Сони защитили загрузку с стика но слабо, брутфорсом ломанули четыре байта подписи и привет, пандора :)
|
Цитата:
типа такого это общение фатки и запандоренной батарейки, консоль выключена, внешние питание подключено... Плохо одно - что в таких режимах консоль не запрашивает серийник батарейки вообще и у меня сложилось мнение что серийник запрашивается только один раз - при вставке батарейки... а это фигово для экспериментов - каждый раз нужно будет вытаскивать батарейку и вставлять заново или делать прерыватель по питанию какой то... |
Кстати да, серийник запрашивается 1 раз и после этого консоль уходит в сервис мод (если речь про 1000,2000) потом если включать выключать консоль - она все-равно будет считать батарею запандоренной (даже если в процессе использовать утилиту по смене серийника и сделать ее обычной (если речь про 1000 где это легко делается програмно).
Т.е. действительно если мы хотим получить сервисный режим на 3000 то скорее всего нужны последовательности при первом знакомстве псп и батареи (т.е. процесс вставки батареи в псп без подключенной зарядки (если есть зарядка то в этом случае псп помнит серийник батареи)). |
И лучше если это будет батарейка от PSP-3000...
|
Нужны логи с батареек, 2000 и 3000
80080000000000000001 80080000000000000010 80080000000000000011 80080000000000000100 80080000000000001000 80080000000000000111 80080000000000001111 только эти, других не надо. китайские тоже не пойдут.. спасибо. |
Цитата:
|
ANDPSP, да не, китайскими называют не выпущенные в Китае, т.к. щас всё выпускается там, а имеются ввиду неоригинальные, т.е. те, которые сделаны в подвале и называют подделками.
|
Цитата:
Boryan добавил 20-05-2010 в 21:50 начну вот японских ....одна из них пандорится программно другая без 13 и 14 команды...вот они http://s41.radikal.ru/i092/1005/ff/dbf7b01e752et.jpg |
Японские точно пойдут..)
если у них еепром не сдернут, то пойдут для логов несмотря на серийники. Вообще. нужны 300х совместимые батарейки, про старые батарейки. больше для интереса спрашиваю.. Цитата:
|
И так логи с батарейки у которой нет 13 и 14 команд. Делал по три запроса на каждую команду с паузой 1 сек
ЛОГИ Boryan добавил 20-05-2010 в 22:03 lport3, Это 100% 3000 совместимые батарейки и они не старые а новые. Boryan добавил 20-05-2010 в 22:17 Сколько запросов делать одной командой? Сейчас начну снимать лог с которая пандорится Boryan добавил 20-05-2010 в 22:21 Но одно пока озадачивает ...не нашёл не одной батарейки (среди огромной кучи) которая умеет отвечать на 80D9.......походу это и есть секрет пандоры 3000....уметь правильно ответить на этот запрос...И сдаётся мне что активация этого ответа зарыта во внешнем епроме контроллера батарейки....иначе каков смысл закрытия доступа к епрому в новых батарейках? Boryan добавил 20-05-2010 в 22:25 лог батарейки которая пандорится Лог Boryan добавил 20-05-2010 в 22:27 lport3, ты давай не стесняйси :) я пока у компа с к-лайн и кучи батареек сижу ....давай команды что делать :) Щас забабахаем :) |
Нет, этих логов "за глаза". :good:
|
ОК ....нуууу....ты ежели чего...заходи (с) :)))http://www.youtube.com/watch?v=4EOcFKipLf0
Boryan добавил 21-05-2010 в 00:07 lport3, Мысли есть какие по поводу 80D9? как на неё отвечать? Алгоритм тот же что и в 80хх как думаешь? |
При реализации протокола надо учитывать узость
канала, низкую процессоемкость микроконтроллера в батарейке... Принимает пакет и обрабатывает одна и та же процедура, направляющие при этом первые два байта, 8008,80д9... Судя по куче логов в топике таких направляющих много всяких разных, и городить для каждого подпрограмму нереально, значит все они обрабатываются одинаково. Ну а направляющие ( - #8000) это либо адрес, либо ключ, либо адрес ключа. Второй 8 байт блок для синхры времени, скорее всего передается один раз, как добавочный пакет. Возможно, без него будет тоже работать.. |
Вот завтра отдам ребятам
ErikPshat, ANDPSP, девайсы к-лайн и надеюсь работа ускорится..А то пока ты один реально копаешь ....ну и я мальца в меру своих знаний...нас уже четверо будет..а это уже сила:) жаль что больше ни кто не хочет этим заниматься... Но после 80хх есть ещё 81....что про неё скажешь? Boryan добавил 21-05-2010 в 01:12 ну и на всякий случай логи по твоему алгоритму но 81 команда 81хххххххххх |
Можешь сделать так же только 8009...
