Просмотр полной версии : Обсуждение взлома батарейки Пандоры PSP-3000...
Страницы :
1
[
2]
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Нубский вопрос: при запандоривании меняется только SN батарейки?
меняются только 4 байта серийника..но не вопрос поменять в дампе батарейки что хочешь и залить его обратно
снова опечатка ???? - вначале с210 (49680) потом с200 (49664)- из-за нее сразу не въехал о чем речь - потом разложил запросы ответы и понял...
с сервисной батарейкой
5A 02 01 A2
A5 05 06 10 9B 06 9E
5A 02 01 A2
A5 05 06 10 9B 06 9E
5A 02 01 A2
A5 05 06 00 9B 06 AE
и с обычной
5A 02 01 A2
A5 05 06 10 C2 06 77
5A 02 01 A2
A5 05 06 10 C2 06 77
5A 02 01 A2
A5 05 06 00 C2 06 87
Но вот заряд ли это - странно что на двух разных батарейках одинаковое проседание 10(16) - неужели первичное включение столько энергии сжирает или тут что то другое....
К Стасу вопрос - какая батарейка была лучше заряжена на момент эксперемента и снятия инфы... Если мы правы то сервисная была более разряжена чем обычная...
Занятная идея, особенно если учесть что смена происходит в момент рукопожатия.(смена 10 на 00) Вот еслиб попробовать сразу 00 послать )
но я дамп батарейки уже исковырял весь....контроллер может выдать только 4 байта на запрос 5A02 0C.....как его заставить отдать 8 байт?
Boryan добавил 23-04-2010 в 02:51
мож вот так должно быть :)
5A0B 80 ЗЫЗ: А ты кто? )
A512 06 Ак: Я МЕДВЕД :)
а можно на запрос 5A 02 01 A2 ответить своей инфой ну или подменить оригинальную?
а какой ответ батарейка даёт на запрос зызы ...в смысле в хексе....мож эти байты в дампе батарейки? Стас выложи дамп батарейки которая работала с 3000.....Если ответ в дампе то мы его изменим ...ну или подберём нужный...Походу серийник FF.....зызе нравится и она готова с ним работать, но вот тот кто дал ей его, не должен представляться батарейкой....
Boryan добавил 23-04-2010 в 03:05
шлангом батарейке походу нужно прикинуться :))))
stasik007
23.04.2010, 04:02
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
stasik007 добавил 23-04-2010 в 03:29
НЕ !!! ТУТ ПОХОДУ В ЗАПРОС 80 ОТ ЗЫЗ НАДО ЧТОТО ПОДПИХНУТЬ ЧТОБ БАТАРЕЙКА ПРАВИЛЬНО ОТВЕТИЛА - неполучится поскольку зыза проверит ответ на вопрос и офигеет
stasik007 добавил 23-04-2010 в 03:58
ответ 18 байт и всё время разный
вот правильные с норм бат
5A0B800ACE1E537CF79B52A0D1 - вопрос
A5120695A09C5118088D72A8AB64331A96B1E4D2 - вот правильный ответ
5A0B80041E6855C3F5F0DCE1D6 - вопрос
A51206A58728AE08F07243A86ED563AD15C8D9E2 - вот повторный правильный
5A0B80045EB82EAB8066B9D2B6
A51206E0B4E8D460E5DE486884153DE7782E4E6E - и ещё
а вот неправильные сервисные
5A0B80D9C831D9C81C1D8429C1
A51206FA1A4CA5E46184DA2C5E52CFEE8CC2C6ED -непр
5A0B80D969E5C14C988C80350D
A51206243826E65DC2CD99E58489AEA94C7392BB - повтор непр
5A0B80D9C0FCFE119DE93DAE05
A51206724258A8B31FF0D8DB155DA9BB9B301860 - ещё
stasik007 добавил 23-04-2010 в 04:02
короче получается что для старта в сервисный режим на определённый вопрос батарейка должна чтото посчитать в себе и выдать правильный ответ
в нормальном режиме отвечает правильно на 5
а в сервисном - незнала да ещё и забыла - спрашиваем заново..
может Boryan прав - ответ выдаётся на основании содержимого еепром?
ErikPshat
23.04.2010, 08:55
А теперь бы опрос в сервисном режиме на "прошиваемой" 2000. Что происходит, когда PSP переходит в сервисный режим и запускается Пандора?
connect battery serial - 0x3C0FB5E8
00
5A02 01 A2
A505 06 100807 30
5A02 0C 97
A506 06 0F3CE8B5 66
5A0B 80 0A5EDD24BD1FAD1574 9F
A512 06 602E7B6CBAC1966E0F70A4BE1B71FBFC EA
5A02 01 A2
A505 06 100807 30
5A02 0C 97
A506 06 0F3CE8B5 66
5A0B 80 04E31135708809FDA7 48
A512 06 A3F83CAC4078B2CB762256D2586D6AC2 D9
5A0A 81 1DF1367BB45A90C7 F6
A50A 06 57A99BC4A88CA6E6 2B
5A02 01 A2
A505 06 000807 40
5A0B 80 04EC919942D764D38D 23
A512 06 30F2A3409FBDEAA7F15AAFEF25025792 57
5A0A 81 72C9F2DD336099E2 02
A50A 06 E511FC35CD8B54EF 88
00
SERVICE MODE
CONNECT BATTERY
5A02 01 A2
A505 06 100807 30
5A02 03 A0
A504 06 4510 FB
5A02 0C 97
A506 06 0F3CE8B5 66
5A0B 80 0A16A25E9ECDA0F776 82
A512 06 A988AACE43C2B3C06C4EE1730A8C31ED 5F
5A02 01 A2
A505 06 100807 30
5A02 03 A0
A504 06 4510 FB
5A02 0C 97
A506 06 0F3CE8B5 66
5A0B 80 043BA522830074830E 8C
A512 06 63A988C046B1BD68CC0CCFC8A1364A89 B9
5A0A 81 063324BAB902721A BC
A50A 06 D033449307161533 0B
00
stasik007
23.04.2010, 09:23
старт 2000 с пандоры одна бат
00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 08AAD03A1617A238FA 5D
A512 06 38B1550C9CF83626BCCBCA18C5E2011E D9
5A02 01 A2
A505 06 10C206 77
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 02B26658CB2E6348B3 51
A512 06 39C4E8996DABD8EF649D0463603E11BC 12
5A0A 81 63BA5F019B8B8DA0 4A
A50A 06 3EF0B6011DE658A7 63
5A02 01 A2
A505 06 00C206 87
5A0B 80 0254B4AFE6B3DB81FF 6D
A512 06 A73C59636F130E4983200DDACCD76543 F5
5A0A 81 0E71A4B3C0F890B2 4A
A50A 06 8CDB0B8F3B64061B 89
5A02 01 A2
A505 06 00C206 87
5A02 03 A0
A504 06 3B10 05
5A0B 80 02268DC91BF167EA8C B3
A512 06 2CE1019EB6547D4187B77C2C08A65818 CA
5A0A 81 9F10D5259E12633A 24
A50A 06 1DAB6E0E21281A04 9F
00
5A02 01 A2
A505 06 10C206 77
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 2302 2B
5A02 02 A1
A503 06 1C 35
5A02 04 9F
A504 06 42FF 0F
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 10C106 78
5A02 09 9A
A504 06 6002 EE
00
другая бат с панд
00
5A02 01 A2
A505 06 10D102 6C
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 08D01DFCAA272CAD20 5F
A512 06 2CE11932FF5B5816D04B6721FD6629A0 53
5A02 01 A2
A505 06 10D102 6C
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 028AB9100CCC0ACF33 E1
A512 06 5ECCFCDB3246513145E4140A8DC67A87 AC
5A0A 81 0121156A8DE16495 12
A50A 06 15C3EFE02474BF68 E4
5A02 01 A2
A505 06 00D102 7C
5A0B 80 0228C7E0178F0187D9 42
A512 06 B71EB127B929EAF7C72861EACD5A74C9 34
5A0A 81 61B04BD726877B44 7B
A50A 06 CE12588588086FD6 B8
5A02 01 A2
A505 06 00D102 7C
5A02 03 A0
A504 06 3F0E 03
5A0B 80 02AF033316C691740D 45
A512 06 52994E827FA3BF561EB2C43FAC866438 AF
5A0A 81 B3EF5FC497841E23 F9
ErikPshat
23.04.2010, 09:58
Интересно, что сразу на первый-же запрос 01 выдаются разные данные.
Вероятно у батареек есть какой-то идентификатор. Откуда он берётся?
Как я понял, и та и другая батареи переходят в сервисный режим.
Но в запросе с кодом 80 запрашиваются и возвращаются разные данные.
Вероятно здесь этот первый ответ влияет на эти данные.
Это может быть Vendor ID, типа завод изготовитель, партия, модель батареи или ещё что-то. Наверное это хранится в EEPROM. А может в контроллёре батареи.
Попробуйте серийник 00010001 - это положительный +1+1
А FFFFFFFF - это отрицательный -1-1
Во вложении, выложенный выше (http://www.pspx.ru/forum/showpost.php?p=882813&postcount=113) бинарник EEPROM и закладки HBK к нему.
Как смотреть и редактировать закладки, можно посмотреть здесь (http://www.pspx.ru/forum/showthread.php?t=87213), если что.
5A0B 80 08AAD03A1617A238FA 5D
A512 06 38B1550C9CF83626BCCBCA18C5E2011E D9
ответ 16 байт, по виду напоминает md5 хеш :scratch_one-s_head:
есть такая табличка:
Text 0x80 data part : reply from battery
00 00 00 00 00 00 00 00 00 : A5 12 06 31 A9 81 78 95 41 0C 63 4A 0F 0D B4 30 99 B0 26 71
00 00 00 00 00 00 00 00 01 : A5 12 06 A7 AA C2 5F E1 ED 17 3E 7E 4F 9B 7D D7 E1 6F 1A 87
00 00 00 00 00 00 00 00 02 : A5 12 06 F6 08 B1 51 5B 88 7D CF 86 C2 47 A7 1F 31 64 14 15
00 00 00 00 00 00 00 00 03 : A5 12 06 11 2C 35 79 D3 E8 6E A5 31 42 DB 00 A2 5E 00 9E 9D
00 00 00 00 00 00 00 00 04 : A5 12 06 C4 C8 8D FE B9 3E D3 3A 42 EA 8F 55 2E 0A F8 0F D8
00 00 00 00 00 00 00 00 05 : A5 12 06 90 A3 50 6D 67 71 3F B8 FB 49 E1 C6 BD B6 AD EC 8C
00 00 00 00 00 00 00 00 06 : A5 12 06 5A 57 BE 60 CD 95 07 83 01 6F 2D CA F0 10 05 80 9B
00 00 00 00 00 00 00 00 07 : A5 12 06 A4 A9 A6 6F 01 5D 91 A3 37 C0 8A 07 B1 93 4B 5B DC
00 00 00 00 00 00 00 00 08 : A5 12 06 18 F3 46 6E C6 3C D2 58 A5 D8 DE B0 CD AA F3 6C 76
00 00 00 00 00 00 00 00 09 : A5 12 06 75 C3 88 58 0C 23 C8 8B 2F 5A 46 EF C9 17 3D A8 25
00 00 00 00 00 00 00 00 0A : A5 12 06 BD 40 B2 CA 77 AA 15 14 35 09 D3 A3 FB 2C 39 98 D3
00 00 00 00 00 00 00 00 0B : A5 12 06 0B 51 80 3E 2F 0E 07 87 B2 6B 54 B4 2E BC 26 EC 3C
00 00 00 00 00 00 00 00 0C : A5 12 06 A9 7A A7 44 19 61 07 4F BD 86 A3 BD A3 57 86 E2 5F
00 00 00 00 00 00 00 00 0D : A5 12 06 3E 46 97 E2 4D DE 5C D0 2D 51 7A E6 01 27 E6 06 FC
00 00 00 00 00 00 00 00 0E : A5 12 06 9B DB 06 3D 89 56 89 99 AC E1 90 B5 61 E1 B5 90 2F
00 00 00 00 00 00 00 00 0F : A5 12 06 10 D1 2E FD 71 30 22 72 B0 57 18 A5 00 8C 27 21 69
Если даже ответ - это МД5, то точно не от запроса. Может запрос + серийник или серийник + запрос... 100001 вариант...
