обрати внимание на то что при одинаковом запросе например :
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E CD 24 04 5B 1D AF 01 77 3D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 75 EE 3A F6 CA 30 12 01 31
получаем разные данный во вторых 8ми байт. Либо так и должно быть либо это глюк проги

Вот кто нам точно может помочь Russiansemiresearch
Стоят правда их услуги не дешево... но зато опыт по вскрытию микрух...

да да. я видел ты писал по этому поводу. обязательно проверю этот вариант
если у тебя сейчас есть возможность замерять паузы (минимум, максимум) между запрос-ответ между приставкой и батареей (либо комп-батарея) - мне будет проще оптимизировать прогу

Может это что-то типа этого:
http://www.google.com/patents?id=CJT...page&q&f=false

или этого:
http://www.google.com/patents?id=RPv...page&q&f=false

Это патенты Сони.

пока замерить не могу...работы много...А с другой стороны ..ты же вроде грамотный чел :) что тебе мешает написать прогу и послушать через клайн общение PSP<>BAT и сделать анализ таймингов ;)

За 5000 они сказали мне могут избавить чип от корпуса.

pronvit, а остальное..считать...привести исходник в читабельный вид?

По прайсу около 40к выходит

меня только это интересовало. а остальное - про известные чипы есть в прайсе, а неизвестные как бы как дело пойдет, мож вообще не смогут.

pronvit, да уж...контора интересная....новые чипы от атмела и микрочипа ломают а старьё от nec ....как пойдёт....да ещё и баблоса хотят не мало..

Boryan добавил 23-09-2010 в 23:29
микруху в кислоту бросить 5 тыр....офигеть можно...я ценю труд людей....ладно бы там мозгами работали, прогу какую нибудь написали...ну дамп снять с нанда...привести его в божеский вид....мега девайс какой нить разработать...мож нафиг всю работу и пойти чипы растворять в кислоте за 5 тыр. :))))0

Boryan добавил 23-09-2010 в 23:38
не всё так плохо ...батареек разновидностей дофига ....китайских море...не всё крутится вокруг чипа от nec....думаю что некоторые китайские чипы отдадут своё содержимое :) потом можно нарыть Lite Blue Tool. от дятла...уж с неё думаю можно точняк алгоритм вытащить

Boryan добавил 24-09-2010 в 00:39
Внимательно изучил их сайт....левая конторка..за всю свою деятельность пару чипов вскрыли...смех берёт когда смотришь список чипы в этой группе стоят копейки...что мешает потренироваться на кошках? И записать их в группу исследованные...Очень сомнительная конторка выходит...

Boryan добавил 24-09-2010 в 03:28
Мля ...поигрался тут с 8008 и 81 запросами от зызы....жесть..
анализируйте ..

итого, стало ясно что на одинаковые запросы 8008, батарейка отвечает одинаково первые 8 байт( проверенно на 10 батарейках) -это первый алгоритм....затем идёт довесок к первым 8 байтам тоже 8 байт...при повторных запросах этот довесок частенько повторяется -это второй алгоритм. Этот алгоритм влияет как ответит батарейка на одинаковые запросы на 81 команду-третий алгоритм....И нахрена столько ради какой то батарейки? Сони трёхнулась...ведь создавая 1000 зызу они не думали что её ломанут...да и в самой зызе защит было минимум...но в то время защитить копеечную батарейку аж ТРЕМЯ алгоритмами ..это жесть...

Boryan добавил 24-09-2010 в 03:42
и ещё...перебор 80хх запросов с одинаковыми параметрами
Так для освежения памяти...:)))

Boryan добавил 24-09-2010 в 03:55
возможно, что вторые 8 байт в ответе на 80хх запрос генерятся батарейкой псевдослучайно (потому как частенько повторяются) и зызе при проверке ответа на 80хх, на них пофигу! Ей главное, что бы ответ в первых 8 байтах был правильный...а вот из этих вторых псевдослучайных 8 байт ( они же ещё готовят батарейку к ответу на 81 запрос) зыза стоит запрос 81 и ждёт на него правильный ответ...

Boryan добавил 24-09-2010 в 03:56
учитывая всё сложность протокола обмена, мне не понятно как китайцам удалось клепать левые батарейки?

Лайт блю в том виде, в котором они дошли на рынок:
PSP-110: www.dealextreme.com/details.dx/sku.22349
PSP-S110: www.dealextreme.com/details.dx/sku.15153

Если из них не удалили ответ на 81хх а просто отключили то стоит пробовать прочитать её. А если нет то всё бесполезно

Alex14435, команды 81хх не существует...И далее...что нужно сделать:
1)определить что изменяет второй байт в команде 80хх
2)оределить алгоритм создания первых 8 байт ответа на 80хх
3)определить алгоритм создания вторых 8 байт ответа на 80хх
4)определить алгоритм влияния вторых 8 байт ответа на алгоритм 81 запроса
5)определить алгоритм ответа на 81 команду.
6) связать воедино все пять пунктов...
Итого минимум пять сложнейших задач.....думаю что это не под силу даже..самым крутым криптоаналитикам....:(
Из этого следует что китайцы не просчитали алгоритм, а тупо сняли дамп с проца батарейки....и у нас остаётся только этот метод...Он упростится если добудем батарейку Lite Blue Tool...потому как реализована она наверняка либо на атмеге либо на пике..ну а контора по взлому чипов гарантирует ...