То, что ты снял с 81й команды интересно, не думал, что батарейка может ответить на такое. Одинаковые запросы но разные ответы..хм. |
лови :) 8009
8009 Boryan добавил 21-05-2010 в 01:37 дык если ломанём 80хх то за ней идёт запрос 81хххххх....и только потом зыза дружит с батарейкой :( Boryan добавил 21-05-2010 в 01:39 а вот ещё 81 команда но одни 0000 и ответ одинаковый 810000000000000000 Boryan добавил 21-05-2010 в 01:43 а вот лог 81 команды по твоему алгоритму с японской батарейки :) очень интересный лог :)) Boryan добавил 21-05-2010 в 01:49 короче ипонские батарейки на 81 команду отвечают всегда одинаково....китайцы всегда по разному....и в обеих случаях зыза хавает ответы на 81 команду....вот лог и брут и всякая смесь в 81 команде на японской батарейке....ответ один :) :)))) Boryan добавил 21-05-2010 в 02:00 не батарейки а сплошная загадка....две нулёвые 1цикл заряда..батарейки японские на 81 команду стабильный статический ответ на разные значения 8 байт команды...при чём вставлял их в зызы играл на зызах и потом только снимал логи.....такие же японские батарейки но уже поработавшие в зызах с неизвестным циклом зарядов.....дают разные ответы на 81 команду....бредятина какая то....это то нафига? Boryan добавил 21-05-2010 в 02:19 ППЦ как вставил японскую батарейку с кодом FFF в 3000 и она есно запросила 32 запроса....батарейка на 81 .....стала отвечать....динамически.....Вставлял японскую батарейку с нормальным серийником в 3000....включал зызу ....потом 81 команда ..брут ...ответ одинаковый статический....что за хрень такая? Выходит 80D9 как то связанна с 81 командой? и после 32 запросов 80d9.....ответы на 81 команду динамические.... Boryan добавил 21-05-2010 в 02:28 Продолжаю мучить батарейку....81 запрос+брут... ответ динамический. Разбираю батарейку....отрываю батарейку от контроллера и снова подключаю...тем самым заставляя работать контроллер с чистого листа....81 запрос+брут ...ответ статический... Boryan добавил 21-05-2010 в 02:33 выходит что 81 команда строится из ответа батарейки на 80хх и эти две команды работают в связке.....не хило соня замутила... Boryan добавил 21-05-2010 в 02:52 дальше батарейку пытаем, серийник 000000( автобут)... :) Обнулил контроллер...81+брут...статический ответ. Вставляю батарейку в 2000 зызу, зыза стартует....выключаю зызу...81+брут...статический ответ. Вставляю эту батарейку в 3000!!! .....81+брут...ДИНАМИЧЕСКИЙ ответ! Снова вставляю батарейку в 2000 зызу, зыза стартует....81+брут...статический ответ!!!2000 зыза вылечила батарейку!!! :)))Это что? Выходит что 3000 намеренно сводит батарейку c ума.. с серийником FF и 00?...для того что бы она давала неверные ответы? И что бы 3000 зыза не перешла в сервисный режим? Может в этом весь секрет? Чота я запутался :((( Boryan добавил 21-05-2010 в 02:58 Выходит 80D9 это не команда запроса .....а команда временного уничтожения батарейки.....и не зря 32 посылки....что бы сбить всю библиотеку ответов в оперативке...ведь другие 80хх команды батарейку с ума не сводят...и после них всегда статический ответ на 81....в отличии от 80D9.. |
умно сделано - если батарейка сервисная то доджна знать ответ на 80д9 а если обычная пандора - то получи по рогам :))
|
но каким образом тогда 2000 зыза возвращает всё на круги своя? Лады, завтра попробую снять лог как 2000 лечит батарейку после 3000....
