ErikPshat, сорри ..точняк тупанул я :) сплю совсем чуть чуть...батарейка не даёт сцуко :) внимательность потерял....нада ехать на природу отдохнуть мальца :) Щас попробую прописать твой серийник
|
Все, забрал у своих псп, сейчас буду городить..
Боря, как я запускал псп точно не помню, но было много повторных запросов.. кароче, сейчас подрублюсь и поработаю поплотнее.. lport3 добавил 07-05-2010 в 14:42 Сходу, увидел косяки в проге.. сори боря, это была проблема не к-лайна твоего..) |
Boryan, по ходу я вроде напутал с формулой. Вроде нужно наоборот прибавлять "Недостающую разницу" или она и будет выступать [Корректирующей суммой]
Если прибавлять, то получается 4E9280EE =) Голова не варит уже в этой математике. |
lport3, и всё-таки, на какой схеме K-Line остановиться, а то я совсем запутался. Ты говоришь одно, Борян говорит другое =). Дайте мне нормальную рабочую схему, чтобы мне попусту не тратиться на ненужные запчасти. Вот этот точно подойдёт, он мне понравился что-то ).
И может лучше будет коды подставлять не в программе, а вывести внешний конфиг-текстовик. |
Цитата:
Не вопрос сделать текстовик, только зачем и как это будет выглядеть.? Цитата:
---------------------------- Боря, если не терпится, вот пока что проверил батарейку ----устарело---- сейчас возьмусь за псп.. |
lport3, не будет он работать 100% я как раз собирал клайн на аналогичной микрухе что и стоит в этом....не видит она уровень 2.7в...не видит....хоть тресни....Эрик я тебе обещал сделать по своей схеме и сделаю ....схема та что я выкладывал нга КМОП логике...только там на выходе нужно резистор 22 ом заменить на большее значение..думаю ом 100-200 намано будет...этим мы ещё меньше нагрузим шину зызы и батарейки.
lport3 когда прогу подправишь? Не терпится проверить свой девайс |
В общем домучил я батарейку и разорвал TX контакт, общение консоли с батарейкой прекратилось почти полностью, когда вставляю батарейку в консоль - получаю 31 запрос 5A0201A2 и все... на клавишу включения питания консоль не реагирует, но если подать внешнее питание то консоль снова начинает запрашивать батарейку командой 5A0201A2, но уже бесконечно и с частотой где то один запрос в полсекунды, если при этом включить консоль то она включится и частота запросов удвоится... Разрыв RX на это все никак не влияет, так что зря я с ним мучился - на него достаточно просто посадить один проводок, который потом нужно соединить с проводком от RX USB-кабеля на базе PL2303HX и он будет прекрасно все слушать.
Да и если все разрывы соединить, то батарейка отлично работает и заряжается... Теперь о грустном - мне так и не удалось подсунуть ответ... пытался на запрос отослать A50506104F04EC и через свою прогу и через RealTerm и через прогу lport3 (последняя даже запросов не показывала) и в итоге нулевой результат - так и не добился появления запроса серийника, вот и думаю то ли ответ не понравился то ли TX не работает... У кого есть рабочий k-line попробуйте в RealTerm ответ подсунуть, для этого на закладке Display нужно выставить галку Half Duplex чтобы видеть исходящую инфу, а на закладке Send прописать в первом поле ответ "0xA5 0x05 0x06 0x10 0x4F 0x04 0xEC", дальше вставляем батарейку у которой изолирован средний контакт, ловим 31 запрос и пытаемся ответить быстрым нажатием кнопки Send Numbers ... Интересно получится ли у кого нить получить второй запрос или нет... |
Цитата:
Но вижу, что там нужно все ответы прописывать вручную. А если прогу закрыть, то наверное ничего не сохранится. Поэтому предлагаю сделать текстовик, чтобы по какому-либо правилу оттуда брались бы заранее прописанные ответы на код запроса. Например, в текстовике прописать код запроса и через пробел писать ответ, примерно так: 5A0201A2 A5050610C30676 5A020C97 A50606FFFFFFFF52 5A0B8008 A51206EFDDEDA268B1F15CF705F1F16FFADDE27B Ну в общем, точно так-же, как у тебя в проге. Только если у тебя сохраняются при выходе все прописанные данные, тогда конечно уже не нужен внешний текстовик. |
Ничего сегодня не получается, даже включить не смог псп..