Еще раз повторюсь про пару:
5A02 01 A2
A505 06 10D102 6C
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 028AB9100CCC0ACF33 E1
A512 06 5ECCFCDB3246513145E4140A8DC67A87 AC
5A0A 81 0121156A8DE16495 12
A50A 06 15C3EFE02474BF68 E4
5A02 01 A2
A505 06 00D102 7C
Это какой-то хитрый байт, говорящий о некоем статусе батарейки. Принудительно бы его занулить
Если даже ответ - это МД5, то точно не от запроса. Может запрос + серийник
конечно не от запроса, иначе какой смысл
но запрос должен участвовать, так как ответ меняется
Ins|der добавил 23-04-2010 в 11:42
Это какой-то хитрый байт, говорящий о некоем статусе батарейки. Принудительно бы его занулить
но даже после "зануления", следует ещё один запрос от приставки:
(psp3000 норм.)
5A02 01 A2
A505 06 00F502 58 - занулили
5A0B 80 045EB82EAB8066B9D2 B6
A512 06 E0B4E8D460E5DE486884153DE7782E4E 6E
5A0A 81 0FA1BEE2C2D3C401 70
A50A 06 512457136FFD90B1 BE
00
как на него-то ответить?
а вообще ты прав, комбинация 0610 --> 0600 универсальна для всех батарей, это неспроста)
----
вопрос: как проходит загрузка, если серийник 3000й батареи поменять на другой (не пандора)?
вопрос: как проходит загрузка, если серийник 3000й батареи поменять на другой (не пандора)?
пост №98
Смысл зануления хитрого байта:
Акк же как-то умеет успешно общаться 0х80 0х81, занулив байт, при недоработке прошивки со стороны ЗЫЗ мы можем перейти к следующей итерации 0х80 0х81, которая может нормально прокатить.(а может и не может =) )
пост №98
вот именно, что будет если на этой батарее поменять серийник (не затрагивая других данных)?
ErikPshat
23.04.2010, 12:50
Вот смотрите, вчера нам нужно было провести эксперимент на 3000.
Это было сделано и мы выяснили, что на 3000 в ответ приходил тот-же серийник, с той-же длиной, так-же 2 раза.
Смысл был в том, чтобы убедиться, не увеличилась ли длина и не беруться ли данные из другого места в качестве серийника. Однако выяснилось, что ничего не изменилось.
То есть, запрашивается тот-же серийник, такой-же 4-байтный и 2 раза. Мы это выяснили, т.к. если бы что-то изменилось с длинной или месторасположением, то мы бы получили в ответ другие байты из других мест или другой длины.
По моему, нас не должно больше ничего интересовать, как там приставка обрабатывает свои технические данные.
Теперь интересует другое. Получив сервисный номер FFFFFFFF, приставка должна как-то реагировать и начинать запрашивать сервисную флешку.
Вот интересует, после получения серийника, происходит ли разговор с флешкой, начинает ли поступать сигнал в картиридер или может сигнал идёт в USB (есть ещё порт под гарнитуру, куда тоже может происходить обращение). Ведь это так-же можно выяснить через терминал.
Смысл был в том, чтобы убедиться, не увеличилась ли длина и не берутся ли данные из другого места в качестве серийника. Однако выяснилось, что ничего не изменилось.
а если серийник сервисной батареи все же отличается по длине, как предположил Boryan?
не могли же они оставить ключ без изменений...
Вот интересует, после получения серийника, происходит ли разговор с ...
тоже вариант)
ErikPshat
23.04.2010, 13:48
а если серийник сервисной батареи все же отличается по длине, как предположил Boryan?
не могли же они оставить ключ без изменений...Ну вот смотри сколько раз приходит в ответ один и тот-же серийник. И PSP всё неугомонно запрашивает и запрашивает серийник. Но если бы был другой серийник, то и в ответ бы приходил другой код, взятый оттуда, откуда запрашивается.
Я думаю, что серийник постоянно запрашивается, потому что идёт обращение к карте, но не находит нужный загрузчик и опять идёт обращение к серийнику и поять поиск загрузчика.
По идее в этот момент должен ощущатся некоторый интервал при выводе на терминал.
А вообще странно, что каждый новый запрос несколько отличается от предыдущего. Такое впечатление, что работает Соневский брутфорс :D
http://www.pspx.ru/forum/showpost.php?p=882782&postcount=96
3000
SERVICE MODE
CONNECT BATTERY
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9C831D9C81C1D8429 C1
A512 06 FA1A4CA5E46184DA2C5E52CFEE8CC2C6 ED
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D969E5C14C988C8035 0D
A512 06 243826E65DC2CD99E58489AEA94C7392 BB
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9C0FCFE119DE93DAE 05
A512 06 724258A8B31FF0D8DB155DA9BB9B3018 60
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9D1ECA4045198BFBD 77
A512 06 1D0D809D7165532B4215E6F4A1321F8F F5
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9E581B9AE4E48C04A D4
A512 06 0AE741F44C7B2BC7A05E9BF31890B44A 31
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9429979D16FCAB970 BA
A512 06 ACCD4E05A1F8DE29C44ABC365F43F70C 31
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D94BFB64EF6F9221FF 87
A512 06 87E8DA93C57D7A279B5ACF3AECB6264D 70
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9FAD52E9C88F787C8 DA
A512 06 0131E5A757321EC456CB7EAF286A3114 F4
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D92C4D5E2FCA0C19FA 52
A512 06 ECA0CFDF1F70DDAB19C8308DAA5D1359 E0
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D969C88730B8D6CE52 AB
A512 06 4B4FAE9C29D5E9D830D258A79DE2B5C2 A8
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9FE55C83A54CA3FBC D3
A512 06 D274C8F7AA5A1C30EAAB1FCEBAE64D70 0E
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D98B805814E2783E37 FB
A512 06 BD0CB4F6B29F55052212BF22D1CD5831 E8
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9E20139E8D8571987 6E
A512 06 BFC3C400E76474E82880C0760B95F404 DF
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9AC01EC14CD3ECBD4 EA
A512 06 12941D64AAD7FCA6D9112D917BD77D1C 65
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9595DB82326E74BAE AA
A512 06 FDA8B9B77B284D99C2E1910AB85DBC9E F7
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D98B4BCE3CAD1E4396 BD
A512 06 3E3FD172E2A2385731A5B371BD093FC3 AD
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9A242F580F8582E5E 0C
A512 06 4EF14C7989B6320407C67003088DD84A D2
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D95C5693CDBF319110 9E
A512 06 5E55D47B0513A8AE602CE8A413E1F6D1 FF
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D93BF6AE6DA1560F61 8E
A512 06 E8B9E7AA81EE052FCD1772CF24ED3DE7 13
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D925BAFE264208B072 D2
A512 06 0C257BFF0719D301609E8046E152FC85 2B
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9B185F1453E41A71B 94
A512 06 DBA5449168C61901585AABF80FADDE12 A4
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D91CA99014E364D2D3 EC
A512 06 EB7A6C62B5DD7063204F359A82693715 35
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9992CF94D557CF802 6B
A512 06 D3FA891C236A18BD1362B95A4B7819CA 40
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9B30A03705CB1E3F9 28
A512 06 CA3A651C0BB0E78D9B1EA6DC78AC75C8 F2
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D986FA98B3F070CB1F 2C
A512 06 108E4AA908BC42D1F4E523ECEFDB1E56 B4
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9661942E20888CE53 ED
A512 06 6BB6CA77EC96E820DBF2483AB93BB662 FB
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9E8724B673F042F2A 99
A512 06 054B593FA194D01599B0CE00F13EE8D7 3B
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9430FB0B611BE45E3 92
A512 06 6CA78E5EF9455FB7248189359C8A9473 5F
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9617677D1B8CAEA22 94
A512 06 38CEA21B45D46DA4833E0D135A8657B0 8D
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D9B34F847D9232908C 5E
A512 06 687C1F0DE0A87ECC2C5E52CFEE8CC2C6 B3
5A02 01 A2
A505 06 100707 31
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 D910DC394A2A11DE1D 9C
A512 06 D3563ED3F1BC2990E58489AEA94C7392 08
00
Интересно - старт сервисных батареек на двух консолях (так точнее :-))
2000
01 5A0201A2
02 A50506109B069E
03 5A020C97
04 A50606FFFFFFFF52
05 5A0B80083928B0F04C188233F8
06 A512063671EFA5D3322FD957FE8FD63C761B640F
07 5A0201A2
08 A50506109B069E
09 5A020C97
10 A50606FFFFFFFF52
11 5A0B8002D477A9CB839CDE2B31
12 A5120683AD3F2EEFA4816FAE048766A9CB5A4372
13 5A0A81886D025B877B4CCBAF
14 A50A060FC1B2AFCE4DEDAA67
15 5A0201A2
16 A50506009B06AE
17 5A0B80021AAF79B4CE9C7A0D31
18 A51206B93650DA26639A6A1FF746D24307F91813
3000
01 5A0201A2
02 A5050610070731
03 5A020C97
04 A50606FFFFFFFF52
05 5A0B80D9C831D9C81C1D8429C1
06 A51206FA1A4CA5E46184DA2C5E52CFEE8CC2C6ED
07 5A0201A2
08 A5050610070731
09 5A020C97
10 A50606FFFFFFFF52
11 5A0B80D969E5C14C988C80350D
12 A51206243826E65DC2CD99E58489AEA94C7392BB
13
14
15 5A0201A2
16 A5050610070731
17 5A020C97
18 A50606FFFFFFFF52
почему сразу сменился байт 06 на 07 ? что корректирующий байт не один а два? вряд ли...
потом 11 и 12 строчка - запрос и ответ - что то видать не понравилось и поэтому нет 13 и 14 строчки как в 2000 и соответственно нет обнуления в 16 строчке и вместо дальнейшего общения опять идет запрос серийника....
ErikPshat
23.04.2010, 14:08
Сервисный запрос на 3000: спойлер
Вообще странно, что на такой серийник FFFFFFFF, программа не продолжает выполнятся, как в обычном случае, а зацикливается на этом.
Причём код 80 явно связан с серийником.
А после 80 почему-то всегда в 9-байтном запросе идёт вначале D9
Отсюда я предполагаю, что здесь код запроса идёт не 80, а 80D9, а далее идёт 8-байтная команда.
Интересно - старт сервисных батареек на двух консолях (так точнее :-))ANDPSP, а батарейка одна и та-же? А то может мы обмозговываем результаты от разных батареек, так конечно ни к чему не прийдём.
пффф.. я тут немножко сбился с темы
контроллер питания, отвечающий за обработку запросов от приставки и выдачу инфы, установлен на мат. плате или в самой батарее? и отличается ли он на 3000x psp?
Я думаю, что серийник постоянно запрашивается, потому что идёт обращение к карте, но не находит нужный загрузчик и опять идёт обращение к серийнику и поять поиск загрузчика.
да вообще неясно, почему даже при обычной загрузке по несколько раз просит.
кстати, а в какой конкретно момент выдается команда на обращение к карте памяти в сервисном режиме (код), никто не пытался проследить?
Вообще странно, что на такой серийник FFFFFFFF, программа не продолжает выполнятся, как в обычном случае, а зацикливается на этом.
Причём код 80 явно связан с серийником.
А после 80 почему-то всегда в 9-байтном запросе идёт вначале D9
Отсюда я предполагаю, что здесь код запроса идёт не 80, а 80D9, а далее идёт 8-байтная команда.
Эрик, ты про 5 и 11 строчки для 3000 консоли ?
Если да, то вряд ли, хотя кто знает...
Потому что у 2000 в этих пунктах 8008 и 8002 - что тоже интересно почему они меняются - скорее всего запрос именно 80 а вот данные опрашиваются разные для первого и второго раза, хотя почему на 3000 одинаковый байт D9 - может просто совпадение ...