Boryan добавил 21-05-2010 в 03:11 Цитата:
Boryan добавил 21-05-2010 в 03:15 да походу 80хх это команды записи в оперативку по выбранным адресам...затем идёт ответ батарейки что всё ок и она записала по такому то адресу данное зызой значение ...а затем 81 команда что то запрашивает из того адреса куда была сделана запись...ибо точно известно что значение ответа на 81 команду меняется только после того как поработает 80хх команда...ну как то так...это мои догадки Boryan добавил 21-05-2010 в 03:32 и так ...беру батарейку послаю 81+брут, ответ статический. Делаю запрос 8008 с 0000 и брутом первого байта...255 запросов....и снова 81+брут, ответ статический. Делаю запрос 80D9 c 0000 и брутом первого байта..255 запросов....и проверяем 81+брут....и опа...батарейка сошла с ума......ДИНАМИЧЕСКИЙ ответ!!! Boryan добавил 21-05-2010 в 03:34 И какие мысли у народа по этому поводу??? Boryan добавил 21-05-2010 в 03:48 А теперь мне сдаётся что на 80D9 вообще нет ответа ...и его быть не может!!! Это ход соней для увода в сторону от истины и для сбоя оперативки контроллера ..это команда записи хлама в оперативку. Ведь после 32 посылок 80D9 зыза вообще перестаёт работать с этой батарейкой и с рычажка не включается даже....Так мало того, эта команда стоит в отдельном ряду от 80хх команда кои расположены по порядку и их не много...вот рабочие команды 8008,8009,800A,800B,800C,800D...и это всё!!!! А вот 80D9 чота далеко от них отстоит....И сдаётся мне в свете последних исследований ,что серийник у пандоры 3000 не ffffffff и 00000000.....а обычный ....но его нужно найти....4 байта это не так уж и много для перебора... Boryan добавил 21-05-2010 в 03:50 нужно разработать быстрый метод перебора....серийника... Boryan добавил 21-05-2010 в 03:59 lport3, В свете твоих знаний... как ты считаешь, мои последние доводы...есть в них истина, или я бред написал? |
Цитата:
ANDPSP добавил 21-05-2010 в 11:45 Цитата:
ANDPSP добавил 21-05-2010 в 12:06 Цитата:
|
ANDPSP, Твой девайс готов полностью, можешь сегодня забрать.:)
Boryan добавил 21-05-2010 в 12:38 ANDPSP, Цитата:
Boryan добавил 21-05-2010 в 12:46 Ещё одна интересная феня :) на запросы 80080000000000000000 но с разным временем....всего 4 варианта ответа ответы Boryan добавил 21-05-2010 в 12:54 А вот ещё интересное....подаю 8008 с 00 и за ней 81 с брутом....если ответ на 8008 совпадает то и ответ на 81 и далее по фигу что там в последующих 8 байтах -ОТВЕТ СТАТИЧЕСКИЙ и одинаковый. Значит 80 команда это подготовка к ответу 81 команду... лог 80 +81+80+81 Boryan добавил 21-05-2010 в 12:59 итог ...одинаковые значения ответов на 80, дают одинаковые ответы на 81 не зависимо от значения 8ми байт в 81 Boryan добавил 21-05-2010 в 14:24 ErikPshat, Твой девайс тоже готов. :) Boryan добавил 22-05-2010 в 11:12 ну вот и сбылись мои догадки по поводу батарейки от Стаса которая умеет отвечать на 80D9.....китайцы перестраховались и весь диапазон 80хх команд от 00 до FF они перекрыли .....И походу второй байт в 80 команде вообще непонятно за что отвечает.....за алгоритм? За адреса ключей? Куда интересно запихнули в батарейке 255 штук 16 байт ключей?...И может это и не правильно ....но эту "левую" батарейку как ни странно принимает 3000 и прекрасно с ней работает. Выходит что батарейка правильно отвечает и на команды 3000....а там уже не 8008 а 800A....команды изменены....значит и на 80D9 батарейка правильно отвечает....выходит 80D9 лажовая команда? ..... Вот лог 80-- Хотя может я и ошибаюсь и это не левая китайская батарейка....а что ни на есть самая оригинальная ....просто выпущена в китае. Boryan добавил 22-05-2010 в 12:08 И действительно ..расковырял эту батарейку....все аргументы за то, что она самая оригинальная ....монтаж на самом высоком уровне ....банка самой батарейки изготовлена идеально....мало того ножки контроллера и микрух залиты силиконовым компаундом ...что очень правильно. Судите сами где есть что? :) слева та которая знает все ответы на 80хх http://s61.radikal.ru/i171/1005/3d/afbfde757b26t.jpg ещё: http://s001.radikal.ru/i193/1005/82/59c3c39ad812t.jpg Походу это и есть самая оригинальная батарейка из первых партий....и она действительно знает все ответы но 80хх команды....а позже в других батарейках для упрощения вырезали не нужные ответы на 80хх команды.... Boryan добавил 22-05-2010 в 13:02 и всё же, 80D9...это реальная команда и на неё есть ответ...или эта команда для "бана" батарейки с серийником FF ...и 00...??? |