при включении батарейки лог длинный, не было такого раньше.. помутил с грабом.. но это дело долгое и муторное.. пример граба при вкл.питания, к сожалению бестолковый Завтра сделаю анализ логов поглубже, но из того что сразу заметил - как только изменил A5050610DA0263 на A5050600DA0273 изменились длинные запросы были 8008.. стали 80d9. - непонятно зачем псп запрашивает 5A02168D , поскольку в ответе аскинекс надпись - SonyEnergyDevices. - на 5A0B8004....,5A0B8097.. батарейка отвечает нулями, зачем тогда спрашивать? http://narod.ru/disk/20510169000/Bat...j_2_1.rar.html |
lport3,
на слил (http://zalil.ru/) кидай софтины, пожалуйста. |
lport3, воот теперь твоя прога шарашит отлично :)
Код:
запрос : 5A0201A2мелкие сбои это уже мои тонкости...так ещё и батарейка дохлая...зарядить нужно :) СПАСИБО тебе...:) снимаю шляпу :) |
Эхо буфера искажено, проверьте подключение. -
это значит, что прога не знает что на это ответить.. на нормальном серийнике запрашивает 8008,8002 на fffffff запрашивает 80д9,8004... 8002,8004.. нустые, я пробовал батарейку побрутить по этим командам.. Чтобы псп загрузилась надо на все длинные команды отвечать 15-отр.ответ.. |
Кто хочет брутить зызу собирайте мою схему на КМОП логике вместо CD4011B можно использовать отечественные аналоги 561ЛА7, 561ЛН2 ...последняя правда 6 инверторов....схема будет ещё проще...пайки меньше...шнурок с PL2303 в евросети стоит 190 руб.....только с выхода Тх логического элемента в линию к-лайн поставьте резистор вместо 22 ома от 100-200 ом.и на вход Rx то же можно от 100 до 200 ом...
ЗЫ аналоги : TC4011, MC14011, HEF4011, CD4011/DIV, 561ЛА7, 1561ЛА7, MC14011, HEF4011, TC4011, HCF4011, SCL4011, UPD4011, HHF4011, GD4011, F4011, MN4011, LC4011, Boryan добавил 07-05-2010 в 23:10 ЗЫ я старался сделать легко повторяемую схему и на ширпотребовских элементах с минимумом сложности ...и что бы она была безапасна для зызы ...не просаживала линию общения зызы с батарейкой...Всё!!! Схема удалась! Пользуйтесь! СПАСИБО ещё раз lport3, без него мы ни чего не сдалали...А теперь я поеду в глу*** деревню до 11 мая....нужно отдохнуть мальца. Удачи всем!!!С днём победы!!! |
В ней, неправильно тайминги на работу с псп были
выставлены.. |
Yoti, держи
http://slil.ru/29100705 Кто нибудь, повторите опыт с батарейкой 3000. С калькулятором сидел долго, никак верная добавка не выходит... Думаю что из за того что при родном нанде она всё ещё читает родной серийник и к нему прибавку делает. А тогда нужен ещё и родной для уточнения. Короче надо как то сделать (программатором или добавкой) чтобы батарейка от 3000 послала ключик FFFFFFFF тогда, возможно, некоторые проблемы решатся. |
Цитата:
|
Ну я про это же. Если кому не жалко (программатором) или есть уже глюкнутая (добавкой и чтение логов)
И чо то мне кажется, батарейка после программатора увидит что стоит FFFFFFFF и тоже отрубит еепром. |
Цитата:
|
Я не думаю что простым смещением кода можно залезть куда нибудь дальше, чем в еепром... Сони не дураки, видите сами.
И кстати, опыты по этому направлению к чему нить интересному привели? |
Согласен. Никакое расшаривание EEPROM не даст дамп контроллёра. Для этого нужно разузнать специальную команду. Наподобие 14.
|
lport3, Потестил твою прогу под пение соловьёв в деревне :) супер...вот где нужно работать...на свежем воздухе в глуши :) Прога пашет отлично! Единственная просьба, если есть возможность, то добавить в прогу третью закладку...что бы тупо можно писать лог общения как в реалтерме...ну и в твоей проге легче лог сохранять для анализа ...в отличии от кривого реалтерма...ну вроде как одной прогой пользоваться. А то частенько для работы нужно лог снять...и приходится в реал терм лезть. А логи походу нам сейчас потребуются в больших количествах. Я попытался побрутить зызу....но споткнулся на 80 запросах....ответ не верный и сразу 31 запрос сыплется. Работы много предстоит....думаю нужно больше логов с 80 запросами и ответами. Нужно понять алгоритм ответа но 80 запросы....иначе боюсь мы ни чего без этого не добьёмся..