ErikPshat
23.04.2010, 14:20
на 3000 одинаковый байт D9 - может просто совпадение ...Посмотри мой спойлер в предыдущем сообщении и ты увидишь, что D9 после 80 - совсем не совпадение.
А как тогда расценить 9-байтный код возврата?
Это получается, как 8 с половиной килограмма =)
В том-то и дело, что код не просто 80, а двубайтный 8008, 8002, 80D9.
Я про спойлер выше в моём сообщении (http://www.pspx.ru/forum/showpost.php?p=882868&postcount=124).
====3000=======3000==========AUTOBOOT=SN=00000000Странно, что при автобуте аналогичная история, как с сервисной. бесконечно идёт запрос серийника.
А при автобуте 00000000 PSP-3000 всё-таки включается автоматически при вставке батареи (без касания рычажка включения)?????
контроллер питания, отвечающий за обработку запросов от приставки и выдачу инфы, установлен на мат. плате или в самой батарее? и отличается ли он на 3000x psp?Контроллёр питания другой на матплате 3000.
А батарейки они все одинаковые, хоть для 2000, хоть для 3000. :)
а батарейка одна и та-же? А то может мы обмозговываем результаты от разных батареек, так конечно ни к чему не прийдём.
у меня предложение к авторам систематизировать всю выложенную информацию, типа: модель PSP (2000/3000), модель батареи (2000/3000), серийный номер (оригинал/измененный), дамп батареи, режим запуска (обычный/сервисный/автозапуск), так нам было бы намного проще в ней разбираться =)
нет обнуления в 16 строчке и вместо дальнейшего общения опять идет запрос серийника....
такое ощущение, что код во второй строке (2 байта) рандомный, типа сессии (не меняется на протяжении "разговора"):
01 5A0201A2
02 A50506109B069E
а вот обнуление в 16 строке действительно важно, на мой взгляд)
ANDPSP, а батарейка одна и та-же? А то может мы обмозговываем результаты от разных батареек, так конечно ни к чему не прийдём.
Это к Стасу вопрос - я лишь его логи анализирую, тот что на 1 странице и последний от 3000 консоли...
ANDPSP добавил 23-04-2010 в 14:41
такое ощущение, что код во второй строке (2 байта) рандомный, типа сессии (не меняется на протяжении "разговора"):
01 5A0201A2
02 A50506109B069E
а вот обнуление в 16 строке действительно важно, на мой взгляд)
Да и еще интересно что для всех вариантов запуска на PSP2000 предпоследний байт 06 а для PSP3000 07 - вот только не понятно он такой для сервисного режима или вообще...
ANDPSP добавил 23-04-2010 в 14:45
Перевод в читаемый вид.
PSP-3000 с нормальной батарейкой.
Вставили АКК:
5A02 01 A2
A505 06 10F50248
5A02 0C 97
A506 06 A6B5C25ED3
5A0B 80 0ACE1E537CF79B52A0D1
A512 06 95A09C5118088D72A8AB64331A96B1E4D2
5A02 01 A2
A505 06 10F50248
5A02 0C 97
A506 06 A6B5C25ED3
5A0B 80 041E6855C3F5F0DCE1D6
A512 06 A58728AE08F07243A86ED563AD15C8D9E2
5A0A 81 75A6003A4656AFBEBC
A50A 06 D9378A8AD832EF9A93
5A02 01 A2
A505 06 00F50258
А вот и ответ .... обнуление есть но предпоследний байт вообще другой...
ErikPshat
23.04.2010, 14:50
То есть, получается, если 10 обнуляется на 00 при ответе, то прекращается запрос серийника и идёт переход в сервисный режим?
А где предпоследний байт другой?
ErikPshat, :thank_you:
тогда они могли доп. условие для перехода в СР прикрутить в нем, скажем: серийник + ответ на секретный вопрос.
тот что на 1 странице и последний от 3000 консоли...
глупый вопрос: лог в шапке, он для какой консоли? =)
А где предпоследний байт другой?
в предыдущем посте привел раскладку из поста Saros - там лог старта PSP3000 на обычной батарейке, видишь первые строчки
01 5A0201A2
02 A5050610F50248
а вот старт PSP3000 на сервисной батарейке(или это та же но переведенная в сервисный режим - нужно уточнить у Стаса)
01 5A0201A2
02 A5050610070731
ну и почти самый первый лог от запуска сервисной батарейки на PSP2000
01 5A0201A2
02 A50506109B069E
так какой вывод ? что корректирующих байтов чтобы FF получить не один а два ? но же не так...
ANDPSP добавил 23-04-2010 в 15:04
глупый вопрос: лог в шапке, он для какой консоли? =)
Это Эрик прикреплял - я понял что это запуск обычной батарейки на PSP2000...
5A02 01 A2
A505 06 10C206 77
и самое интересное что пресловутый предпоследний байт все тот же 06, поэтому я и подумал что это некая не меняющаяся величина для разных консолей, а вот на PSP3000 этого не наблюдается....
ErikPshat
23.04.2010, 15:10
ANDPSP, значит получается, что 10 - это ответ об обычном статусе батареи.
Когда он меняется на 00, то батарея переходит в сервисный режим.
Предпоследний 02, 07, 06 - врядли имеет отношение к корректирующей чексумме, т.к. разница в среднем байте велика (F5, 07 и 9B), а предпоследний байт изменяется только на единицу или несколько единиц.
Скорее это коды ответов в зависимости от модели платы и режима запуска.
stasik007
23.04.2010, 15:25
сегодня ещё раз сниму все дампы с 1 батарейкой переводя её в разные режимы и на разных платах - чтобы развеять сомнения
так перечитал первый пост, сделал вывод:
начало:
5A02 01 A2
A505 06 10C206 77
включение приставки:
5A02 01 A2
A505 06 10C206 77
середина (после проверок серийника):
5A02 01 A2
A505 06 00C206 87
конец:
5A02 01 A2
A505 06 00C106 88
значение поменялось, значит оно непостоянное (не сессия) и не зависит от обнуления байта
вывод о рандомности можно сделать, имея на руках логи с разных консолей и батарей
логично (для сони) было бы сделать, чтобы сервисный режим запускался при определенном ответе на запросы 80/81. тогда не очень понятно, что тут можно сделать, они слишком длинные, чтобы их брутфорсить, а данные в запросах, скорее всего, случайные.
возможно, конечно, что эти запросы вообще используются только для подтверждения оригинальности батареи, а к пандоре отношения не имеют. тогда в плюс к серийнику нужен еще какой-то установленный флаг для сервисного режима. тогда надо собрать схемку, которая позволит посылать в ответ любые данные, а запросы 80/81 пересылать на батарею.
но сомнительно, что сони не усилила грамотно тут защиту.
stasik007
23.04.2010, 15:42
зыза 3000 serial ffffffff (всё происходит в фоновом режиме)
попытка запуска сервисного режима
5A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A0B80D91109876031D78A218DA512068C
048F1D9C6175F3A94134289E931259BF5A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A
0B80D9EEE13EF10246F343C5A5120681074D7A8788A2AABAE924FF0B178A43E35A0201A2A5050610
BE067B5A020C97A50606FFFFFFFF525A0B80D9048B2AF283DE8A9A11A5120642E0F4AFF6C9C2F2C1
76FDB8A62AF96EE75A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A0B80D9B442DB37CE
08DA1178A51206C98BCF896541C821405EDD957F7DAD6BE35A0201A2A5050610BE067B5A020C97A5
0606FFFFFFFF525A0B80D9016B86B6B126D75C8FA51206798723B0A2A6A84BD2C11E31E75C389B3C
5A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A0B80D955DBD206BA434842B2A5120615
AFA6F20F4E6B2E888097481C14883B165A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A
0B80D9327B38CB93B41C012DA512064CB0F0F04BC1AF306C8E403E22977F44875A0201A2A5050610
BE067B5A020C97A50606FFFFFFFF525A0B80D945549597DFB87A2744A5120649F0381EFD926F5751
3A4A2396038710365A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A0B80D9E27DCD0F5E
AF418F29A5120692A65DFDD8678ED0B3DA0361C4479BE6965A0201A2A5050610BE067B5A020C97A5
0606FFFFFFFF525A0B80D93B04D226B7FBE4363EA512068B40EB89F47CAC368E35054938F751CD53
5A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A0B80D96CF737A5118A06DA87A51206D4
27B93151A3F8DE3B9470428032DDCCB75A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A
0B80D9FEBD1718D1BF28613EA512061020B9E1CF0A41FBE10442E5AF1BF1A3F95A0201A2A5050610
BE067B5A020C97A50606FFFFFFFF525A0B80D98867197ED442C19C48A512061A65C33A63C8A43E11
2A879F53703A61FA5A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A0B80D989D2AEC04E
41315E5AA51206D3A3B6D5A44ECC1C1AAC48A5C26717E3915A0201A2A5050610BE067B5A020C97A5
0606FFFFFFFF525A0B80D9809F2B5D69BDE8DCB0A51206DC4795C59B5DCC46D0610AE49EE7A14036
5A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A0B80D99BF12FEA07F2D8DBF0A512067C
392471EA171BF9A94134289E931259015A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A
0B80D9F7BF9C9DCA67434A94A51206D1B69538A01C1706BAE924FF0B178A43605A0201A2A5050610
BE067B5A020C97A50606FFFFFFFF525A0B80D9401BD4C32125C797ABA5120620CF301D099EDC46C1
76FDB8A62AF96E1A5A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A0B80D9CADE4DB698
F1A2214AA5120623236BD378219F7A405EDD957F7DAD6BE85A0201A2A5050610BE067B5A020C97A5
0606FFFFFFFF525A0B80D9FC0D1E4D52CD6B95AEA5120681841833E5CB9A3BD2C11E31E75C389B75
5A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A0B80D96670A2A3F9D6664FA2A51206A1
60D792393BB97A888097481C14883B575A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A
0B80D9A71FD7DA89BE83837DA512060068EB5CEC52CF7D6C8E403E22977F44155A0201A2A5050610
BE067B5A020C97A50606FFFFFFFF525A0B80D97AC4912DEEB1B0E313A5120607CEBEE0627DC48F51
3A4A2396038710755A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A0B80D9D800DCBB6D
D5197502A5120649AE6E7398288320B3DA0361C4479BE68A5A0201A2A5050610BE067B5A020C97A5
0606FFFFFFFF525A0B80D9D6BD6C0D25A906124FA51206C8F16AFEA792CDA48E35054938F751CD19
5A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A0B80D9BBF41B00E63203F963A51206C5
63DFD9C297A71E3B9470428032DDCC685A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A
0B80D9F17F020C8519EEAA8DA51206DF11C78943DAE96CE10442E5AF1BF1A3265A0201A2A5050610
BE067B5A020C97A50606FFFFFFFF525A0B80D933DA0EB3CFB9AEC776A51206887A55D3943A2E4111
2A879F53703A611C5A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A0B80D9D220DED09C
D4C20C63A512065D990CECB417D44A1AAC48A5C26717E3955A0201A2A5050610BE067B5A020C97A5
0606FFFFFFFF525A0B80D9A80112CE1716BCBF10A5120652CD91F0361B2AE6D0610AE49EE7A140BC
5A0201A2A5050610BE067B5A020C97A50606FFFFFFFF525A0B80D944D07C194D369B2357A51206AE
BB33C4C2D7CCF34AEC4FE2CCEC33C96F00
логично (для сони) было бы сделать, чтобы сервисный режим запускался при определенном ответе на запросы 80/81
о том и речь, серийник возможно - лишь первая стадия проверки.