Боря, а ты пробовал каким либо образом перевести эту китайку в сервис режим? EEPROM отключить, FFFFFFF залить? Если не переводится то видимо всё же придётся подменять команды и посылать зызе ключ FFFFFFFF а потом подключать эту батарейку чтоб отвечала
|
Эта батарейка переводится и в пандору и в автобут программно. А потом ..читай эту ветку внимательно!!! :) Если разговор идёт о команде 80D9....а эту команду посылает 3000 только при условии что в батарейке серийник ffffffff или 00000000.....раз есть логи этой батарейки ....наверное я сумел перешить её на пандору :)
|
Цитата:
попробуй 80--0000000000000000 lport3 добавил 22-05-2010 в 14:45 Цитата:
81 зависит или от настройщика счетчика, либо и от счетчика и от кода. Для проверки надо добится одинаковых вторых 8 байт, при разных первых 8ми (в пакете 8008...), и после этого смотреть 81.. lport3 добавил 22-05-2010 в 14:52 Цитата:
может ты, как выше, напутал с длиной пакета.. хотя то что 81я зависит от 8008 это ты выяснил точно. --------------- Надо бы, чтоб не подбирать слова определится с терминами по командам .. |
Цитата:
НО некорректный лог какой то у тебя получился со Стасовой батарейки, должен быть вроде этого брут 80--0000000000000000 а у тебя почему то "5A 0A 80 00 00 00 00 00 00 00 00 1B", не понятно как ты умудрился сотворить такое, потому что везде 80 команда имеет длину 0B (см. шапку например). Это я пытался повторить твой брут на своей толстой батарейке и сравнить ответы с твоими, и еще вариант - выложи тут дамп епрома Стасовой батарейки - я попробую залить в свою - может тогда и у меня ответы появятся на запросы типа 8008, 80D9, 800A Теперь эксперименты с этой толстой типа оригинальной батарейкой и двумя тонкими китайскими аналогами сбой по 80D9 и лечение итак логика поведения батареек совпадает, но совсем ставить крест на китайских батарейках не стоит - все же на один и тот же 80 запрос они дают всегда одинаковый ответ, а вот на 81 запрос ответ конечно динамичный, зато поведение толстой батарейки порадовало - полностью соответствует поведению батарейки Бориса, правда на большинство запросов отвечает нулями, но это из-за сбитого епрома скорее всего... Ну и на последок лог первого подключения китайской батарейки к PSP1000 и PSP3000(брик) Как видно из лога китайская батарейка не смогла ответить на 800A, но это не помешало PSP3000 перейти в резервный режим и запросить нужную информацию резервной командой 8004, на которую батарейка успешно дала ответ и общение продолжилось аналогично общению с PSP1000 ANDPSP добавил 22-05-2010 в 15:28 Цитата:
Борис может быть вспомнишь что это была за батарейка и какая консоль ? |
lport3, точняк я поспешил с 80--..:)) команда короткая....но батарейка её схавала как ни странно :(
Boryan добавил 22-05-2010 в 16:24 ANDPSP, ну наконец то работа пошла :)) да с длиной 80 команды я лоханулся....но не суть...А вот странно что твоя батарейка не знает ответа на 8008.....это должна знать любая батарейка!!! Это самая древняя команда.... Boryan добавил 22-05-2010 в 16:27 залил дампы батареек стаса к тебе....ищи архив стас.rar Boryan добавил 22-05-2010 в 16:46 всё 80-- лог подправил...теперь не 7 байт ключик а 8 :) |
Цитата:
Цитата:
вывод - батарейка отвечает неправильно, и для дальнейших изучений не годится. |
lport3,Спорить не буду..... но хз как правильно....но эта батарейка отлично работает во всех режимах на 2000 и 3000 её в нормальном режиме принимает....вот и думай какая правильная батарейка? Может другие наоборот не правильные....просто реально видов батареек штук 10-12...поди разберись кто из них рождён как изначально задумала сони...Странно то, что многие походу отвечают не правильно...но почему их тогда зыза хавает? Или в итоге все эти 80хх команды частично лажовые?