Boryan добавил 10-05-2010 в 17:34 Да, понял как посчитать правильно добавочный байт....тут считали со второго байта....откинув А5 или 5А.....замучился я таким методом считать...не получалось....В итоге сам допёр... нужно сложить все байты команды включая А5 или 5А...... и есно если сумма большее FF то оставляем тот байт что справа в сумме....и эту сумму нужно вычитать из FF...например нужно посчитать корректирующий байт для команды 5A0B800A31FCC62573BB2BDB.....делаем сложение...5А+0В+80+0А+31+FC+C6+25+73+BB+2B+DB=53B....оставляем 3В...FF-3B=С4....С4 это и есть то самый байт ....в итоге полная команда будет 5A0B800A31FCC62573BB2BDBС4 |
Надо второй к-лайн кидать на батарейку и
длинные запросы из нее вытаскивать.. получится что мы только определенные команды будем перехватывать и подменять.. Жаль не понятно что вообще представляют собой длинные команды. Есть если заметили 2 длинные команды, первые 8008-800d они легко читаются при бруте батарейки, но после этой команды идет еще одна длинная команда 8002..8004..8102..80d9.. они не брутятся батарейкой, а точнее считываются с нулями, вот в этом может быть засада..во второй длинной команде..ниже пример чистого брута батарейки по 80й команде, обратите внимание что только 8008-800d читаются.. брут длинной команды 800х |
lport3, Насколько я понимаю ты брутишь батарейку от своей 3000? Так вот про батарейки ...есть с контроллером A01V13M07G...эти батарейки пандорятся программно....есть с контроллером (новые) 16808С185С....походу у тебя такая....Что удалось выяснить....изначально батарейка работает по команде 14 (чтение епрома) но как только вы попытаетесь отрезать ножку (аппаратный перевод в пандору) команда 14 блокируется навсегда !!! Если принудительно в епроме ( надругом программаторе или батарейке) прописывать свой серийник то все серийники будут приняты контроллером...но как только серийник будет ff.....или 00..... то контроллер посылает епром далеко :) и достаёт из своей заначки серийник 686F7065....и всё!!! Походу в новой батарейке есть серьёзная защита от пандоривания в епроме....контроллер сечёт серийник епрома....Но, изначальная работа с командой 14(чтение) подталкивает невольно и на работу команды 13(запись)....для чего это сделано? Думаю для возможности делать батарейку пандора для 3000 но другими способами которые мы не знаем. И походу возможен серийник FFFFFFFF на такой батарейке....но там возможно в епром нужно менять не только его а ещё что то что скажет контроллеру что серийник FFFFFFFF заменён законно методами сони....и тогда батарейка будет пандоровской....
Boryan добавил 10-05-2010 в 22:12 странно что у тебя 80D9 не читается.....хотя когда батарейка пандора 2000 в 3000 стоит она как раз и запрашивает 80D9....но мои все батарейки на него тож нулями отвечали....а Стасова нормальным кодом отвечала....но он всё равно зызу не устраивал....ох уж эти китайцы и сони налепили кучу разновидностей батареек ..поди пойми теперь какая куда... |
У меня 14я команда тоже вся нулями возвращается.
Я думаю, что для того чтобы прошли нормально некоторые команды, например 14,13, или длинные пакеты 800d> .. например, надо пройти что то вроде парольной сессии, это скорее всего первый длинный пакет.. ---------------------------- Судя по разнице в логах 385 и 390 пост (считывание еепрома), для считывания еепрома из батарейки надо опять же правильно открыть "парольную сессию" с батарейкой, иначе батарейка не выдаст правильный ответ на 14ю команду.. В первом 385м посте вообще нет длинных команд, видимо потому что батарейка голимая, а может псп < 300x .. ---------------------------- может в psp sdk есть намеки на эти длинные пакеты.. хотя бы понять что это такое. Yoti в сдк должен разбиратся.. |
lport3, есно логи на чтение и запись епрома были сняты на 2000 пршиваемой....на 3000 эти проги не работают вообще. Я тож думаю что обмен длинными командами это "парольная сессия".....но как взломать её? Вот в чём вопрос....
