

Boryan добавил 28-10-2010 в 04-54
segacool, насчёт Ла7 нашей ..походу в нете лежит не правильная её распиновка ..проверь по справочникам или даташиту...

процесс разобран, а толк есть? если бы у кого нибудь получилось тогда смысла нет.

segacool, толк есть, точнее будет когда будет найден ключ шифрования чтобы можно было эти запросы подделать. Зато, когда ключ будет найден, уже не надо будет разбираться в принципе общения сискона и контроллера батарейки, а уже сразу можно будет сделать эмулятор с возможностью введения зызы в сервисный режим.

x2-Dx, правильно мыслишь :)

да это понятно, но ключ как вычислить? чип нужно декапсулировать и засвечивать лок бит.

segacool, Если бы тему почитал, хотя бы последние несколько страниц, то знал бы что уже ведутся работы в этом направлениию

в чипах 501 и 102 используемых в батарейках ..есть возможность верефикации...вот этим методом и пытаемся вытащить прошиву..

segacool, толк есть, точнее будет когда будет найден ключ шифрования чтобы можно было эти запросы подделать. Зато, когда ключ будет найден, уже не надо будет разбираться в принципе общения сискона и контроллера батарейки, а уже сразу можно будет сделать эмулятор с возможностью введения зызы в сервисный режим.

как будто кто-то знает, каким образом она вводится в сервисный режим..

pronvit, я знаю как та90 и как та93 вводятся ..кстати по разному...но это пока мой секрет ;)

но это пока мой секрет
вот поэтому мы и занимаемся тем, что другие уже делали... и еще много людей будут заниматься повторением того, что другие уже сделали... ведь люди не хотят делиться информацией просто так...
я подозреваю, что различие заключается только в номерах ключей и количестве команд...

hax0r, не в том дело что хотят или не хотят ..просто это нельзя светить в сетке...по известным причинам...потому что за нами следят ;). тем более что я уже писал в этой ветке что ТА90 переводится серийником FF и известной командой 80D9.....а ТА93 ...8004 и 8097...и ещё 16 запросом ...Читать нужно внимательней...Не понимаю почему всем лень читать? В этой ветке столько ценной инфы что больше ни где её нет во всей сетке..и людям лень читать...

никто за вами не следит) можно подумать, сони больше заняться нечем) PSP все равно уже свое отжила)
да мы то читаем, читаем) я и сказал про разные команды и их количество)
ну а чтоб в сетке не светить есть свои способы) самый примитивный - архив с паролем. никто в мире пока не смог его взломать.

hax0r добавил 28-10-2010 в 11-40
да, кстати, наконец-то раздобыл сегодня кабель на PL-2303, только там почему-то отсутствует DC-DC преобразователь с обвязкой... ну да ладно, думаю, ничего страшного. и сразу скажу, что кабель мне нужен не для повторения ваших результатов) просто хочу работать с конкретным девайсом и проверять на нем свои идей, так сказать, не отходя от кассы)

Мужики! Скоро мы будем иметь дамп прошивки контроллера...возможно целиком -если метод верефикации прокатит. Но есть второй вариант....правда за него придётся заплатить хорошенькую сумму...но суть не в этом..Главное что он реальный ..но при этом методе начальная часть прошивки порядка 700 байт потеряется..Других вариантов нету. В принципе эти 700 байт не несут важной инфы...там начальная инициализация контроллера. Ну а дальше нужно будет сделать реверсинг этого дампа..найти алгоритм в нём...реализовать это всё на компе +клайн...это первый вариант. Второй вариант...восстановить..дописать потерянные байты в прошивке и добавить в неё ответы на 80D9...и залить обратно в батарейку. В итоге мы получим реальную батарейку пандоры 3000. Я чисто физически это всё не потяну..ну и знаний в этой области у меня маловато. Нет, я конечно могу и самостоятельно разобраться, подучить кое чего..мозгов хватит..но на это уйдёт много времени. Короче, кто готов реально помочь в этом деле отпишитесь сюда.