но тогда остается ещё вариант с "обнулением"
stasik007
23.04.2010, 15:48
серийник 00000000 (всё происходит в фоновом режиме)
5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D9C04F450EEE5972889EA51206F6
FEDB245D49D72581F52097223CF993965A0201A2A5050610BF067A5A020C97A50606000000004E5A
0B80D9FEB804EFFBC31C4D71A5120643F1FBC2A58AC83A65680E3D10D62655A75A0201A2A5050610
BF067A5A020C97A50606000000004E5A0B80D94F0FA9A807E7FAF4B6A51206875557ACE65995D655
77BACF000018004C5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D9A8CC67FCD4
79466473A51206998EE996C1D2330BD74CA8630BD1BBCB3B5A0201A2A5050610BF067A5A020C97A5
0606000000004E5A0B80D9EB52E01E637731C536A51206148ED70F1A490ECFC1A28C2DB2F5FAB20B
5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D96465F29CA395C5FBF2A51206B9
E06BC351B550B74E30E5EDB597346A345A0201A2A5050610BF067A5A020C97A50606000000004E5A
0B80D932E4A2540E9C7A37DAA512062C8E4CB936FBA4270CBC9B3B599CCCE2465A0201A2A5050610
BF067A5A020C97A50606000000004E5A0B80D92F0F72FE01645E4090A51206F33EA181174B8C2D95
EC10F201CB6B71A95A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D902737AF5E7
27347D9EA51206EEAAC07074E23E73EDFBE5A7BFCE65C4495A0201A2A5050610BF067A5A020C97A5
0606000000004E5A0B80D92FDE737FCB91551F72A5120647330B05EC991AAA7726D54A7EAC2591D3
5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D940A8C2CE30B5678AF3A512065B
F3437E71DC172ADCCD9579EB8F8F8E575A0201A2A5050610BF067A5A020C97A50606000000004E5A
0B80D95E1CBC58D8033EB7E3A512060573476E83DE214F81F52097223CF9932D5A0201A2A5050610
BF067A5A020C97A50606000000004E5A0B80D9595B4CB20FE9C72FA1A51206531A949D01031CD865
680E3D10D62655335A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D9A3FD4E9427
10EF5643A51206B7DC08853E5988835577BACF00001800135A0201A2A5050610BF067A5A020C97A5
0606000000004E5A0B80D9568B383A0D837D0BD6A5120694986E4E9A1FC264D74CA8630BD1BBCBEB
5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D99F66CCC6394C3D5197A5120612
8DAFBD3F4C65F6C1A28C2DB2F5FAB2E25A0201A2A5050610BF067A5A020C97A50606000000004E5A
0B80D992E8758D70C7D9298CA5120604F71659804B447E4E30E5EDB597346A115A0201A2A5050610
BF067A5A020C97A50606000000004E5A0B80D9E930386CAEFB4F6725A512069FC1F1247DCBB2980C
BC9B3B599CCCE2FA5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D9A8AFD4A0F8
ECA7CD1EA51206620667E2B6C0FFD795EC10F201CB6B711A5A0201A2A5050610BF067A5A020C97A5
0606000000004E5A0B80D92EDD320EC981EF12ABA512060222A10B6EFCC89AEDFBE5A7BFCE65C47C
5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D9E0AD7EF9A8A0D5B46CA5120655
84F2F9163EF9087726D54A7EAC25918D5A0201A2A5050610BF067A5A020C97A50606000000004E5A
0B80D9B21F8E5B182AADA2F6A512060345C7D981D9953ADCCD9579EB8F8F8EE35A0201A2A5050610
BF067A5A020C97A50606000000004E5A0B80D9726376CD34B7B22C60A51206C6BC8C2ACD36D5E430
10030AFD9DA94F6F5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D9DD77FB7368
2F49EFB0A5120613A43967A3EADB690855D4822651A68BBF5A0201A2A5050610BF067A5A020C97A5
0606000000004E5A0B80D9436A6A0477D20C329FA51206A09DFAA05F3FE5043F5DB90EB2C6C3192D
5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D975E4C77261D7F32361A512067F
EF9B9A96E758216602C1A413E12096325A0201A2A5050610BF067A5A020C97A50606000000004E5A
0B80D9EB3BE2815FBB15CFBAA51206C24F604C23AE7703DA5432FEC586CE93305A0201A2A5050610
BF067A5A020C97A50606000000004E5A0B80D95194874CD515DAA61FA5120663846DE6D286B1AF1C
589EE7EF4160FACD5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D92C1835BB9C
864DB8E6A51206C514DFC27DA52FC4B6D664059E442AF3BF5A0201A2A5050610BF067A5A020C97A5
0606000000004E5A0B80D9DA0FBCC1A9EA4BCB32A51206E77384B02ED0CA89C274778BF95FF511CD
5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D94FAE3959B70F7CBCB4A512060F
BE710F81001FF578E8A6E7F52B4DBF4700
stasik007 добавил 23-04-2010 в 15:48
серийник 0xFA14C1FA НОРМА
5A0201A2A5050610C006795A020C97A5060614FAFAC1855A0B800AF7413933BC8D76DDD0A512066C
70BB650F7ADCCA73D01C117C87B534BB5A0201A2A5050610C006795A020C97A5060614FAFAC1855A
0B80040004865DC6B2DE4198A5120601AAAFF35C97194D5E682F1C187EFE4DAA5A0A8191D60C90CD
D03A3E02A50A06DC81091C211FBD68635A0201A2A5050600C006895A0B80044D337E5ACA1FDEBE39
A512063A36EC5B8E3413940C0FBF61284C37E25A5A0A8181FB440CA45F4358B0A50A06682A5A2C41
AC5724CA
00
ВКЛЮЧАЮ РЫЧАЖКОМ
5A0201A2A5050610C006795A0203A0A5040614102C5A020C97A5060614FAFAC1855A0B800AC6F3B8
D18C1C3129CCA5120691800EC22A7224599A802ED3C8AFD19C495A0201A2A5050610C006795A0203
A0A5040614102C5A020C97A5060614FAFAC1855A0B8004D84B5D5EBEFFE7484CA5120655CF6A4544
0ACB625C749D94817122F1EE5A0A811A7D32A21208FF6135A50A06C33C51A0339E546FC6
00
сегодня ещё раз сниму все дампы с 1 батарейкой переводя её в разные режимы и на разных платах - чтобы развеять сомнения
stasik007, спасибо
было бы здорово)
а вообще идеально: имея на руках две консоли 2000, две консоли 3000 и пару батарей, прогнать их во всех режимах.
тогда картина была бы полной и возможно обнаружилась бы закономерность =)
Ins|der добавил 23-04-2010 в 15:51
серийник 0xFA14C1FA НОРМА
это одна и та же батарейка?
ANDPSP, значит получается, что 10 - это ответ об обычном статусе батареи.
Когда он меняется на 00, то батарея переходит в сервисный режим.
А вот и нет... если посмотришь внимательнее на свой закрепленный спойлер в шапке - там лог PSP2000 с обычной батарейкой - значит ни о каком сервисном режиме и речи нет но обнуление есть....
stasik007
23.04.2010, 15:57
ЗЫЗА 2000 СТАРТ С ПАНДОРЫ
5A0201A2A5050610BC067D5A020C97A50606FFFFFFFF525A0B80088B016B2001D837B13AA512064D
C666C4EF67DD0E7D283D5A761C5A306C5A0201A2A5050610BC067D5A020C97A50606FFFFFFFF525A
0B80023ABA12BE580495EC77A51206151387EE94D087D617774EF4810DB36F645A0A81BCE8AAC171
8D77395DA50A06E1DD1C180F3BF6898F5A0201A2A5050600BC068D5A0B80028BE2FDB251D6488EFF
A51206739FA838FC17729B62D33FA31AE4A334445A0A8152310EA12096DD94C1A50A06BFC9338880
1CF7CBA95A0201A2A5050600BC068D5A0203A0A5040614102C5A0B800210B9065D7FDD573AFFA512
068FF05BB70175CD818BD75FF926F2CFFA525A0A81B2F739E3FE90AD0911A50A062AB595C1638D54
626F004B6060F4A5050610BC067D5A02079CA504060807415A020B98A504060F00415A02099AA504
0643020B5A0202A1A503061B365A02049FA504064DFF045A0203A0A5040605103B5A0201A2A50506
10BC067D5A02099AA504068A02C45A0202A1A503061C3500
везде одна батарейка
всё читал через контроллер на максе 3222
Если кому пригодится, то вот программка http://slil.ru/29005813 при помощи которой можн обыстро привести запросы и ответы зызы с батарейкой к понятному нам виду.
Мана: просто вставляете текст в мемо поле и нажимаете Convert. Потом можно сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
З.Ы. Не сердчайте, если в ней есть ошибки написал на скорую руку :)
о том и речь, серийник возможно - лишь первая стадия проверки.
ну так это само-собой.
просто не понятно, какие вы еще закономерности хотите в этих логах найти.. правда способа взломать запросы 80/81 я и сам предложить не могу...
ErikPshat
23.04.2010, 16:02
stasik007, нужно сделать 4 дампа на одной батарее с разными серийниками:
PSP-2000
0xFA14C1FA (норма)
0х12345678 (норма)
0х00000000 (авто)
0хFFFFFFFF (сервис)
PSP-3000
0xFA14C1FA (норма)
0х12345678 (норма)
0х00000000 (авто)
0хFFFFFFFF (сервис)
То есть, два посыла с нормальными, но разными серийниками, чтобы увидеть, есть ли разница при одинаковом режиме, но разными серийниками.
Лучше все эти данные одной батареи собрать в отдельный пост.
+ обязательно приложить дамп EEPROM этой батареи, а то уже запутались, где какой дамп.
В общем, чтобы всё было в одном месте. Каждый результат в отдельном спойлере. Если что, я посижу, разложу схему по строчкам, чтобы тебе время не тратить зря.
А вот и прога появилась =)
stasik007
23.04.2010, 16:03
надо боряна напрячь чтоб дал пару плат 3000 ..
сегодня ещё раз сниму все дампы с 1 батарейкой переводя её в разные режимы и на разных платах - чтобы развеять сомнения
Стас а можешь провести эксперимент - изолировать центральный контакт на батарейке и посмотреть как себя консоль будет вести - сколько и какие запросы она сделает... Увидим ли мы что то кроме первого запроса 5A0201A2 или нет...