|
Для начала надо понять как оно устроено, а потом уже
думать как сломать. Из опыта скажу что сессии не ломаются, их для этого и делают.. но есть другие способы.. не в лоб.. если в псп сдк используются библиотеки, то можно зная вход и выход в процедуру вырезать кусок с криптером или декриптером.. или опять же снять длинные команды с батарейки.. варианты есть, но не зная свойств длинных пакетов все будет сложно.. Цитата:
пакеты псп загружается, но наверняка с ограничеными возможностями, например непойдут некоторые игры или невозможно будет сделать обновление версии прошивки.. |
lport3, а кто говорил что будет легко :)....ждём Yoti, мож он поможет .....ещё заметил что дохлые батарейки на 80 запрос отвечают вместо 06 команды ...15 командой....
|
lport3, Boryan,
ничего такого не попадалось... Это же не офф сдк, а самопальный. В документации у минималиста всё спокойно... Переберу ещё разик. |
Boryan
значит у тебя заработала прога от lport3 и твой собранный k-line - так может теперь посмотришь почему не работает вариант когда подключение RX и TX идет напрямую к батарейке, ведь по идее там тоже должен реализовываться тот же k-line в виде центрального контакта... У меня так ничего и не заработало при таком подключении - точнее слушаю я все отлично а вот на передачу вообще не пашет, а прога отlport3 даже и не слушает - видать сильно под вашу реализацию заточена, хотя я не понимаю почему такая принципиальная разница получается...Это все сужает круг участников процесса, поскольку на данный момент только у тебя и lport3 работает железяка... или у кого то еще получилось подключиться ? |
Цитата:
Цитата:
В теме со сменой идентификатора memory stick именно в это всё уперлось, если мне память не изменяет. Рядовые пользователи менять его не должны, а взломщикам - палки в колеса. Насколько я помню, внешний EPROM используется для хранения изменяемых данных, с целью калибровки батареи или вроде того. Сони могла его оставить просто для совместимости) Кстати, в каком плане 3008? 8ка на конце - это ж вроде код региона.. |
ANDPSP, Ну как вроде ты умеешь паять? Так в чём проблемы? Спаять девайс к-лайн по моей схеме пара пустяков. И ни каких батареек. А к-лайн на батарейке не будет работать потому, как выход Tx PL2303 по умолчанию имеет высокий уровень, который в свою очередь тупо открывает транзистор и в результате вся линия К-лайн замыкается на землю. Для того что бы эта схема в батарейке заработала её нужно дорабатывать....и эта доработка будет гораздо сложнее моей последней схемы. Поэтому я и ушёл от использования в качестве к-лайн батарейки, и разработал схему проще некуда.
Boryan добавил 11-05-2010 в 21:36 Ins|der, да, именно 3008 послала голимую китайскую батарейку...а 3000 работала с ней....Хотя вроде регион тут не причём...но сдаётся мне что в sys con незначительно изменена программа проверки батарейки на подлинность а именно 80 команда.....и китайские батарейки не могут на неё ответить правильно....и в пролёте....нуно будет сравнить ради интереса sys con 3000 и 3008.... |
Цитата:
|
если будет время или завтра или на днях выложу полную доку с картинками как собрать к-лайн для "чайников" :))) В матерях комповых может быть нужная микруха. Но лучше купить в чип и дипе она копейки стоит....выпаять из матери микруху без навыков будет очень сложно...за это время 10 раз в чип и дип слетаешьь :)
Boryan добавил 11-05-2010 в 23:37 подойдёт любая микросхема из этого списка : TC4011, MC14011, HEF4011, CD4011, MC14011, HEF4011, TC4011, HCF4011,SCL4011,UPD4011, HHF4011, GD4011, F4011, MN4011, LC4011,-буржуйские 561ЛА7,1561ЛА7,-отечественные В конце надписи буквы могут быть любые Boryan добавил 11-05-2010 в 23:39 вот http://www.chip-dip.ru/product0/462647834.aspx ещё нужно два самых маленьких по размеру резистора на 200 ом и один на 10 ком |
Boryan,
можешь сразу поправить, что что бы выпаять из мамки без специальной насадки почти невозможно :)) кстати как прогресс в взломе psp ОО sasiska12 добавил 12-05-2010 в 00:06 также если всё равно всех потянет выпаивать самому, то проще брать и проволочку пропускать под микросхемку и сразу тащить её на себя :) |
нууу....ребят мы так не договаривались....чота прям тухло тут всё :)))Ну коли так...ни кто не может собрать девайс для брута зызы и батарейки ..а у меня он есть..... давайте делайте анализ логов что я выложил тут http://slil.ru/29124036 Много чего интересного я нарыл....на одинаковую команду 800А (эту команду даёт 3000 зыза, а аналогичная команда у 2000 8008) частенько идут одинаковые ответы :) А вот 81 команда смутила :( Ещё непонятка с 80D9.......проверил штук 15 батареек на неё...везде ответ A5 12 15 и далее нули.....у Стаса есть батарейка которая на 80D9 отвечает командой A5 12 06 и далее 16 байт кода......:(. Короче кому интересно анализируйте мои логи и давайте мне задание на новые команды и логи ....я сниму и выложу их всем для анализа...
