Boryan, я бы попробовал поковырять, если выложите схему и прогу.
Щас вот доки читаю по буту...
Кстати, 16 января еду к родителям.. и, возможно, нарою азотной кислоты ~60% концентрации примерно 100-200мл. Должна была остаться с тех времен, как я в школе увлекался химией и взрывчатыми веществами)))) , если они ее не выкинули... Если надо-скажите)

hax0r, далать декап в домашних условиях это бред! Либо нужно быть левшой :) Сейчас всё подготовлю и выложу .

Boryan,нужно не левшой быть, а иметь хороший микроскоп) и знать куда ткнуть проводком)) Мое дело предложить.. :)
Спасибо.

hax0r, я вам могу могу нарыть любой кислоты любой концентраии и не только кислоты.
я на химфаке учусь

забираете тут http://zalil.ru/30168950 ..проги..доки..схемы..архив запаролен...за паролем ко мне в личку

Boryan добавил 18.12.2010 в 15:13
..в том то и дело :) ткнуть проводок...да не один...и как это сделать? ты реально можешь это представить? как ткнутый мизерный проводок (где ещё такой тонюсенький взять)закрепить на мизерной контактной площадке? Я вот это даже не могу представить :)

Boryan добавил 18.12.2010 в 15:28
Alezhek,
hax0r, вам пароль уже скинул..см личку

Boryan добавил 18.12.2010 в 15:32
При ковырянии чипа АККУРАТНЕЕ С СЕКЮРИТИ БИТАМИ при установке защиты от стирания чипа...чип станет ОДНОРАЗОВЫМ....и дорога ему только в девас ..если прошит нужной прогой ..либо на помойку..

hax0r, Сони не выпускает ни какую тех. документацию по своим консолям.
Ты правильно написал про то что сискону нужен правильный ответ,только
нужен он от сервис батарейки а не от простой.
Программы для контроллеров пишут обычные люди, которые ошибаются,
это и используют взломщики. Контролеры avr я сам программирую, причем уже достаточно давно :)

В том-то и дело, что по сискону вообще никакой документации нет. Как ты хочешь с ним общаться? Даже банально подключить его к программатору не сможешь, т.к. распиновку не знаешь и управляющие сигналы. Или ты по к-лайну по линии батарейки хочешь ему сказать что-нибудь? Так его на этот порт только правильный ответ устроит. И разговаривает он не только с сервисной батареей... попробуй китайку к псп-3к подключить-даже включить не сможешь.
Если ты программируешь AVR, зачем же тогда про переполнение написал? Там оно точно так же не реализуемо. В оперативке у контроллера ничего кроме переменных и промежуточных значений нет.
Не нужно пытаться сравнивать железку и программу. Это абсолютно разные вещи.
В общем, меня утомил этот бесплодный спор... Если есть конкретные предложения - то все присутствующие будут рады их выслушать.

Wesbam, самое интересное а ты знаешь в каком формате хранятся данные в сисконе? Ну заставишь ты его выплюнуть дамп свой и чего ты там интересно увидишь в этом дампе :) ...ты знаешь что сискон не только с бат общается...он обслуживает все кнопки, выключатели и переключатели, все светодиоды зажигает...кучу клоков на psp выдаёт...в нём встроен таймер и ещё куча всего....я предстваляю как он тебе дамп выдаст и чего в нём можно будет найти :) А потом зачем вообще туда лезть..когда нам нужно в бат добавить всего лишь одну команду...и бат это то что общается с сисконом..а нам и нужно ковырять ту часть которая общается с psp....а не ту что в psp задаёт вопросы батарейке....Батарейке мы и без psp можем кучу вопросов задать..и задаём...

Boryan добавил 18.12.2010 в 21:54
Вот давно собирался ТА93 с разными бат. снять логи....снял...очень много нового и интересного в алгоритме psp появилось :) и вопросов батарейке задаётся куча ....Судите сами http://zalil.ru/30171041

Я думаю, ее не меняют... версия фирмваре просто шьется при изготовлении чипа... маской...

Ты чего то не втюхал. Причём конкретно. О каком фримваре ты говоришь...ты где его нашёл? разговор идёт о той прошивке которую ты написал и засунул в контроллер ...впаял его в девайс и обнаружилась ошибка..для этого есть внутрисхемное программирование...о нём и речь.

ну так для этого предусматривается ВОЗМОЖНОСТЬ менять эту прошивку ВНУТРЕННИМИ командами..т.е. куском кода, который ты сам, как программист предусмотрел... т.е. если твоя прошивка отлажена, а у СОНИ это так - то такого кода просто нет. Ну и главное, даже знай мы - где эта подпрограммка - один хрен мы не влияем на исполняемый чипом код.. нет у нас возможности, перейти по определенному адресу

Alezhek добавил 18.12.2010 в 22:52
так что это, по-моему - тупик

Alezhek добавил 18.12.2010 в 23:04
Ладно, следующая идея: имеем команды работающие с 4-мя байтами.
Командой Cheksum - проверяем их - получаем число - побайтное вычитание
этих 4х ячеек из 0000h. Таким образом значительно сокращается количество вариантов перебора значений для команды Verify. Нам нужно проверять только те a,b,c,d, разность которых равна этому числу

Alezhek, разговор идёт не про оригинал бат. от сони....в них всё закрыто..а вот в китайках доступ через бутлоадер открыт.

А разве есть команда Checksum? Насколько я понял, контроллер может лишь ответить да или нет, совпадает посланные 4 байта с данными или нет :)

мы путаемся в определениях! я до сих пор не могу понять, что ты имеешь в виду под бутлоадером! в 501 чипе бутом называется просто область первых 1К, где лежат адреса переходов. нет там никакого "лоадера" в понимании программы.