Boryan добавил 24-09-2010 в 09:45
У кого есть возможность нарыть пару таких батареек?

та можно, просто там если знать зараннее временные тайминги, то можно прогу вообще лишить искусственных пауз силами компонента.

Сегодня утром попробовал k-line - работает как часики. Батарея отгавкивается на команды :) Буду колупать прогу.
--ну и в догонку--------------------------------------------------------
Ну и по поводу Скоробогатова, у него вышли еще 2 статьи по взлому чипов. В своих тестах он приводит примеры NEC контроллеров. Почитав всё это добро он написал, что затраты по злому займут около 2000$.

Круто :-)) в общем это именно то (особенно алгоритм на рис. Fig.3B первого патента, там еще Amtel фигурирует) НО в частности это не неше - дата патенов очень свежая 30 июня 2009 года - нам что нить подобное найти годов этак 2003-2004...

ANDPSP добавил 24-09-2010 в 11:32

Ну это на крайний случай, если наш энтузиазм совсем иссякнет, а новые силы не вольются... А так конечно нужно разжиться максимальным количеством МК с всевозможных батареек - и блю тул от Дятов и китайских пандор - глядишь где то и окажется читаемый чип, можно конечно и идею переписанного на чтение бутлоадера для Nec опробовать, но как то не очень в это верится... просто там семейство 78K0/KX2 а наш вроде из 78K0/KB1+

От Дятлов ловить нечего. Так как они только заявили о поддержке 3000, но в продажу не пустили.
Поэтому ихние батарейки не содержат ничего сверхестесственного.

Как знать :-) но они точно содержат чипы и наверняка не нековские и в них прошивка реализующая алгоритм идентификации батареек согласно вышеуказанным патентам, в которых точно прописана генерация рандомного числа, которое потом криптуется и отдается дивайсу, тот декриптует и сравнивает или еще как - короче Дятлы знают этот алгоритм и наверняка просчитали ответ на 80D9 поэтому и заявили про пандору для 3000-х, но их обломали, но кто знает убрали они этот код или только закомментили :-)

ANDPSP, ну это да. Когда они заявили о выпуске батарейки 3000, значит они вычислили код. Возможно они даже успели продать некоторое количество.
Но Сони тут-же их взяла за хвост, поэтому батарейки в массовость не пошли.

А так как они всё-же не работают на 3000, значит что-то изменили. Да, они должны быть голубого цвета "Lite Blue". А те, которые белые продаются на горбушке или на е-бее, это чисто китайский левак.

P.S. Как тебе твой аватар )))

Прикольный аватар, я раньше уже отзывался по его поводу, ты видать не заметил просто...

но еще раз спасибо :-))


Кстати повнимательнее почитал первый патент, там как раз зеркальный метод описывается в тексте - это когда первичное рандомное число генерит консоль, а не батарейка. Просто в блок-схеме алгоритма показана генерация именно батарейкой... Это просто уточние... Сейчас просматриваю патенты - нашел уже 2003 год - а вообще это была суперская ссылка и гугл рулит!!!

Очень интересные ссылки привел bel007!
По второму патенту "Battery and authentication requesting device" алгоритмы на рисунках 6 и 7, а также описание взаимной аунтефикации устройства и периферии очень напоминают протоколы общения между psp и батарейкой.

ErikPshat, Фигасе и ты молчишь? Дык если эти белые с кнопочкой переключения режимов...то смело покупай мне пару штук...они то и нужны...суть в том что они реализованны на другом чипе который возможно прочитать...нам то нужен всего лишь алгоритм ...а уж до 3000 мы его доработаем...там я знаю что делать и как до ТА93 его поднять знаю...но нужны исходники...

Boryan добавил 24-09-2010 в 17:44
такие ты на горбушке видел http://www.dealextreme.com/details.dx/sku.15153 если да, то Эрик давай срочно дуй на Горбушку бери пару штук и встречаемся срочно :)

если я правильно понял, то следуя их схеме, по битам и логике все совпадает:

1)консоль и батарея содержат одинаковый набор заранее определенных ключей шифрации
K1, K2, ... KN
2)то что следует за 80-й командой в запросе, вероятно, номер ключа (01, 02, 04, 08, D9) который будет использоваться во время сеанса
N
3)далее в запросе идет 64-битный кусок (первая часть) 128-битного кода обмена 1 (задается консолью)
R1
4)на основании этого кода (64бит) и константы (64бит), определенной по номеру ключа, батарея формирует ответ, который затем шифруется самим ключом (в итоге 128бит)
ENC(Kn, (R1+C1n))
5)от закодированного ответа берется вторая часть (64бита) - код ответа, к ней прилагается 64-битный кусок кода обмена 2 (задается батареей) и отсылается приставке
[part of ENC(Kn, (R1+C1n))] + R2
6)приставка сверяет преобразованный ею (по той же схеме) код обмена и полученный в ответе от батареи и делает вывод о подлинности батареи (так как она знает нужный ключ).