dn3d, только об этом думал, спасибо)
а то все через ворд, неудобно
ErikPshat, разные батареи нам нужны для того, чтобы понять, есть ли ещё привязка к их содержимому, помимо серийника,
равно как и разные приставки
но само собой, лучше что-то чем ничего ;)
ErikPshat
23.04.2010, 16:26
Вот здесь что-то не клеится:
ЗЫЗА 2000 СТАРТ С ПАНДОРЫ
5A0201A2A5050610BC067D5A020C97A50606FFFFFFFF525A0B 80088B016B2001D837B13AA512064D
C666C4EF67DD0E7D283D5A761C5A306C5A0201A2A5050610BC 067D5A020C97A50606FFFFFFFF525A
0B80023ABA12BE580495EC77A51206151387EE94D087D61777 4EF4810DB36F645A0A81BCE8AAC171
8D77395DA50A06E1DD1C180F3BF6898F5A0201A2A5050600BC 068D5A0B80028BE2FDB251D6488EFF
A51206739FA838FC17729B62D33FA31AE4A334445A0A815231 0EA12096DD94C1A50A06BFC9338880
1CF7CBA95A0201A2A5050600BC068D5A0203A0A5040614102C 5A0B800210B9065D7FDD573AFFA512
068FF05BB70175CD818BD75FF926F2CFFA525A0A81B2F739E3 FE90AD0911A50A062AB595C1638D54
626F004B6060F4A5050610BC067D5A02079CA504060807415A 020B98A504060F00415A02099AA504
0643020B5A0202A1A503061B365A02049FA504064DFF045A02 03A0A5040605103B5A0201A2A50506
10BC067D5A02099AA504068A02C45A0202A1A503061C3500
stasik007
23.04.2010, 16:32
2000 Serial number 12345678
005A0201A2A5050610C006795A020C97A50606341278563A5A0B8008FA3DA8AD7BDE903667A51206
240D800D2702568DBD54B0B0A7B24F56095A0201A2A5050610C006795A020C97A50606341278563A
5A0B80029F24954D8555D5596BA5120637D06D85394E5D6DCC02FD39F8E0A72F465A0A8134D42DDF
697B0438E6A50A06CB0C828837F2C1007F5A0201A2A5050600C006895A0B80026A0499C4D8C0C6B3
3CA512060839123496120E063EEF29C0228CFDBB835A0A810850230F4AB3A7A14BA50A06B5CFBBF1
A138969516
Turn on
005A0201A2A5050610C006795A0203A0A5040636100A5A020C97A50606341278563A5A0B80083583
C73A0816BAAAD7A512068362309E104D386B697348975F1D0F84C55A0201A2A5050610C006795A02
03A0A5040636100A5A020C97A50606341278563A5A0B800268485E0021F4371EA0A51206CBA270F2
087EEBF56E783EC2E254B16FD15A0A81053DCE512366D16FF0A50A064820534BF84DB877D05A0201
A2A5050600C006895A02079CA504060807415A020B98A504060F00415A02099AA504065404F85A02
02A1A503061D345A02049FA50406A2FFAF5A0203A0A5040631100F00
------------------------------------------------------------
2000 Serial number FA14C1FA
5A0201A2A5050610C306765A020C97A5060614FAFAC1855A0B8008943FB039EDAD02E0DAA5120616
AB5C08492B279F2D104EDD63EE77466D5A0201A2A5050610C306765A020C97A5060614FAFAC1855A
0B8002B2BE88BE47132C7B61A51206CE4440FB3039F25BFEC03BC174FFAF382B5A0A811C8E544EF9
7A08BA99A50A0665271297AB393867925A0201A2A5050600C306865A0B80021FADA410842420E2EE
A51206CE6289C309391F10C050BD108612E114EB5A0A8178C7C659AA2262CEC0A50A06F642A76C67
D0251192
Turn on
00
5A0201A2A5050610C306765A0203A0A504063B10055A020C97A5060614FAFAC1855A0B80084A1691
5E1CFA8B7EA4A512068A274A9858F96667A303EB6E5D4FD4A76B5A0201A2A5050610C306765A0203
A0A504063B10055A020C97A5060614FAFAC1855A0B800253D33CD09CBF5547EFA51206DF0424F93A
C78CC6809F7783EDCA97F2965A0A8182C8B19633726C6612A50A069C8E9B2AE6464691585A0201A2
A5050600C306865A02079CA5040608074100
------------------------------------------------
2000 Serial number FFFFFFFF
5A0201A2A5050610C306765A020C97A50606FFFFFFFF525A0B80086F79E697135D7E8F30A5120692
3B9BDB45A0ECBE266E7BFE7EFD7EEE7C5A0201A2A5050610C306765A020C97A50606FFFFFFFF525A
0B800243028AE981A40569CDA5120605382E3E8B6A6341888C410B8211F10E0E5A0A812D3060D49F
8FDF007CA50A064E96EAB61277B5C8C05A0201A2A5050600C306865A0B80023A593A77FBE1175988
A5120625E95A9A2960665D1B71B00EAEC8BCC3B55A0A81764E66FF03E68C85F7A50A0621A78247F9
6B47937B5A0201A2A5050600C306865A0203A0A504064510FB5A0B800281507B7E1201E36EEAA512
06AE0FE3C01E80BB5992EE96FEFB96146E095A0A816953B5980E994E9F7DA50A0666E2EFB9A535A0
27B900
----------------------------------------------------------------------
2000 Serial number 00000000
5A0201A2A5050610C306765A020C97A50606000000004E5A0B8008B755B6EFFEF283FAF4A5120615
AFB15C5F65B82D9B421A32FFB9DAD8355A0201A2A5050610C306765A020C97A50606000000004E5A
0B8002E592FDEC7BD736F838A5120629B536AC5C88BEBFDDD9235F6F9581EE765A0A812678595855
C30504AAA50A06A979D985592EF158FA5A0201A2A5050600C306865A0B800220788E2B74E5DEF19F
A512061BA87C08ED46FFDD94A36BDABDC6E7CC3A5A0A81F5565074AF8C85E16AA50A06D094A869CE
60B5FEF45A0201A2A5050600C306865A0203A0A504064010005A0B8002CC5E32BB826212F714A512
0657953D8B82D602E696320EC881F80E2FFA5A0A815C63F55D4DF4FE8644A50A068491993A8A271A
1A7D5A0201A2A5050600C306865A02079CA504060807415A020B98A504060F00415A02099AA50406
7204DA5A0202A1A503061E335A02049FA50406A3FFAE5A0203A0A5040636100A0000
stasik007 добавил 23-04-2010 в 16:32
--------------------------------------------------------------------------
3000 - 0xFA14C1FA
5A0201A2A5050610C006795A020C97A5060614FAFAC1855A0B800ADBD368452020EB503AA512066C
0DDBFD799A1DAA77E696575E91F52BBE5A0201A2A5050610C006795A020C97A5060614FAFAC1855A
0B8004F80D498FA18BA83D28A51206E478262CD5E38703A3706C60B46239D54F5A0A81D19F9717D9
115500BDA50A064FCED66FBD11AF48235A0201A2A5050600C006895A0B80047B0BEBEBCD437FC566
A51206A82FF994E435DB96D22FA3F11DAD7064215A0A811DFA2B5B9B4E62FF33A50A067453B6D4F2
6C37E97B00
Turn on
5A0201A2A5050610C006795A0203A0A5040636100A5A020C97A5060614FAFAC1855A0B800A03D12A
7EDEB5205190A51206F23B7B7D06B3F20473888940C2AEAD1A735A0201A2A5050610C006795A0203
A0A5040636100A5A020C97A5060614FAFAC1855A0B8004EE7CBF3D3F57F063C7A512062CA0FF0E12
D07D058317A7F80E40C1B6075A0A818C84E9ECBA465209DAA50A0646AE5F9641AE35BB82
-----------------------------------------------------------------------
3000 Serial number 12345678
005A0201A2A5050610BF067A5A020C97A50606341278563A5A0B800A8DC8B7E4FA2205C639A51206
F6AC80E27ACFDE4897F4B16CEB282BA1485A0201A2A5050610BF067A5A020C97A50606341278563A
5A0B80047DCA09F290A0686CD0A51206AE56D2801401AB18E84029BE2A42F8475A5A0A81072A067B
60054E199CA50A06D6D288C0F18E5AF1905A0201A2A5050600BF068A5A0B8004989B8400B0FAEE31
96A512062FCB92E0C5950CD206BC6A6D2E342FD2A25A0A81B389EEF3C6CFE01771A50A06FB677529
B161CA630B
Turn on
005A0201A2A5050610BF067A5A0203A0A504064010005A020C97A50606341278563A5A0B800AEE18
D9A1BF056C89D7A5120608C9992C0840597197F4B16CEB282BA1135A0201A2A5050610BF067A5A02
03A0A504063B10055A020C97A50606341278563A5A0B80045146DBD623586E8C59A51206FF24C66D
CEBBEC54E84029BE2A42F847695A0A81072A067B60054E199CA50A06D6D288C0F18E5AF19000
--------------------------------------------------------------------------
3000 Serial number FFFFFFFF
005A0201A2A5050610BF067A5A020C97A50606FFFFFFFF525A0B80D9AAFECED9B42904B45DA51206
97D435A90D6C8B6FDB125B0AC42573DEFA5A0201A2A5050610BF067A5A020C97A50606FFFFFFFF52
5A0B80D9BC7B8930966194B90DA51206786F33492EA4137237CA1F127BAF0D4BD45A0201A2A50506
10BF067A5A020C97A50606FFFFFFFF525A0B80D903CF0E3F6E6598387FA51206DF1E9B0FCCD40C24
E36444CECBD6DEAB485A0201A2A5050610BF067A5A020C97A50606FFFFFFFF525A0B80D9057D09FB
73DDF394E4A5120663187914A11181F60DDFE98B6486E21DC85A0201A2A5050610BF067A5A020C97
A50606FFFFFFFF525A0B80D9B9E923487DE154B0D2A512062F0CD8319AB59F031D8DD86F0843C4A3
6A5A0201A2A5050610BF067A5A020C97A50606FFFFFFFF525A0B80D9737EDED16ACF332213A51206
AFAAF469D23242DC29603E56FC8711D3E65A0201A2A5050610BF067A5A020C97A50606FFFFFFFF52
5A0B80D9B8135A1E9F4AD447FAA5120628C5BEF964C82D09CC6BAA08D678E7EA345A0201A2A50506
10BF067A5A020C97A50606FFFFFFFF525A0B80D9C1D0469A5E4EB01064A51206BC5C236FF3CFC303
55C556A8D778F2F1C65A0201A2A5050610BF067A5A020C97A50606FFFFFFFF525A0B80D935478BC7
58DEA50B8DA512064EE66C59772AE99EF167610ED615800EE15A0201A2A5050610BF067A5A020C97
A50606FFFFFFFF525A0B80D9F6D240904D8F9A76BDA5120602451650CCBAD521F47F0024AEB332E6
095A0201A2A5050610BF067A5A020C97A50606FFFFFFFF525A0B80D9A696BA49F895BA2497A51206
4B9CD91075BB70728BA62824DD34017D545A0201A2A5050610BF067A5A020C97A50606FFFFFFFF52
5A0B80D9B7E144A160FA619772A512065A8D8B62A97D7F11DB125B0AC42573DE2C5A0201A2A50506
10BF067A5A020C97A50606FFFFFFFF525A0B80D95FF57587DBE51F0F03A51206B54788AB5F56F4E0
37CA1F127BAF0D4BD65A0201A2A5050610BF067A5A020C97A50606FFFFFFFF525A0B80D935CE6617
227BE599A6A5120605F10D76875D9ECCE36444CECBD6DEABF85A0201A2A5050610BF067A5A020C97
A50606FFFFFFFF525A0B80D9D4199A606007BA3900A512062C43C8A4C8B0C2CB0DDFE98B6486E21D
195A0201A2A5050610BF067A5A020C97A50606FFFFFFFF525A0B80D9C49437EA7D877A2822A51206
D8F33E5B91816BE01D8DD86F0843C4A3DE5A0201A2A5050610BF067A5A020C97A50606FFFFFFFF52
5A0B80D920A81F2E15B280AB3AA51206AA59E407B1B1D33629603E56FC8711D3655A0201A2A50506
10BF067A5A020C97A50606FFFFFFFF525A0B80D9CA5B7C5B5F88C2EBB1A512064F3A54D88C1C9CE8
CC6BAA08D678E7EA595A0201A2A5050610BF067A5A020C97A50606FFFFFFFF525A0B80D948D987A8
ED2451A4EBA512069460BC540515198255C556A8D778F2F13F5A0201A2A5050610BF067A5A020C97
A50606FFFFFFFF525A0B80D9BFA82DC8B74EB41D0FA512062EC3B9A0630828A8F167610ED615800E
7D5A0201A2A5050610BF067A5A020C97A50606FFFFFFFF525A0B80D9CE06E12633EC573BB5A51206
FB8082DFAC5D1F69F47F0024AEB332E6C55A0201A2A5050610BF067A5A020C97A50606FFFFFFFF52
5A0B80D97C39EA4C2E453ECBDAA5120645E9C1DB827C35F78BA62824DD34017D425A0201A2A50506
10BF067A5A020C97A50606FFFFFFFF525A0B80D92A72771F804B04BD83A512068487119E625F1927
ED6796F3D2A5DAA3B65A0201A2A5050610BF067A5A020C97A50606FFFFFFFF525A0B80D9F89B6126
4FAED62F25A512068D40125ED71919742E44F61FB1AA5FF1565A0201A2A5050610BF067A5A020C97
A50606FFFFFFFF525A0B80D960300BDF763D02E72BA51206FB9F034F3161F7834F1596BF8C928E15
D05A0201A2A5050610BF067A5A020C97A50606FFFFFFFF525A0B80D9E5E9B3B4F5C6947C41A51206
6E966D0ABEF5444644D148D2CD201897BF5A0201A2A5050610BF067A5A020C97A50606FFFFFFFF52
5A0B80D98048EEB7052FFC3A6AA51206EC956BFA7052299DA5CF120D6195B9D5BD5A0201A2A50506
10BF067A5A020C97A50606FFFFFFFF525A0B80D97D7053D5F758815705A512063B6AD1EEA3E9DEDD
F7B61E285E1A477A6B5A0201A2A5050610BF067A5A020C97A50606FFFFFFFF525A0B80D99D072B44
2BBB7FD6F3A5120690C707DFC10A3D489D03A48D741A8668685A0201A2A5050610BF067A5A020C97
A50606FFFFFFFF525A0B80D956A4A57B43ED3FF2C6A51206FAF4C35DD9004DC2F45DF51FF26B8B2B
D45A0201A2A5050610BF067A5A020C97A50606FFFFFFFF525A0B80D9798402672F62EBA5BAA51206
5E24493A6E2680828F2539D6DDAAD7345200
-----------------------------------------------------------------------
3000 Serial number 00000000
5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D9A1FD02E48E36A1292FA5120633
38CD4F036648A0AA0509F1D832FEE0D95A0201A2A5050610BF067A5A020C97A50606000000004E5A
0B80D9F0AC7AE3518606FB70A51206E9A3BE7CAD017324395822BACD0972C5BD5A0201A2A5050610