Boryan добавил 13-05-2010 в 02:20 хааа вот вам и весь секрет и алгоритм ответа на 800A :))) команду давал приблизительно через секунду...затем вручную менял последние два байта и снова мышкой кликал на кнопку послки команды...с паузой секунда :) Код:
5A 0B 80 0A 00 00 00 00 00 00 00 00 10lport3, если можно, то в закладке брута батарейки было бы неплохо сделать возможность посылки запроса с паузами которые можно изменять :) Boryan добавил 13-05-2010 в 02:28 если это возможно ....то очень интересные перспективы открываются :) |
Заметь, в ответах на запросы (800A): 0x00, 0x11, 0x22, 0x44, 0x55 - всегда вторая половина ответа (8 байт) приходила одинаковая:
А в твоём примере "бат_5A 0B 80 0A 79 95 FC 73 11 0A F7 39 48.txt" - наоборот, первые 8 байт всегда постоянные, а вторые 8 байт изменяются ) То есть, судя по всем твоим логам, можно сделать однозначный вывод, что 16-байтный код ответа состоит из 2-ух независимых частей по 8 байт. |
ErikPshat, с 80 командой со всеми её видами 80хх всегда так ....но ответ зависит от времени между запросами!!!Если оно больше 0.5 сек то ответы одинаковые ....а если меньше....ну есно рукой я не могу точные паузы делать...то разные.!!! Поэтому я и попросил lport3 сделать регулируемые паузы между запросами. Ещё бы не плохо было и количество запросов регулировать. Ну и в довесок возможность брутить батарейку полными логами, как это сделано в бруте зызы. Непонятно с 81 командой....там всегда на одну команду приходят разные ответы ....Вообще непонятка с привязкой по времени даже в 80хх команде...каким образом она выполняется? Разное время между запросами и разные ответы.....но это в бруте....а как в реале общения с зызой...там же все запросы и ответы идут без пауз....Потом есть подозрения что второй байт 80 команды походу и задаёт какие то переменные во времени ....Короче не батарейка, а хз что :) либо мы сталкиваемся с нештатными режимами батарейки посылая сразу 80 команды без начальной инициализации....А если бы всё делали согласно инструкции последовательности команд то такой галиматьи и не получали бы...
|
Boryan, вообще вполне вероятно, что есть привязка по времени.
То есть, аналогично динамической адресации памяти после включения PSP:
|
Цитата:
И вроде ты сам писал что брут батарейки - это тупик и нужно играться с консолью эмулируя батарейку и лучше именно мучить сразу 300X версию поскольку поведение отличается от 1000 и 2000 и распылять силы на эти консоли гиблое дело... Тем более нет уверенности что с какой либо имеющейся у тебя батарейкой каким либо образом можно запустить PSP3000 в сервисном режиме, может в них во всех нет правильных ответов на запросы консоли... И насчет длинного ответа батарейкой на запрос консоли 0х80 - ведь он всегда 16 байт вроде - может это 128-битный ключ которым консоль шифрует данные посылая следующий 0х81 запрос 8 байт и в ответ батарейка тоже возвращает 8 байт (может уже декриптованные), консоль понимает что они верные и стартует... Ведь реализовать аппаратный AES не проблема и 128-битного ключа будет достаточно для обеспечения защиты этого уровня, ведь пока консоль не стартанула KIRK спит ... |
ErikPshat,
там много что на время завязано. Я в одном модуле реализовал рэндом, привязав к количеству времени... прошедшему с 1970 года (в секундах). |
| Текущее время: 14:36. Часовой пояс GMT +3. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc. Перевод: zCarot
PSPx Forum - Сообщество фанатов игровых консолей.