Boryan добавил 29-10-2010 в 03-32
Второй вариант вытаскивания дампа основан на дырке в нэках...Есть в них возможность записи поблочно, но для этого нужен специальный софт и программатор. Соответсвенно пишется микропрограмма которая вытащит дамп из контроллера и заливается в начало дампа...поэтому и теряются 700 байт..Я самостоятельно сделать это не осилю...да и зачем, если есть люди которые это всё уже сделали..и готовы нам помочь...но есно не за спасибо. Поэтому если дамп будет добыт этим методом то паблика не будет. Так что если у кого руки чешутся и есть желание помочь нам :) вот вам метод для экспериментов :)

Boryan, чтобы дописать ответы на 80D9 нужно в любом случае делать реверсинг и искать алгоритм. сделать реверсинг при наличии дампа не сложно, с этим я могу помочь при наличии даташита на контроллер... ассемблер-мойродной язык) а вот с аппататной частью-никак, т.к. не имею программаторов и соответствующего ПО..
Без паблика как-то уж не очень интересно получается..)

hax0r добавил 29-10-2010 в 03-57
и еще... мне кажется, программа ответов на недавно появившиеся команды (типа 80D9) основана на патентах сони от 2009 года, которые здесь выкладывались. А в качестве алгоритма шифрования используется скорей всего либо AURORA, либо CLEFIA их же разработки... единственная тонкость может заключаться в том, что эти алгоритмы могут быть немного модифицированы...

hax0r, Без паблика ..для тех кто ждёт халявы и ни чего не делает. Есно тот кто будет работать и помогать реально, тот получит дамп. Ссылки на доки по контроллерам тут выкладывали. Нам нужен 501...http://zalil.ru/29888681 качай и изучай.
PS...для этого и тащим дамп что бы понять алгоритм....а затем на его основе нужно вытащить заветный ключик из логов...но об этом пиши в личку

в принципе, если изучить досконально даташит, то можно и программатор построить... но лично мне не очень хочется все это рассчитывать, т.к. это будет очень долго и муторно... да и средств на его постройку я не найду..
так что, лучше уж дамп поковырять)

hax0r, Ну вот и ты уже сливаться начинаешь..т.к. это будет очень долго и муторно... да и средств на его постройку я не найду.....Все хотят халявы...А как ты думаешь сколько я трачу на взлом батарейки? :) скупил все возможные батарейки...даже не знаю сколько штук...и ещё дохрена чего покупал..вот теперь за дамп (если не удастся вытащить его верификацией) вывалю более 500$....И о каком паблике тут может быть речь? Так мало того я не зажимаю инфу и готов её дать но только тому кто реально будет работать....но чота поработать ни кто не хочет :( Реально помимо меня тут работают ещё 2 человека и всё!!!Вот и ты жалуешся на то что трудно....а я не жалуюсь, а просто беру и делаю...и я тоже не родственник рокфеллера...но мне это интересно..это хобби...а на любое хобби нужно тратить финансы.

Boryan, Создай счёт в яндексе, вэбмани и подобных системах чтобы форумчане могли посылать донейты на оплату дампа чипа, я тоже готов помочь материально и посильно технически.

Boryan, да я не сливаюсь. Просто, раз уж решили ковырять дамп - то давайте ковырять дамп. Даташит я изучу и помогу конечно, на сколько моих умственных способностей и знаний хватит. Для меня это тоже хобби). Предыдущий пост был к тому, что теоретически по даташиту можно собрать программатор, но это может и на год затянуться, к тому же к программатору понадобится софт, а написать я его не смогу. А ковыряние дампа-процесс куда более быстрый, тем более договорились уже так делать. Так что, я в строю и с вами на амбразуру батарейки)

x2-Dx, Я очень сомневаюсь в этом ...тут просто так поработать ни кто не хочет...а ты про деньги говоришь....не хочу связываться...потом буду последней какашкой если чего не получится...

Boryan добавил 29-10-2010 в 05-15
hax0r, Отлично! будем надеятся что так и будет.

Boryan, Создай счёт в яндексе, вэбмани и подобных системах чтобы форумчане могли посылать донейты на оплату дампа чипа, я тоже готов помочь материально и посильно технически.
Увы, на своем опыте убедился что в России признают лишь халяву. За полгода пока мои инет кошельки висели в профиле (не здесь), никто не кинул. Хотя помогал всем (~250 человек в год), человек 10 обещало кинуть. Короче, донейт в России - бесполезное дело.

AkhmedovIR, Уже утёрли ещё полгода назад :) в копировании карточки :) И тут утрём! Я никогда с дороги не сворачиваю и всегда иду до победы! Будет батарейка 3000 но чуток позже!
ЗЫ Только потом будет скучно :(...когда всё закончится..нужно будет искать чего ещё ломать :) ...