BF067A5A020C97A50606000000004E5A0B80D988F31C70451D0BAA23A51206A41017D88CEE92735A
12FADB985C66FC895A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D90661BD82E9
E8C7D62DA51206E26DB6B3C21994B2CFA301E3CBEA8DF2DF5A0201A2A5050610BF067A5A020C97A5
0606000000004E5A0B80D9F18E58A483C3F989FEA51206A3C0A23A5E13173B49BAD71330B6529586
5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D95C0A1CF5C329563355A51206B4
43D5D13C75DB43D0E5FFD204977B97A35A0201A2A5050610BF067A5A020C97A50606000000004E5A
0B80D93005BCC54A02DBC89CA51206CA5256E0C88E674A61335F420910799B875A0201A2A5050610
BF067A5A020C97A50606000000004E5A0B80D99644C787F1B038DD63A512066B3727A2F9CF5C2161
8E1818BD48AC90325A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D9D8AFAA1282
DBD4E5E8A512068206B407EDC2364626DA838152FF538E9E5A0201A2A5050610BF067A5A020C97A5
0606000000004E5A0B80D9ECE868D457B46DFFBAA51206BEA8CA100543583B3DB6016888200622FB
5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D9C2DB96597A0BE477D5A51206B7
EF8B9B96359C9C7D381DA572F31A1F5E5A0201A2A5050610BF067A5A020C97A50606000000004E5A
0B80D968A965D6ED0C904B21A512067E28BEB36C69A7E8F1E92FF7FE04C7D6285A0201A2A5050610
BF067A5A020C97A50606000000004E5A0B80D9E2274655E5516D7C7EA51206E5EAC342EFB5A67BC7
24DE31E10146AADD5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D91C4895ADF8
8C2DCC1EA51206354B7308679B00B180F3CC9A1B810119055A0201A2A5050610BF067A5A020C97A5
0606000000004E5A0B80D97E90794646B754EE35A5120638B84A0C0E07A8177F785DF4ED8C41F72F
5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D9F467787F1EE83AA708A51206A1
2E8EB9AF918CD937D1E0F00F15A6479E5A0201A2A5050610BF067A5A020C97A50606000000004E5A
0B80D931FB2B94D429C4088DA512063EED42BE6A64F866F7C60E675DF06C7B855A0201A2A5050610
BF067A5A020C97A50606000000004E5A0B80D97AACDD9BB5906F638CA51206C91805AE5CDFC6869E
567054AEB440E5E85A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D9FB25C8A112
ADA14B0DA512062E2CB63C04622E62F61571B64ABED2DE165A0201A2A5050610BF067A5A020C97A5
0606000000004E5A0B80D944ECB5CD926405682CA51206C2A1C276BE03238B7AFA58AD4317175BF3
5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D9DB33B3601BD19F296CA51206F5
6AD29AA05E87B09AFBEE51CF6D0BE5425A0201A2A5050610BF067A5A020C97A50606000000004E5A
0B80D99A78F02623E1C4CB86A51206D53A7AF5A6117BCEF7A99362E4AD3941245A0201A2A5050610
BF067A5A020C97A50606000000004E5A0B80D9DE296493CAE8E7F1B9A51206C38B8B5A4BBFC8BB60
C2160C5C8C6E86625A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D9BECDCDCF6C
335D918DA512065518C3E96C7D7F7AAF2694A3C2CA6D3D055A0201A2A5050610BF067A5A020C97A5
0606000000004E5A0B80D90D3D764D91F45F88C8A5120681AAA43E1754E9E18B9ED41B7E47E749F3
5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D956B1DC6E3059D56E24A51206B7
64D6023FA865673C733C86A754D4015B5A0201A2A5050610BF067A5A020C97A50606000000004E5A
0B80D9B21D5F140F36C5E510A51206C533A0AA73EEF59A549DE83EC843E2BD4F5A0201A2A5050610
BF067A5A020C97A50606000000004E5A0B80D9A0EA2C330AD1D3D4D6A51206E7AD5795FC0A3FBDB0
1B58344F183BC0075A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D997E25210DB
6B231FDEA512063D8633268AD5DC633B761967280D4112CF5A0201A2A5050610BF067A5A020C97A5
0606000000004E5A0B80D9A07D2D349F05A21C61A51206BECBABF5F2098CFDBC3FD5F46B9E7E4703
5A0201A2A5050610BF067A5A020C97A50606000000004E5A0B80D9C2C771891500F27F38A51206AC
24353F235B9DEE77DF960945B0E3E04800
Итак объединил начало логов постов Стаса
зыза 3000 serial ffffffff (всё происходит в фоновом режиме)
попытка запуска сервисного режима
5A0201A2
A5050610BE067B
серийник 00000000 (всё происходит в фоновом режиме)
5A0201A2
A5050610BF067A
stasik007 добавил 23-04-2010 в 15:48
серийник 0xFA14C1FA НОРМА
5A0201A2
A5050610C00679
ЗЫЗА 2000 СТАРТ С ПАНДОРЫ
5A0201A2
A5050610BC067D
везде одна батарейка
всё читал через контроллер на максе 3222
итак предпоследний байт все же 06, хотя мы видели и другие - значит это зависит от батарейки больше чем от приставки...
И еще начало лога - это с момента вставки батарейки в консоль, диалог начинается сразу же, просто для обычного режима он заканчивается спустя строчек и потом нужно включать консоль а в сервисном режиме ничего не прерывается, но и в том и в другом случае начало блоков(вставка батарейки и работа батарейки)похожее - сначала пара запросов с ответами вида 10XX, потом обнуление и дальнейший разговор...
stasik007
23.04.2010, 16:42
ПОДКЛЮЧИЛ 3000 К БАТАРЕЙКЕ С ИЗОЛИРОВАННЫМ СРЕДНИМ ВЫВОДОМ
005A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201
A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201
A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201
A25A0201A200
ПОДКЛЮЧИЛ 3000 К БАТАРЕЙКЕ С ИЗОЛИРОВАННЫМ СРЕДНИМ ВЫВОДОМ
005A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201
A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201
A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201
A25A0201A200
Хехе =) ровно 31 повтор. Как и при неудаче с ФФФФФФФФ батареей
ErikPshat
23.04.2010, 17:05
Что интересно, если даже в нормальном режиме разные серийники:
0х12345678
0хFA14C1FA
То в ответе средний байт тоже меняется, а отсюда и все остальные ответы меняются:
PSP-2000
10C006
10C306
PSP-3000
10BF06
10C006
06 - похоже модель батареи или производитель.
сравнение ответа на команду 5A0201A2 в начале и конце каждого режима:
PSP2000
норма: С306/С306
норма (мод.): C006/C006
сервис: C306/С306
автозапуск: C306/С306
PSP3000:
норма: C006/C006
норма (мод.): BF06/BF06
сервис: BF06/BF06
автозапуск: BF06/BF06
информация к размышлению, но почему тогда:
так перечитал первый пост, сделал вывод: начало: 5A02 01 A2 A505 06 10C206 77 включение приставки: 5A02 01 A2 A505 06 10C206 77 середина (после проверок серийника): 5A02 01 A2 A505 06 00C206 87 конец: 5A02 01 A2 A505 06 00C106 88 значение поменялось, значит оно непостоянное (не сессия) и не зависит от обнуления байта
Что интересно, если даже в нормальном режиме разные серийники:
0х12345678
0хFA14C1FA
То в ответе средний байт тоже меняется, а отсюда и все остальные ответы меняются:
PSP-2000
10C006
10C306
PSP-3000
10BF06
10C006
06 - похоже модель батареи или производитель.
а какой повод не верить инфе о протоколе, где написано, что это команда запроса текущего заряда батареи, а c006 или bf06 или с306 это соответственно заряд? значения разные, но очень близкие, допустимые кол****ия.
ПОДКЛЮЧИЛ 3000 К БАТАРЕЙКЕ С ИЗОЛИРОВАННЫМ СРЕДНИМ ВЫВОДОМ
005A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201
A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201
A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201A25A0201
A25A0201A200
Прикольно :-))) можно эмулятор пробовать писать...
Стас, не знаю умеет ли этот терминал посылать что то и прикреплял ли ты TX контакт вместе с RX - может быть можно как то попробовать передавать циклично ответ - пусть такой A5050610C00679 - интересно схавает его консоль и выдаст ли запрос на серийник или нет...
ErikPshat
23.04.2010, 17:26
pronvit, вполне возможно. Но в протоколе не чётко указано unknown_flag.
0x01 request status none unknown_flag:u8
energyleft_mAh:u16Я думаю, что в первую очередь должен быть вопрос: ты кто, моя батарея или аккум от мобильника?
а какой повод не верить инфе о протоколе, где написано, что это команда запроса текущего заряда батареи, а c006 или bf06 или с306 это соответственно заряд? значения разные, но очень близкие, допустимые кол****ия.
В это можно поверить если Стас напишет последовательность экспериментов и будет видно что заряд падал от первого опыта к последнему - я надеюсь между экспериментами не было подзарядки батареи, а еще интересно повставлять батарейку с подключенным USB и обычным питанием - будет ли отличие по командам и ответам...
pronvit, вполне возможно. Но в протоколе не чётко указано unknown_flag. Я думаю, что в первую очередь должен быть вопрос: ты кто, моя батарея или аккум от мобильника?
так флаг перед зарядом, то есть 10 - флаг, с006 - заряд. скорее всего это просто статус, что батарее на месте и в порядке, там написано даже, что если какой-то бит в первом байте стоит, то псп сразу вырубится.
ErikPshat
23.04.2010, 17:33
Если это батарея от фатки 1800 mAh, то я бы поверил.
Но если от слимки 1200 mAh, тогда не сходится.
В это можно поверить если Стас напишет последовательность экспериментов и будет видно что заряд падал от первого опыта к последнему
разумно, главное не перегрузить человека =)
В это можно поверить если Стас напишет последовательность экспериментов и будет видно что заряд падал от первого опыта к последнему - я надеюсь между экспериментами не было подзарядки батареи, а еще интересно повставлять батарейку с подключенным USB и обычным питанием - будет ли отличие по командам и ответам...
да там разница-то в на 4 единицы максимум, такое кол****ие уровня заряда вполне может быть по разным причинам.
в любом случае, имхо, надо уже переходить к сбору устройства, которое будет посылать что-то свое вместо батареи и смотреть реакцию псп
с006 - заряд
тогда уж C0 - заряд, так как второй байт не меняется)
stasik007
23.04.2010, 17:38
1.БАТАРЕЙКА ФАТОВСКАЯ
2.ПОДЗАРЯД ПРИ СМЕНЕ РЕЖИМОВ БАТАРЕИ БЫЛ, ПОСКОЛЬКУ ЗЫЗА НА КОТОРОЙ ПЕРЕШИВАЛ ПИТАЕТСЯ ОТ ЗАРЯДКИ
3.ПОСЛЕДОВАТЕЛЬНАСТЬ ТАКАЯ КАК ВЫЛОЖЕНО - СНИМАЛ И СРАЗУ ВЫКЛАДЫВАЛ
ErikPshat, Ты ошибочно думаешь что после запроса к батарейке ЗЫЗА ищет флешку... Для того что бы она опросила карту ,ей нужно стартануть контроллер питания и зажечь зелёный светодиод. Она этого не делает. Ещё раз скажу что ЦП одинаковые и в 2000 TA88V3 и во всех 3000..И соответственно процедура старта в сервисный режим одинаковая. По непроверенным слухам, вроде в своё время дател выкладывал дамп батарейки пандора 3000 и мой знакомый проверял его и 3000 действительно стартовала с такой батарейки. Тогда было много шума вокруг дател...и службы безопасности Сони быстро прихлопнули ссылки на этот дамп. Мой знакомый успел его ухватить.....но и просрать тоже сумел :) Хард у него гикнулся...Я его спрашивал что бы он вспомнил что было изменено в дампе....Он говорил что байты сервисного серийника FF были на месте....менялось что то другое. Не могу сказать что мой знакомый говорит правду.....но что то похожее на правду может и есть. Ведь 3000 реагирует на FF и ей просто нужно что бы батарейка себя дальше правильно назвала...а этого не происходит...