|
Цитата:
Цитата:
Вернул свой прежний полупустой епром и снова стали реальные значения... Теперь о попытках запустить консоль эмулируя батарейку - в принципе поведение консоль-батарейка эмулируется полностью, PSP3000 так же получив от компа на 800A отрицательный ответ вида A51215 пытается вернуть работоспособность командой 8004, но на нее нужно уметь генерить ответы, так же как и на 8000 для PSP1000 иначе общение начинается сначала... Эмуляция батарейки для PSP3000(брик) ANDPSP добавил 22-05-2010 в 23:36 Нда, чем дальше в лес тем толще партизаны... вот брут китайской тонкой батарейки Получается что в отличии от толстой она знает ответ на 8006, но не более... все остальные команды ей по боку, но в отличии от толстой она в отрицательных командах дублирует байты запроса... Теперь насчет ответа на 80 запрос, как то сложилось мнение что он состоит из двух частей по 8 байт, типа левая часть генерится по какому то алгоритму, а правая часть - временной довесок, а вот что у меня получилось |
ANDPSP,
Цитата:
|
Вторая часть, начинает повторятся на неправильных ответах,
и соответственно берутся они с правильных. Батарейка странная, то ли китайская вхлам, то ли это в сони раньше такие алги были.. lport3 добавил 23-05-2010 в 01:04 На новых батарейках если что то неправильно после #15 в ответе нули.. |
Вот теперь нас уже четверо у кого есть девайсы :)
lport3, ты дальше всех нас продвинулся, и посему давай направляй всех в одно русло. А то так порознь мы ни чего и не сделаем.Сейчас начнём делать что уже много раз делали......по кругу ходить..Нужно всем бить в одну точку. Скажи с чего начинать? Есно раз заткнулись на 80 ..мож её и начнём общими усилиями ковырять? Подскажи какую именно из 80 ковырять....каким значениями ключей...какого результата искать? |
Цитата:
Сони наверняка использовали типа такой фигни или вот еще про тоже самое... Короче какой то алгоритм преобразует 8 байт запроса в 16 (или 8, но другие 8 тоже не понятно пока как формируются) если брать из известных алгоритмов типа упомятутого в ссылке SHA-1(который возвращает 20 байт что нам не подходит) 16 байт возвращают MD2, MD4 и MD5 - но в лоб они не подходят, значит сони намудрила что то свое и если это вроде их KIRK то гадать можно будет долго, а так брутом можно попробовать вытащить все пары, хотя это 16 в 16 степени вариантов... в общем долго... хотя 1 байт брутится где то секунд 20-30 вроде... ну в общем можно попробовать... |
ANDPSP, Не паникуй :)) не думаю что бы сони чего нибудь сильно намудрила. Первая зыза вышла по моему в 2004 году....и батарейки с их алгоритмом тянутся из тех времён. Подумай сам если соня просрала защиту в самой приставке..при чём конкретно просрала ....то чего говорить про батарейки? Не были тогда Сони сильны в алгоритмах защиты. А потом, ты не путай... по ссылке что ты дал.... там специализированный проц с криптомодулем. А в соневских батарейках используется обычный штатный микроконтроллер и работает он по написанной для него проге. Нету в нём ни каких криптомодулей. Думаю что мы где то рядом крутимся и решение в итоге будет простым. Накрутить можно что хочешь в батарейке. Но помни, задача соневской батарейки,-это возможность превратиться из обычной в сервисную в любом сервисном центре сони путём не сложных комбинаций.