Boryan, к осени следующего года псп2 должна выйти, вот там и разгуляешься))

Ditemzy, это радует..правда в планах ещё Гошка ещё есть ...есть у меня для неё идеи интересные ;)

А ещё PSN игры с их подписями :)

Alex14435, ага именно про это....про их подписи...есть идея как их ломануть ;)а точнее есть сервисная подпись которая будет запускать любую игру из ПСН :)

Поделись мыслёй :) мож что найду, MSID ж нашел как сдампить незаметно

Boryan, В программировании не силён, но если чем смогу помочь - смело нагружайте, дамп там снять какой, правда у меня прошивайка, но более-менее под рукой есть 3000.
Спасибо вам за ваше хобби и проделанную работу, читал тему практически от корки до корки, очень захватывающе, 2 ночи не спал)
Спасибо что не лень публиковать здесь отчёты о проделанной работы и выносить обсуждение чтобы могли ознакомиться все желающие!

lport3, Глянь мыло! Ты ошибся заморочившись на верефикацию целого блока 256 байт:)

Boryan, я так и не понял, твоя идея с побайтной верификацией работает? или пока еще софтина не готова?

Идея и прога пока в разработке ...пока удалось законнектить чип нормально..но лоханулись с верефекицией не изучив до конца доки :) думали что можно верефицировать только поблочно....256байт....а это до второго пришествия не перебрали бы...а оказывается есть верефикация любого количества байт от 0 и до 256

Boryan, так ведь это в даташите и написано что верификация происходит от 0 до 256байт. А что вы писали про первые 700 байт? с какого они должны затереться? или речь шла не про верификацию?

Alex706, Нет, не про неё. Один чел преложил свои услуги ( он нашёл свою дырку в нэках) за 500$ вытащить прошиву...при его методе теряется около 700 байт в начале. Но могут и не потерятся. В принципе в них нет ни чего ценного для нас ..там настройки чипа и всё. Ещё он сослался на то что верефикацией мы ни чего не вытяним и это он проходил..но нашёл другой способ. Короче для подстарховки я ему отослал 501 чип. Вытащит -зплатим не вопрос. А пока будем сами пытаться достать.

Boryan, я конечно не программер, и вопрос может быть и глупым, но откуда вы знаете что в этих 700 байт нет важной информации. Ведь никто не снимал дамп прошивки и не знает на 100% что в этих 700 байтах

Alex706, обычно прошива в нэках начинается и 0х800 ..

Boryan добавил 30-10-2010 в 04-42
Alex706, обычно прошива в нэках начинается и 0х800 ..а за нерабочий дамп ему ни кто и не заплатит..есно сначала всё тщательно проверим

Alex706,программером быть не обязательно, нужно только знать принцип работы микроконтроллеров или процессоров.) в начале текста прошивки всегда пишут начальную конфигурацию и инициализацию контроллера, а дальше уже - то что он должен делать после инициализации.

hax0r добавил 30-10-2010 в 04-45
Boryan, опередил)

ребята хочу присоединится к вашим разработкам,и внести не много ценной информации выведонной у народного умельца.Вобшем долго общался с ним и в конце концов он мне сказал что даунгрейд и анбрик псп производится комплектом док-станция+пандор карта из офф сервиса(psp 300x),и специальная батарейки пондоры+таже магическая карточка(psp 2008 ta88v3).про двухтысячную псп больше ничего не спрашивал,речь шла в основном о трешке-он сказал что к док станции псп подключаетсявместо акб и постоянно поддержывается связь с сервером сони,про карточку шла реч что там особые ipl коды которые помогают зыз договорятся с акб пондорой и док станции,дальше он кудато ушел,но сказал что ответит еще на несколько моих вопросов,вы мне эти вопросы задавайте а я их задам ему....

dron11,
всё написанное (и даже больше) нам ДАВНО известно. Хочешь помочь - потрудись прочесть последние 3 страницы и узреть, в чём действительно нужна помощь.

да я вродебы прочитал практически все но про док станция не нашел ни слова...вы не моглибы дать ссылочку на страницу разработки волшебной карточки?

dron11,
может ещё и ключи с паролями от ВебМани, где деньги лежат?