БАТАРЕЙКА ФАТОВСКАЯ
хорошо бы ещё slim пандору погонять
Boryan, ого
с сервисным дампом дело бы веселее пошло
ErikPshat
23.04.2010, 17:45
тогда уж C0 - заряд, так как второй байт не меняется)Не, байты записываются задом наперёд, поэтому первая цифра с конца не меняется.
Например:
C006 = 06C0 = 1728 mAh
C306 = 06C3 = 1731 mAh
BF06 = 06BF = 1727 mAh
Поэтому эти разные данные можно списать на погрешности кол****ия тока. А то, что от фатки батарейка, я и предположил, потому что у неё 1800 mAh по стандарту, а у Слимки 1200 mAH.
Boryan, батарея Дател под 3000 - это был фейк.
1.БАТАРЕЙКА ФАТОВСКАЯ
2.ПОДЗАРЯД ПРИ СМЕНЕ РЕЖИМОВ БАТАРЕИ БЫЛ, ПОСКОЛЬКУ ЗЫЗА НА КОТОРОЙ ПЕРЕШИВАЛ ПИТАЕТСЯ ОТ ЗАРЯДКИ
3.ПОСЛЕДОВАТЕЛЬНАСТЬ ТАКАЯ КАК ВЫЛОЖЕНО - СНИМАЛ И СРАЗУ ВЫКЛАДЫВАЛ
Стоп.... во всех вышеперечисленных экспериментах была одна и та же батарея от фатки ????? тогда точно непонятны различия в предпоследнем байте - чаще это 06 но мы видели и 07 и другие значения...
Стоп.... во всех вышеперечисленных экспериментах была одна и та же батарея от фатки ????? тогда точно непонятны различия в предпоследнем байте - чаще это 06 но мы видели и 07 и другие значения...
ну так и чего, это же текущий заряд, максимум 1800, то есть 08 07, любые значения до этого максимума могут быть
Не, байты записываются задом наперёд, поэтому первая цифра с конца не меняется.
Например:
C006 = 06C0 = 1728 mAh
C306 = 06C3 = 1731 mAh
BF06 = 06BF = 1727 mAh
Поэтому эти разные данные можно списать на погрешности кол****ия тока. А то, что от фатки батарейка, я и предположил, потому что у неё 1800 mAh по стандарту, а у Слимки 1200 mAH.
Boryan, батарея Дател под 3000 - это был фейк.
Все прально, Эрик прав - максимально что мы видели это 0707 (1799) - полностью заряженный аккум....
Значит с первым запросом разобрались - возвращается флаг и уровень заряда, можно провести эксперимент - разрядить до максимума и попробовать вставить - наверное после первого запроса-ответа больше ничего не будет....
ErikPshat
23.04.2010, 17:55
Надо проверить на батарее от слимки. Если будет в пределах XX04, значит точно ёмкость батареи.
Или разрядить батарейку.
Кстати, а где дамп памяти самой батреи?
Нужно ещё снять дамп заряженной батареи, а потом разряженной.
ErikPshat, А вообще странно, что каждый новый запрос несколько отличается от предыдущего. Такое впечатление, что работает Соневский брутфорс
Блин.....а может это так и есть...и может после ответа батарейки 0хFFFFFFFF.....на следующий запрос от зызы она должна дать ответ 0хFFFFFFF1.....на следующий 0хFFFFFFF2......или что то в этом роде....нафига она посылает столько запросов? Попробую ради интереса поставить на 3000 проц с TA88V3 и снять лог....хотя процы одинаковые ...но мало ли....так на дурака....Хотя по 2000 могу сказать что зыза переходит в сервисный режим и зажигает зелёный светодиод даже с выпаянным ЦП...а это говорит о том, что ЦП тут не при делах
байты записываются задом наперёд, поэтому первая цифра с конца не меняется.
не знал этого
тогда все логично)
Ins|der добавил 23-04-2010 в 18:05
зыза переходит в сервисный режим и зажигает зелёный светодиод даже с выпаянным ЦП...а это говорит о том, что ЦП тут не при делах
так кто же все-таки опрашивает батарейку?
я думал, здесь схема вроде ЦП - контроллер питания - батарея - ЦП
ErikPshat,
Блин.....а может это так и есть...и может после ответа батарейки 0хFFFFFFFF.....на следующий запрос от зызы она должна дать ответ 0хFFFFFFF1.....на следующий 0хFFFFFFF2......или что то в этом роде....нафига она посылает столько запросов? Попробую ради интереса поставить на 3000 проц с TA88V3 и снять лог....хотя процы одинаковые ...но мало ли....так на дурака....Хотя по 2000 могу сказать что зыза переходит в сервисный режим и зажигает зелёный светодиод даже с выпаянным ЦП...а это говорит о том, что ЦП тут не при делах
Она посылает ровно 31 запрос, столько же сколько при изолированном контакте. Т.е. в результате ошибка ЗЫЗа пробует все повторить 31 раз.
в результате ошибка ЗЫЗа пробует все повторить 31 раз.
и при этом каждый раз разный вопрос)
ErikPshat
23.04.2010, 18:15
Вот ещё интересные данные из EEPROM батареи, выложенного здесь (http://www.pspx.ru/forum/showpost.php?p=882813&postcount=113).
Там с самого начала идёт структура, схожая с серийником:
0807FFFF320DFFFF - какие-то данные: 07080D32
3412FFFF7856FFFF - серийник батареи 12345678
Но таких цифр в логах терминала не заметно. Если это хедер, то должен быть какой-то идентификатор.
http://s003.radikal.ru/i201/1004/af/6456d96392d2.png
и при этом каждый раз разный вопрос)
разные вопросы при командах 80/81. я полагаю, что это могут быть вообще случайные просто данные. например, на их основе батарейка по неизвестному (нам) алгоритму вычисляет ответ, псп сравниваем с тем, что должно быть и понимает, что это оригинальная батарейка. или, например, если ответ оказывается каким-то особым, то стартует в сервисном режиме.
и при этом каждый раз разный вопрос)при изоляции - да.
при 3000 с FFFFFFFF - тоже. пытается заново начать протокол. 01, 0С, 80, 01, 0С, 80.......
А запросы 80 - всегда будут разные, в этом и прикол.
не знал этого
тогда все логично)
Ins|der добавил 23-04-2010 в 18:05
так кто же все-таки опрашивает батарейку?
я думал, здесь схема вроде ЦП - контроллер питания - батарея - ЦП
Батарейку опрашивает SYS CON такая мелкая микруха ....я про неё писал в начале ветки
ErikPshat
23.04.2010, 19:07
Судя по логу, то микруха:
Идёт запрос статуса и оставшиегося заряда батареи.
Затем идёт сразу запрос серийника.
В третьих посылается код 80 с 9-байтными данными, я думаю, сгенерированными на основе предыдущих двух, ведь больше никаких данных не получалось.
Получает 16-байтный ответ, думаю контроллёр батареи что-то тоже решает, ксорит, складывает.
Теперь вся процедура повторяется и на основе предыдущих данных, генерируются новые данные.
После выполнения второй процедуры идёт запрос по коду 81 трижды и происходит запуск сервисного режима, если всё сходится.
stasik007
23.04.2010, 19:44
может поможет..:
мне попалась китайская батарейка Slim из тех что не пандорится..
её ктото пытался сделать пандорой и попортил флеш - такая батарейка не стартует и внешне кажется что она мёртвая - подключил - оказалость есть базар. Его к сожалению не сохранил . Но что интересно - меняю серийник на фффффффф и на 80 вопрос батарейка начинает отвечать данными 000000000000000000000000! и заново всё 31 раз
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9694DA952170023D482A5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D91F4EC2EC55CFA4332BA5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D999A2FFBBBA502E61B3A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9515B5D2483
2CF985E7A5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D95B885CCB74321C88EDA512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D95DBEEAE9C0DE507FE6A5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D9F26E3A12BBEF91BD9DA5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D9B4E12D40C8B17D74D5A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9789AFE976A
89CA716CA5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9318C97903BA70098E3A512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9460321D1C0A3E7E1DBA5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D97EABD84C3F277A0212A5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D918A32E675E64961E7BA51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9FE23127E8A
C5F5EE5EA5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9F154918AFFCB673D73A512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D99A42330B064CCF40C6A5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D9519ECCC19DE966CD0CA5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D94F896D7019E9962FC5A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D93ABEDDD8EB
A2F20A0BA5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9F7AF730F5ABF0751A8A512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D948D67BA29D86D59E70A5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D9FE685E8E28791873C3A5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D9FBDEDEEABC5F7BC644A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9E655AF9BD7
6454B17CA5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9B64C5EA8BEC51FC1D6A512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D915BCF27206B0E4561CA5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D94E23C82565E1463621A5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D982F4E2158FDED26F26A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D90911488311
6AF906E2A5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9F30FE384751BB3385DA512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9A5DDE6225A479FADCAA5121500
0000000000000000000000000000003300
поменял серийник на нормальный
005A0201A2A50506101900265A020C97A50606502E83321B5A0B800A8BB33A94C44AFC5AA0A51206
02859BEA802ABFBCB2934AB16421BFA7E65A0A81A183B92026B6B9C6C2A50A06C552AC9C318ABCBF
B55A0201A2A50506001900365A0B800AF1D48330A89EABEDBAA512068B1B8F0FD0DAF66F86398CF6
5C9D04FCB55A0A815E7B4F148F74840D4AA50A0650FD5E2647B491D61700
пытаюсь включить
4B6060F45A0201A2A50506101900265A020C97A50606502E83321B5A0B80044F5A13BA597A9C4DE4
A5121500000000000000000000000000000000335A0201A2A50506101900265A020C97A50606502E
83321B5A0B800A110C156DD13DC4D6C9A512063B68A7F730A9BCD3918821D179655DBA995A0A81E4
F916434E111D0464A50A0641B02DCB7EA39A901600
ещё раз напоминаю - это не рабочая батарейка - НО РАЗГОВОР ИНТЕРЕСНЫЙ!!!
вот хекс батарейки
E204FFFF5C10FFFF0A0028004100502EFFFF8332FFFFFFFFFFFFFFFFFFFFFFFF05000000FFFFFFFF FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF030041021A03C9FF7F027F02FFFFFFFF FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFBA046400A00016002000320030026A27D72675224B1F3993 FFFFFFFFFFFFFFFF01000000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF FFFF5039741466140100020003003E9D
Boryan, ErikPshat, таким образом, схема следующая:
микросхема sys con (на плате) - контроллер батареи (в батарее) - флешка eeprom (там же);
затем проверка на вшивость, если батарея сервисная, sys con переводит контроллер питания (на плате) в сервисный режим, если стандартная - в штатный.
другими словами, все что мы видели - разговор микрухи с контроллером батареи, я правильно понял?
Ins|der добавил 23-04-2010 в 19:51
stasik007, а что она ответит на вопрос 80 при запуске со стандартным серийником?
тут вроде логично, поскольку батарея паленая, она просто не знает как отвечать, а родная "псевдосервисная" отвечает, но не то, что приставка желает услышать (значит заложены соответствующие инструкции).