далее если батарея определена как "своя", наступает очередь приставки представить себя:

7) на основании полученного куска R2 и заданного ранее ключа Kn приставка формирует ответ батарее
ENC(Kn, (R2+C2n))
8) отрезает от него 64 бита и передает батарее, скорее всего в 81-й команде
9) батарея делает своё заключение о легитимности консоли))))

Таким образом, если судить по описанию, и в приставке и в батарейке хранятся одинаковые ключи и константы.

Boryan, http://www.magicdevice.ru/index.php?...hk=1&Itemid=28

вот на горбушке такие есть

А информация, что там стоит читаемый мк, проверена?? Маркировка мк?

crashnok,а вот это сказать не могу, надо ехать и смотреть, но факт наличия китайских пандор на горбухе был доказан

lordandrej007 добавил 24-09-2010 в 18:10
http://www.magicdevice.ru/index.php?...mart&Itemid=28
как это понимать???
перепаивают проц и пандора или что-то другое???

Что тут понимать... Есть у людей карта под 88 проц, вот и работают себе.
Даже ляпку китайского тетриса не прочитать просто так. Нереально это, что бы там не было активировано read command disable function (в случае нек)

Ins|der, самый прикол в 81 команде ...ответ на неё изменяется только если предварительно была 80хх команда ..а то что будет в 81 команде батарейке пофиг подавай любое значение 81хххххххххххххххх....ответ на неё батарейка всегда даст одинаковый...сейчас выложу пример....выходит то что в 81 присутствует какой то лючь это всё лажа...

Boryan добавил 24-09-2010 в 18:23


Boryan добавил 24-09-2010 в 18:26
crashnok, много работал с китайскими разными девайсами собранными на пиках...ни где не стояло бита защиты :) всё читалось на ура тритоном (программатор такой)

Boryan, вероятно, если предварительно не выдать 80ю команду, батарейка не сформирует код обмена 2, ей просто не с чем будет сравнивать полученный от приставки в 81 команде ответ

давай логи)))
тема опять становится интересной



предпоследняя строка 5A 0A 81 47 52 00 A3 68 5A 1A 71 91
- реальный ответ приставки?

и непонятно пока, что подразумевает под собой AUTHENTICATION RESULT передаваемый батареей в конце

Boryan,
я такой white blue tool 088v3 даунил... Три быстрых клика кнопкой - и она моргает диодами.

куясе...рашшан бизнеса :))) 1300 руб...почти халява...против той ссылке что я выше давал где 300 руб стоит...

Boryan, но там еще за доставку в Россию платить и пол года ждать будешь, я просто показываю что на гарбухе есть

Ну и куда ты её дел? Просто эта батарейка собранна наверняка либо на пике либо на атмеле...а их мона прочитать....

Boryan добавил 24-09-2010 в 18:43
хотя может быть и по другому ...к стандартной батарейке присобачили схемку простенькую которая переключает режимы ..

Boryan добавил 24-09-2010 в 18:47
Ins|der, да нет это я тупо ключик с разными байтами прописал что бы показать что ответ будет одинаков..
Говори какие ещё логи нужны ..нарисую любой :)

lordandrej007,
там, если внимательно посмотреть, free shiping написан.
Boryan,
лежит вместе с картой, в ящике.

lordandrej007, да не вопрос ..ради благого дела и 1300 мона пожертвовать....это не те деньги..лишь бы толк был..Просто меня поражают барыги с 500% накрутки...жадности их поражаюсь..за то что купили в одном месте и продали в другом накручивать 500%.....мммм...а в голове одна прямая извилина и перегородка для умных мыслей.....таким бы людям коз пасти...

Boryan,тут ты прав)

lordandrej007, подпись у тебя интересная....сложу легко, но в 3D и не шесть а четыре :)

5 сложил, в 2d.

A если можно разных по размеру и без "условий" то 8 сложил. В 2d.

Боря, не он один посвящен в тайну) а вообще советую Бернарда Вербера почитать, интересно мир описывает

Ну нафлудили со своими спичками :-)

А насчет батареек думаю стоит искать экземпляр как у Yoti - т.е. те варианты батареек которые режим пандоры реализуют не переключением ползунка, а нажатием кнопки и каким то временем работы - скорее всего в это время заливается прошивка. может конечно и просто eeprom перезаписывается этими FFFFFFFF, а может и модифицированная прошивка грузится в которой жестко прописано что на запрос консоли 5A020C97 батарейка отвечает A50606FFFFFFFF<cs> и тогда загрузку прошивки еще проще отловить можно будет ну или считать ее из памяти...

ANDPSP, эт точно...придётся Эрика напрячь он на горбушке бывает. На луже сёня гавно китайское тупо пандора и ни чего более ...450 руб....послал их далеко