я помойму нормально попросил дать ссылку?почему сразу таккая огрессия?

dron11,
я помойму нормально попросил дать ссылку?
Ты это серьёзно или прикалываешься?

я помойму нормально попросил дать ссылку?почему сразу таккая огрессия?

То что ты сказал, знают все, кто в "танке". Только сейчас нужно исследовать прошу нека. Прочти 3 последние страницы.

А о разработке такой карты ничего нету, и даже если есть, то никто тя в такую тему просто так не пустит. Зачем те это? Ты разработчик?

lazard добавил 03-11-2010 в 08-54
Кстати, я уже предлагал слить всю инфу в первый топик. Будет меньше глупых вопросов, и соответствено меньше гемора для администрации

lazard добавил 03-11-2010 в 09-02
dron11, кстати, а он имеет доступ к этому девайсу?

Тема про карту памяти недоступна для простых пользователей :) да и сейчас не об этом речь, мы батарейку делаем, карта давно позади

Alex14435 добавил 03-11-2010 в 09-21
Док станция это тоже не вариант, сама по себе она ничего не делает

dron11,
а что ты можешь предложить в обмен на инфу о карте? "Твои" ответы? Так они нахрен не сплющились.

кста у кого руки чешутся :) и кто умеет проги для контроллеров писать и имеет светлую голову. Есть ещё один верный (верефикация пробуемая нами пока не айс) способ вытаскивания прошивок из контроллеров NEC. Эти контроллеры позволяют стирать/записывать блоками. т.е. без затрагивания всей флешки. Это офигительная дыра при всей защищённости NEC. Программеры по контроллерам знают что основная прога начинается как правило не с нулевого адреса. Как правило с нулевого адреса стоит переход на начальный адрес программы..а после 0х002 байта как правило идёт чисто описание программы, кто автор, какие порты используюстся..и бла..бла ..фигня всякая. В нэках это обычно 0х800. Нужно написать прогу размером не более 800 байт..желательно минимальным объёмом. И залить её в чип с 0х000 адреса. Предварительно изучив все доки по чипу, задача проги вытащить на любой из портов содержимое флехи контроллера. Сделав реверсинг дампа можно будет точно уточнить с какого реального адреса начинается прога. И затем взять точно такой второй чип и в него записать прогу граббер но уже с того адреса который мы вычислили. Этой прогой прочитать ту область в чипе где первый раз сидела прога. Таким образом мы получим два хекса, первый с 0х800 адреса и до конца флехи, а второй с 0х000 по 0х800. И склеив их получип полный дамп. Но для реализации этого варианта нужно спаять простенький программатор и найти или написать прогу которая позволит стиратьи прошивать чип блоками. Известный Флашпрог от питерского товарища этого не умеет.

Тема про карту памяти недоступна для простых пользователей :) да и сейчас не об этом речь, мы батарейку делаем, карта давно позади


то-то я смотрю добрых приятелей развелось, звонят, хвастаются)... человек 5 по москве уже как сливки снимают.

то-то я смотрю добрых приятелей развелось, звонят, хвастаются)... человек 5 по москве уже как сливки снимают.

Пять?? Чот многовато...

timurmurmur, У них нет карт можешь спать спокойно! Просто они все собирают зызы и возят их в одно место ..и там их прошивают и возвращают обратно.

Boryan,
а куда дампер проши контроллера будет дамп писать?

Yoti,
Писать не обязательно. Главное выдать результат чтения прошивки на какую нибудь ногу(и), а считать с неё(их) уже не проблема.
Для примера можно воспользоваться простыми протоколами UART или I2C.
UART реализация например для AVR спокойно укладывается в 490 байт.
Так как нам полной реализации UART не нужно, то приемную часть можно вообще выкинуть и тем самым еще уменьшить размер.

Yoti, нужно писать в 501 чип ..они сейчас используются во всех батарейках кроме галимых где используется 9202 чип. Сейчас выложу все доки по 501

Boryan добавил 04-11-2010 в 02-05
aaa111, да, правильно! использовать нужно UART..по нему легче всего законектить чип...сейчас у меня 501 подключен к компу именно по этому протоколу..