врага нужно знать в лицо :) Это системный контроллер с TA88V3 на ТА90 он меньше размером....он и отвечает за всё....сейчас нету под рукой разобранной 3000
http://s61.radikal.ru/i171/1004/f3/54f8614b3995.jpg
Boryan добавил 23-04-2010 в 19:57
Ins|der, да именно это разговор sys con с контроллером батарейки
Boryan добавил 23-04-2010 в 20:03
stasik007, Сделай из китайской дохлой батарейки аппаратно пандору...оторви питание флешки ....и вставь её в 3000 и лог их базара сюда выложи....Странно как аппаратная пандора вообще работает если в ней флешка оторванна....ведь помимо FF во флехе ещё много чего сидит...а если она оторвана то что читает контроллер батарейки?
Boryan добавил 23-04-2010 в 20:08
И какой то он тупой этот контроллер при всей своей навороченности и крутости ..не видит что у него флеху отрывают..и продолжает работать :)
Странно как аппаратная пандора вообще работает если в ней флешка оторванна....ведь помимо FF во флехе ещё много чего сидит...а если она оторвана то что читает контроллер батарейки?
FF читает, надо полагать. но видимо там ничего не лежит важного. собственно для ответа на эти вопросы псп вроде ничего кроме серийника из еепрома читать не требуется. но тогда не понятно, почему вот эта китайская сломанная не работает.
stasik007, ты лучше дамп батарейки в bin. выкладывай заливай на слил.ру и ссылку сюда....а то в таком виде он как то неприглядно выглядит :) либо приводи в божеский вид его...:)
И какой то он тупой этот контроллер при всей своей навороченности и крутости ..не видит что у него флеху отрывают..и продолжает работать :)
так там отрывают ногу data out только..
stasik007
23.04.2010, 20:17
тут компактность важна
pronvit,
ты уверен? А я думал что питалово отрывают....но это сути не меняет...флехи то на борту контроллера в обеих случаях нету.
pronvit,
ты уверен? А я думал что питалово отрывают....но это сути не меняет...флехи то на борту контроллера в обеих случаях нету.
ну так написано в той статье на ps2dev. и в этом случае флешка как раз как бы есть, и видимо по электронике получается, что отсутствие контакта там значит ff, там это объяснено, но я не догнал
Как то не сильно продуктивно у вас получилось, я тоже
сегодня не добрался до своей псп. Вообще из всего что можно
на данный момент, это изучать длинные команды. Самое простое,
это пробрутить батарейку для поиска криптоалга. Все остальное
не перспективно, если в коротких командах и есть какието флаги
активных состояний, это в любом случае только инфа.
Как то не сильно продуктивно у вас получилось, я тоже
сегодня не добрался до своей псп. Вообще из всего что можно
на данный момент, это изучать длинные команды. Самое простое,
это пробрутить батарейку для поиска криптоалга. Все остальное
не перспективно, если в rdbli(коротких командах) и есть какието флаги
активных состояний, это в любом случае только инфа.
так криптоалгоритм не так важен, все равно в сервисной батарейке будет ответ другой, по другому алгоритму.
по-моему надо сделать следующее, я уже писал, собрать устройство, которое будет отвечать на все запросы, кроме 80/81, а их переадресовывать батарейке, тогда можно попробовать во все ответы, кроме имеющих другое значение (то есть во флаг из команды 01 надо, а в заряд батареи нет) запихать всякие особые значения, ну или все по порядку, и смотреть, что будет. ну и в 80/81 можно попробовать пихать ff, 00 и тд, но тут из-за длины угадать вероятность мала.
Алгоритм не может меняться, поскольку приемник
имеет только один криптоалг, так же как и один протокол.
В старой псп считывался только серийник для перевода в
сервис, в 3000й возможно задействуется еще инфа но в
пределах криптованых пакетов. Вообще, снять криптоалг с
батарейки (если конечно в ней нет лока на брут) это достаточно
интересно, поскольку врятли для каждого протокола соньковцы
сделали бы особый крипт. Снятие этого криптоалга, очень перспективно.
Нужно только точно знать, есть ли возможность ввода в сервис 3000
через батарейку. А то получится что раскапаем в криптопакетах
какуюнибудь ерунду типа: "цикл заряда", ид производителя..)
Алгоритм не может меняться, поскольку приемник
имеет только один криптоалг, так же как и один протокол.
В старой псп считывался только серийник для перевода в
сервис, в 3000й возможно задействуется еще инфа но в
пределах криптованых пакетов. Вообще, снять криптоалг с
батарейки (если конечно в ней нет лока на брут) это достаточно
интересно, поскольку врятли для каждого протокола соньковцы
сделали бы особый крипт. Снятие этого криптоалга, очень перспективно.
Нужно только точно знать, есть ли возможность ввода в сервис 3000
через батарейку. А то получится что раскапаем в криптопакетах
какуюнибудь ерунду типа: "цикл заряда", ид производителя..)
э.. почему только один? да и вообще, например так - я посылаю батарейке X, если вернет X+1, значит все как обычно, если вернёт X+2, значит сервисная, а если что-то еще, то вообще левая.
к тому же с чего вы все-таки взяли, что там есть именно шифрование.. если бы я делал такую штуку для проверки официальности батарейки, то сделал бы отсылку ей случайного набора байт, а она должна посчитать из них ответ по алгоритму, известному только ей и мне. не факт, что там вообще есть какие-то зашифрованные данные. передавать там особо нечего, шифрование более-менее делать в таких мелких контроллерах тоже сомнительно.
вот здесь:
поменял серийник на нормальный 005A0201A2A50506101900265A020C97A50606502E83321B5A 0B800A8BB33A94C44AFC5AA0A51206 02859BEA802ABFBCB2934AB16421BFA7E65A0A81A183B92026 B6B9C6C2A50A06C552AC9C318ABCBF B55A0201A2A50506001900365A0B800AF1D48330A89EABEDBA A512068B1B8F0FD0DAF66F86398CF6 5C9D04FCB55A0A815E7B4F148F74840D4AA50A0650FD5E2647 B491D61700
такое ощущение, что пропущен целый кусок кода (6 строк в начале, если сравнивать с логом в шапке), серийник опять же только раз проверяется (а должен два)
пытаюсь включить 4B6060F45A0201A2A50506101900265A020C97A50606502E83 321B5A0B80044F5A13BA597A9C4DE4 A5121500000000000000000000000000000000335A0201A2A5 0506101900265A020C97A50606502E 83321B5A0B800A110C156DD13DC4D6C9A512063B68A7F730A9 BCD3918821D179655DBA995A0A81E4 F916434E111D0464A50A0641B02DCB7EA39A901600
wtf, что это за код спереди?
отсутствует команда 5A02 03 A0, после проверки ответов на 80 и 81 следует конец разговора (а должны выдаваться служебные команды).
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9694DA952170023D482A5121500 00000000000000000000000000000033
и опять это число, как и ранее на сервисе 3000й
stasik007
23.04.2010, 21:19
а разве нелзя допустить что ответ выдаётся после манипуляций с содержимым отдельных ячеек еепром
в пользу этого и говорит то что после затирания определённых областей батарейка вобще перестаёт откликаться - срабатывает защита но от чего?
а разве нелзя допустить что ответ выдаётся после манипуляций с содержимым отдельных ячеек еепром
в пользу этого и говорит то что после затирания определённых областей батарейка вобще перестаёт откликаться - срабатывает защита но от чего?
одно другому не мешает, от запроса ответ точно зависит, возможно, зависит и от данных в еепроме. но тогда не ясно, как работает батарейка с оторванной ножкой.
stasik007
23.04.2010, 21:29
с оторваной ножкой она и не работает - зыза шлёт туда запросы а ответа нет
примерно тоже происходит если включтить приставку от адаптера без батарейки - запросы туда тоже постоянно идут
В еепроме наверняка тоже много кусков криптованых.
Что может делать батарейка и зачем там такой сложный
протокол.. самый простой ответ, для идентификации и допуска
к каким то скрываемым функциям. Батарейка является неким ключем.
Возможно в старых псп в алге была ошибка неучитывающая ффки в
серийнике, в новых это могло быть пофиксено.
с оторваной ножкой она и не работает - зыза шлёт туда запросы а ответа нет
примерно тоже происходит если включтить приставку от адаптера без батарейки - запросы туда тоже постоянно идут
да не, в смысле с оторванной ножкой еепрома пандора же работает. а в этом случае из него всегда читается ff (и получается серийник ff), если бы на основе еепрома строился ответ, он был бы неправильным тоже..
вообще кстати интересно проверить, о чем разговаривает псп2000 с запандоренной таким образом батареей.
stasik007, а предыдущие логи с китайской батарейкой - это какая PSP
по поводу оторванной ножки:
отпаянная 5я ножка - это земля у EEPROM.. т.е. отпаявая его мы отключаем EEPROM.. Когда микроконтроллер батареи пытается прочитать EEPROM он думает что EEPROM содержит везде единицы (в двоичном формате)..Это из-за резисторов на линиях данных. Ну и микроконтроллер возвращает ПСП серийный номер 0xFFFFFFFF, и ПСП переходит в сервисный режим... © VTK
stasik007
24.04.2010, 01:51
о том и речь, серийник возможно - лишь первая стадия проверки.
но тогда остается ещё вариант с "обнулением"
stasik007, а предыдущие логи с китайской батарейкой - это какая PSP
по поводу оторванной ножки:
stasik007 добавил 23-04-2010 в 22:27
это 3000
stasik007 добавил 24-04-2010 в 01:51
Если это батарея от фатки 1800 mAh, то я бы поверил.
Но если от слимки 1200 mAh, тогда не сходится.
исходя из разобраных дампов нет подозрения что ключом к успеху ожет быть напряжение питания батарейки - например зыза проверяет напряжение питания , затем серийник и если питание не выше чем у стандартной батарейки или не конкретная его величина не жмёт руку?
а исходя из схемы напряжение может быть аж до 5V но искать стоит в районе 4.5
А порог напряжения выставлен в еепроме. Тогда подтверждается легенда о существовании прошивки еепрома для 3000 модели - идея красивая ;-)
и если это так то надо будет найти отвечающие за это байты , изменить, затем дозарядить батарейку и пробовать (и главное не переборщить а то рванёт)
вопрос такой - МОЖЕТ НАПРЯЖЕНИЕ ПИТАНИЯ ВЛИЯТЬ НА РЕЗУЛЬТАТ ОТВЕТА НА 80 комманду?
ErikPshat
24.04.2010, 07:31
stasik007, дай нам пожалуйста так-же все данные терминала от оригинальной батареи Слимки 1200 mAh вместе с дампом EEPROM. Как в прошлый раз.
И ещё!
В шапке во вложении лежит прога-дампер EEPROM батареи.
Папку с программой "ospbt_060" ложить в ms0:/PSP/GAME/
Просьба всем, кому не лень, выкладывать дампы оригинальных батарей на www.slil.ru в архиве с коротким названием.
Не плохо было бы, чтобы было несколько дампов одной батарейки, но с разным уровнем заряда.
В PSP есть 3 уровня 67-100%, 33-66% и 0-33%. При 5% уходит в спячку.
Дампы сопровождать следующими сведениями (есть на наклейке):
MODEL PSP: 110 или S110
BATTERY PACK: 3.6V 1800mAh
Код батареи: 6724EWE (под штрихкодом)
Мелкий код внизу: 2-581-224-16
Заряд на момент снятия дампа: 33% (посмотреть в настройках системы)
Желательно название дампа выкладывать в следующем формате:
eeprom_S110_1200mAh_07921WMA1221_3-268-513-02_74%_TohaMEN.bin
Внимание! Не заливайте дампы от чужих батареек в свою батарейку,
например от батареи 1800mAh в батарею 1200mAh,
от батареи одного производителя в батарею другого производителя.
Это приведёт к брику батареи!
MODEL PSP: PSP-S110
BATTERY PACK: 3.6V 1200mAh
Код батареи: 07921WMA1221
Мелкий код внизу: 3-268-513-02
Заряд на момент снятия дампа: 74%
Примечание: Запондорина
eeprom_S110_1200mAh_07921WMA1221_3-268-513-02_74%_Tohamen.bin (http://slil.ru/29009692)
vBulletin® v3.8.7, Copyright ©2000-2025, vBulletin Solutions, Inc. Перевод: zCarot