Boryan добавил 23-05-2010 в 20:33 Посмотрел батарейку от PSP GO......:)))) тупо батарейка и всё ...хоть и с тремя выводами...средний вывод пустой:) |
Курс дела
Приветствую всех умственных тружеников и желаю успехов!!!
Неоднократно заходил на данный форум и периодически почитывал ваши достижения, самого заитересовало решил вклинится в ваш узкий круг. Не до конца вник в ваши цели и задачи, поскольку много читать нервов не хватает. На сколько я понял основной вашей целью стоит сделать батарею на подобе пандоровской, которая будет переводить psp с платами та88в3 и последующих в сервисный режим. Теперь вопрос(Это поможет мне работать с вами в дальнейшем) Уверены ли вы на 100% что в сервисных центрах сони, подымают psp с помощью сервисной батареи? На сколько я знаю то батарея пандоры в некоторых последних моделях psp которые считаются непрошивайками и в которых она всё же способна включить контроллер питания т.е. загорается светодиод, ведь такую psp нельзя поднять не потому что нет какой то команды от батареи а потому что на флешке нет прошивки с цифровой подпиской и проц автоматом отрубается ведь запрос на карту памяти в начальный момент присутствует. Поясните если я чего то не понял... syryus добавил 24-05-2010 в 00:49 http://www.youtube.com/watch?v=HFTwDtZwufs Интересное видео мне интересно какая у чела была плата.... |
syryus, Уточняю не TA88V3 ...а TA90 или PSP3000. И ещё для расширения вашего кругозора. PSP2000 с TA88V3 прекрасно прошивается ( c помощью сервисной карты) и стартует с батарейки пандора. Наша задача сделать батарейку типа пандоры (которая переведёт приставку в сервисный режим и загрузится к карты) для PSP 3000....А далее всё дело за сервисной картой....и она эта карта есть...у кого и откуда она не спрашивайте ....считайте что она просто есть и всё!!!
Boryan добавил 24-05-2010 в 01:36 Ditemzy Не верю (С) :) ....это были еденицы ТА90 которые прошивались....они сделаны на базе ТА85 или ТА88 прошиваемой ....и сделаны они на ЦП 75 а не 88 ...88 проц не прошиваемый...был до поры до времени :) Просто это переходные модели к реальной ТА90 которая сейчас и заслуживает внимания |
Boryan
Сервисная карта? Когда у моего знакомого псп 2008 с платой ta88v3 отдала богу нанд а вместе с ним и душу, он понес ее в сервисный центр. Там ее приняли, посчитали случай гарантийным и отправили с нашего дальнего востока в Москву. Через пару недель оттуда пришел ответ, что на нее хотели поставить новую плату, такую же, но не было запчастей, поэтому отдают деньгами. Sony Center контора называлась, официальный соневский ритейлер и прочая и прочая. |
На правах офтопа: Борян, все таки есть четкая градация v1 и v2, если первая относится к 200Х то вторая к 300Х. И еще, тоже неправильно говорить на 300Х только та90v2, сейчас существуют платы вплоть до та94 (а может и больше).
|
А что вы про это думаете?
http://www.excheap.com/product_info....l5mvi6mqe1nd21 |
учитывая стоимость ....это обычная батарейка с серийником FF..а про 3000 чуток повыше как раз обсуждали что есть 3000 которые прошиваются обычным комплектом пандоры
Boryan добавил 24-05-2010 в 17:53 Rasiel-sama, значит не повезло твоему другану.....не нужно было в СЦ официальный обращаться ....нужно к таким людям как я ;) А вообще эти официальные СЦ не фига не умеют делать как платы менять. В твоём случае можно было бы просто махнуть ЦП с 88 на 75 и зыза стала бы просто ТА88 полностью прошиваемой.....(для нормального СЦ это дело 10 минут).....а второй вариант пандора для ТА88V3....но это уже другая тема :) |
Цитата:
|
| Текущее время: 14:36. Часовой пояс GMT +3. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc. Перевод: zCarot
PSPx Forum - Сообщество фанатов игровых консолей.