Boryan добавил 04-11-2010 в 02-31
все доки по 501 чипу http://zalil.ru/29917279 там есть схема программатора и интерфейса UART.....я использовал всё тот же клайн. Вернее шнурок на PL2303...распайка такая...Tx-1я нога...Rx-5 нога....DTR-2 нога...питалово для NEC берём с внутреннего источника питания у пэлки...это либо 17, либо 4 нога. Нужно написать прогу которая по UART сможет инициализировать чип ...работать с ним поблочно ..стирать и записывать. И ещё обрабатывать инфу с чипа когда с него будем тащить дамп... Ну и написать прогу дампер для чипа ... Единственно пока под вопросом нужно узнать как снимается бит защиты. В нэках бит защиты ставится не для защиты от чтения ,а для защиты от стирания и перезаписи либо блока, блоков, всей флешки. Время не было на подробное изучение доков...но вроде как этот бит снимается программно и легко.

Подожди, получается в батарейке 501 контроллер и 501 флешка? Или писать будем в то откуда считывать (опять у меня бред получился)

Думай прежде чем писать и не будет бреда :) нет 501 это и есть всё в одном и флешка и контроллер...Блин, ну ты чего чудишь? ...Есно раз есть контроллер он наверно работает по какой то программе ..а прога эта пишется в флеху контроллера...Я же тебе советовал доки посмотреть...а то выходит что ты даже не имеешь представления малейшего что есть контроллер...

Доки то глянул мельком, посмотрел на объем и терминологию, закрыл :D
Получается мы читаем программу с флешки и следуя твоему предыдущему посту, пишем в флешку... Глюк выходит, либо там две флешки

Про запись дампа во флешь ничего не написано в посте Boryan`а, пишется во флешь только сама прога, данные же о считанном дампе выводятся на ногу...

Alex14435, ты знаешь что такое бутлоадер? Это маленькая прога которая пишется во флеху и тем самым даёт доступ к её содержимому. В качестве примера можно взять сотовые телефоны. Вот аналагичную фичу можно применить и в нэках.

Boryan добавил 05-11-2010 в 01-20
Зы флешка одна. Структура написания программ для микроконтроллеров такова. В начале как правило текстовая инфа..Типа кто и когда писал прогу, какой контроллер, назначение проги, назначение портов...и т.д и уж дальше идёт сама прога. Но это описание занимает какой то объём памяти. И есно его нужно выделить в памяти контроллера. При старте контроллера он начинает читать свою флеху с нулевого адреса и далее последовательно читая её содержимое ...выполнять прогу которая находится во флешке. Но нам нужно куда то поместить наше описание и так что бы оно не мешало. Для этого существует общее правило. В нулевом адресе пришется адрес куда нужно перескочить. Например пишем 0х100....и соответсвенно при старте контроллера он увидит в самом начале что ему нужно перепрыгнуть на 0х100 адрес и он это незамедлительно сделает пропустив при этом около 100 байт. И в итоге в нашем распоряжении есть около 100 байт для резерва и засовывания туда нашего описания. Иными словами есть область памяти которая ни как не влияет на работу контроллера. Вот в неё и пишется бутлоадер с самого нулевого адреса...ну что бы он сразу стартовал.

Boryan добавил 05-11-2010 в 01-37
Возможен и более плохой вариант...прога начинается с нулевого адреса без всяких там описаний и резервных байт. Тогда как и в первом варианте пишем наш бутлоадер и читаем флеху. Если наш бутлоадер хорошо оптимизирован и занимает меньше 256 байт..то мы потеряем от исходной прошивки всего 1 блок=256 байт. Думаю это не смертельно. А если он занимает например 256х3...то есть три блока, то мы уже потеряем прилично от исходной прошивки. В этом случае нам потребуется второй аналогичный чип. В первый блок. в нулевой адрес мы пришем адрес перехода в чистое место флешки ..который мы узнали из первого дампа...и в этот адрес пишем наш бутлоадер....читаем флеху и в итоге теряем 256 байт как и в случае с оптимизированным бутлоадером. Потеря 256 байт в этом случае неизбежна.

Мужики что думаете насчет того чтобы записать игры в нанд PSP GO программатором ?

а что это даст...без файла лицензии под твой аккаунд..бредовая идея

Мужики что думаете насчет того чтобы записать игры в нанд PSP GO программатором ?
а какой в этом смысл? без подписи они все равно не запустятся.
к тому же, они вроде и так там хранятся... хотя, может я и ошибаюсь..

hax0r добавил 05-11-2010 в 02-22
по поводу бутлоадера... на первый взгляд-не сложно на асме написать. Только вот отвык я что-то на аглицком доки читать) после 20 минут голова пухнуть начинает) по поводу UART-ни разу не писал,ниче сказать не могу..

hax0r, вспоминай :) работа то интересная и для мозгов зарядка...

Boryan,согласен)

мозгам нельзя давать сочковать...жиром заплывут :) А черепушка не пузо..от жира не растягивается...:)))

Тьфу ты, только сейчас понял, ЧТО нужно писать... Думал бутер будет дампить прошивку и куда то её записывать :)

За 5000 они сказали мне могут избавить чип от корпуса.

Я умею декапсулировать корпус микрухи!Вот только с дальнейщим чтением пока проблемма!

Yokel добавил 05-11-2010 в 07-13
crashnok, зачем стачивать? Дымящаяся азотная кислота в ванночке - за 5 часов будет нечто вроде этого
http://www.play-files.net/thumbs/1283961985-Slimgerem0.jpg
http://www.play-files.net/thumbs/1283962064-Slimgerem1.jpg
http://www.play-files.net/thumbs/1283962101-Slimgerem2.jpg

это разобранный чип от привода Xbox 360 Slim

Расскажи плиз что происходит на нижней фотке ???

Я думаю что происходит считывание с флешки через программатор (контакты программатора внизу)

Alex14435 добавил 05-11-2010 в 09-17
Или просто контакты флехи припаяны к нормальным контактам к которым можно подключить что угодно, опять же программатор

Ну да, похоже это кроватка программатора. И судя по количеству контактов, они идут на программатор.

Не думаю, что у флехи есть место под бутлоадер, хотя скорее в чип умышленно не льётся бут, т.к. нафиг это никому не нужно в целях безопасности. А тем более скорее стоит бит защиты.

Вообщем. На сисконе не нужно заливать бутлоадер, т.к. по любому придётся сливать прошивку через программатор. А затем HEX можно перекомпилировать в BIN, тогда код станет читаемым. Хотя вроде в чипе он и так в бинарном формате лежит.

Хотя вроде в чипе он и так в бинарном формате лежит
В каком же ещё =) Скомпилированный асм или типа того.

Я думаю что происходит считывание с флешки через программатор (контакты программатора внизу)

Alex14435 добавил 05-11-2010 в 09-17
Или просто контакты флехи припаяны к нормальным контактам к которым можно подключить что угодно, опять же программатор

Дак а просто так эти контакты не были выведены на ноги микрухи, чтобы не вурывать камень?

Выведены были все кроме одной. В итоге, микруху не прочтешь пока микропроцессор не захочет. (статус 0х72/0х73)

Выведены были все кроме одной. В итоге, микруху не прочтешь пока микропроцессор не захочет. (статус 0х72/0х73)

а когда ты ногу вывели то стало возможным прочитать?

достать кислоту у меня нет проблемм ,щас сделаем, фото результата выложу....

тренируйтесь на кошках :) Вот http://zalil.ru/29924734 демо файлик (.bin) для контроллера NEC 78 серии...Кому интересно в сфере предстоящей реальной работы с оригинальным файлом из контроллера батарейки...может потренироваться пока на этом файле сделать реверсинг/дизасм/заново скомпилить....мож кому удастся найти в просторах нета среду разработки под контроллеры NEC....но на данный момент можно поковырять его и с помощью IDA Pro...

а когда ты ногу вывели то стало возможным прочитать?

И как ты её выведешь, не вскрывая чип?

Boryan,
Файлик нормально реверситься в иде.
Для NEC78K здесь есть ASM и Си http://slalex.chat.ru/micro.htm
Демо версия ограничена 8кб, но этого думаю хватит или в конце концов ограничение думаю уберем.

P.S. Файлик приатачил не бинарный, а hex. Хотя конечно пофигу в каком виде =)

aaa111, Спасибо! ну что будешь ковырять оригинальный от батарейки? Сможешь вытащить оттуда алгоритм преобразования запросов 80хх?

Boryan,
Если снимете прошивку, то гляну что к чему. А писать "дампер" без макетки и программатора как то не удобно :)

Кстати почему заглох вариант с верификацией? Побайтно можно верифицировать? Если да, то мне кажется уже быстрее бы прочли. 501 нек - 16KB соответственно получается максимум комбинаций для перебора 16K*256=4096K что по моему не так уж и много. Если даже черепашей скоростью 2 варианта в секунду будете проверять, то за 23 дня вы все прочли бы. Соответственно если 10 вариантов в секунду, то за 4 дня уложитесь.

aaa111, с побайтной верефикацией обломались :( Я в доки глубоко невникал..но мы с одним челом попробовали..он написал прогу попробовали ей перебирать ...он твёрдо утверждает что там нет побайтной верефикации :( ..только поблочная 256 байт

Boryan добавил 06-11-2010 в 04-06
вот кусок лога попытки побайтной верефикации....чип проглатывает всё и не даёт отрицательных ответов что верификация не прошла....на всё положительный ответ что всё ок.
send: 01 01 00 FF 03
get_com_1: 02 01
get_com_2: 06 F9 03
send: 01 05 90 04 00 00 04 63 03
get_com_1: FC
send: 01 07 13 00 00 00 00 00 FF E7 03
get_com_1: 02 01
get_com_2: 06 F9 03
send: 02 01 00 FF 03
get_com_1: 02 02
get_com_2: 06 0F E9 03
send: 01 07 13 00 00 00 00 00 FF E7 03
get_com_1: 02 01
get_com_2: 06 F9 03
send: 02 01 01 FE 03
get_com_1: 02 02
get_com_2: 06 0F E9 03
send: 01 07 13 00 00 00 00 00 FF E7 03
get_com_1: 02 01
get_com_2: 06 F9 03
send: 02 01 02 FD 03
get_com_1: 02 02
get_com_2: 06 0F E9 03
send: 01 07 13 00 00 00 00 00 FF E7 03
get_com_1: 02 01
get_com_2: 06 F9 03
send: 02 01 03 FC 03
get_com_1: 02 02
get_com_2: 06 0F E9 03

Boryan, об этом еще страницы 3 назад писали что нет там побайтной верификации. Мне кажется что декап, последний способ выдрать прошивку

Alex706, я описал верный способ вытащить прошивку чуть выше..сейчас один чел нам вытаскивает именно этим способом..других способов нет!!!

Ну раз есть необходимость читать писать контроллер - попробую помочь, опыт есть - на спутниковом тренировался, когда карты +++ только ленивый не прошивал...Будет результат - отпишусь.
Только здесь обсуждается несколько контроллеров - какой мучить?

dreamwait, nec501 мучай

Alex706 добавил 07-11-2010 в 12-43
zero248, в москве делают, стоит около 2тр

dreamwait, только не всё так просто...501 продаются в москве 120 руб штука. Но сложности с программатором хотя по UART чип зацепить легко..но нет софтины соответствующей ....пока из доступных только флашпрог..но он пишет целиком всю микруху..а нужно писать выборочно блоками. Пока в это всё и упирается.

dreamwait, только не всё так просто...501 продаются в москве 120 руб штука. Но сложности с программатором хотя по UART чип зацепить легко..но нет софтины соответствующей ....пока из доступных только флашпрог..но он пишет целиком всю микруху..а нужно писать выборочно блоками. Пока в это всё и упирается.

Уже есть код, который хотите лить?

Есть бредовая идея. В общем встречал такое, что некоторый софт для контроллеров не записывает байты прошивки, которые равны 0xFF, типа у стёртой памяти все биты равны "1" и их незачем переписывать. В общем можно попробовать тестануть: купить 501, залить туда какуето тестовую прошивку, потом в ней оставить начало несколько байт, а остальные забить FF, залить вторую(без стирания), считать контроллер и посмотреть вышло или нет.

Есть бредовая идея. В общем встречал такое, что некоторый софт для контроллеров не записывает байты прошивки, которые равны 0xFF, типа у стёртой памяти все биты равны "1" и их незачем переписывать. В общем можно попробовать тестануть: купить 501, залить туда какуето тестовую прошивку, потом в ней оставить начало несколько байт, а остальные забить FF, залить вторую(без стирания), считать контроллер и посмотреть вышло или нет.

он не считывается!

lport3, пока кода нет...но его можно написать ;) Есть на примете у меня люди которые могут это сделать..но нужно софтину написать которая будет блоками шить/стирать 501 чип..а это уже к тебе...на тебя вся надежда :)

Boryan добавил 07-11-2010 в 05-27
Oper.kh, 78 серия нэков не имеет функции чтения извне ..только запись и стирание