Alezhek добавил 18.12.2010 в 23:38
есть! код команды B0h описана в мануале U17739EJ3V0AN00.pdf стр. 47

Alezhek добавил 18.12.2010 в 23:41
причем по описанию - в ней операндами служат адрес начала и адрес конца блока, который мы хотим проверить. т.е. ничего вроде не мешает задать проверку одного байта

на сколько я понял при беглом прочтении доков, область первых 1к в 501 задумывалась как своеобразный буфер для "аварийной" заливки прошивки в контроллер или для апдейта оной в контроллере...
объясняю: прошивку нужно начать заливать с конца, после заливки блока 1к делается команда своп и залитый блок становится вторым. после этого заливают следующий блок 1к, который в конце своей заливки говорит контроллеру, что нужно переместит второй блок в третий, а дальше опять своп. Получается, что теперь имеем 1блок-пустой, 2 и 3 блоки-куски прошивки. И так продолжается пока не заполнятся все блоки. самым последним заливается начало прошивки. Как-то так... Возможно я ошибся...т.к. пока что не вчитывался досконально...

просто писать программу нужно самим.. на уровне UART отсылать и принимать байты и смотреть что получилось...

Alezhek добавил 18.12.2010 в 23:49
то что ты прочел - относится к варианту - самопрограммирования!

Alezhek добавил 18.12.2010 в 23:50
свопы применяются - чтобы из-за ошибки питания иди еще какой - не потерять программу

Alezhek, переведи вот это: И ты поймёшь что есть бутлоадер и для чего он нужен в NEC

так что это просто предусмотрительность разработчиков. обычная прошивка внешним программатором , льется как всегда

Alezhek добавил 18.12.2010 в 23:52
Ребята! не путайте возможность самопрограммирования с нашим случаем!

повнимательнее почитай доку U18291EU1V0AN00_BOOT

в этом отрывке - разговор идет о возможности написать программу "бутлоадер" которая получит например обновление прошивки - примет его через какой-то порт.. запишет в озу - а потом командами САМОпрошивки - занесет в память. т.е. типа возможность делать обновления для выших девайсов. нас это не интересует - нет у наших батареек такой фичи..не предусмотрена "соневская прошивка для батареек 6.35"))))

значит чота я притупил...сейчас внимательнее доку гляну

эта дока отнсится к SELF-Programming - САМОПРОГРАММИРОВАНИЮ!!!!

Alezhek добавил 18.12.2010 в 23:59
все что нам нужно в U17739EJ3V0AN00.pdf

Alezhek, блин ты так и не понял...есть баты китайские на 501 чипе ...там перезапись бута открыта...можно написать свой код туда кторый будет тащить прошивку на какой нибудь порт ....в 501 есть возможность эмуляции внутреннего еепром и все команды внутри чипа доступны..нам и нужно самопрограммирование

Уменя созрело предложение.
Можно воспользоваться методом, о котором говорил Борян пару-тройку страниц назад, только понадобится 2 одинаковых чипа с открытым бутом. В первый чип залить в первый блок 1к небольшую програмулину, которая будет выдавать прошивку в какойнить порт, слить прошивку без первого блока. Во втором чипе сначала делаем своп и получается что 1 и 2 блоки поменялись местами. Льем в него такую же программулину, что и в первый чип. Из дампа второго чипа выковыриваем тот блок 1к, что был в прошивке первым до свопа и соединяем с дампом прошивки первого чипа и получаем целый дамп. Вот)
проблема может быть в том, что не удастся написать такую мелкую программулину, учитывая инициализацию портов...

hax0r, эта мысль у меня уже давно в голове вертиться ..и я её уже описавал несколько страниц назад..но ни кто так и не отреагировал

Boryan,это потому, что ни у кого пока нету двух одинаковых чипов) и программатора тоже не было до сегодняшнего дня)
А еще у меня крутится идея не сервисной батарейки, а эмуляции батарейки. Это на случай, если вы не захотите делиться с непосвященными.. Потому, что не каждый сможет сделать к-лайн, далеко не каждый.

а че тогда спорим?))) озадачиваем программиста нашего) - софт я смотрю есть в архиве.. и даже НЕКовские библиотеки готовые..и вперед...или не получается ужать до 1к программу? а свопить скорее всего и не надо будет.. прерывания вряд ли используются в батарейке - так что нас в принципе интересует только начальный адрес перехода.. первые два байта...

Alezhek добавил 19.12.2010 в 00:21
эти к-лайны на любом радиорынке продаются.. для автолюбителей.. ддаже конструкторы видел сделайсам

Alezhek добавил 19.12.2010 в 00:22
но я, все-таки, за чтение дампа родной соневской батарейки)

Дамп батарейки нам в любом случае нужен) Ибо как сделать эмуляцию того, чего не знаешь? т.е. нужен алгоритм.
После чтения дампа возникнет следующая проблема - чтение флешки батарейки. Ключи, которые использует контроллер скорей всего именно там и хранятся... Во всяком случае, они точно не вычисляются, а хранятся именно в виде таблицы..

флешка и дамп - одно и тоже

Alezhek добавил 19.12.2010 в 00:30
потом просто придется это дело дизасемблировать.. разбирать код

ну вот и договорились :) тока где взять проггера....я последний раз с пиком общался лет 6 назад прогу писал...за давностью событий и не использования в дальнейшем забыл всё нафиг...

Alezhek,мне казалось, что мы говорили о дампе ПЗУ контроллера, а не флешки, которая к этому контроллеру прилеплена в качестве накопителя..
А получить из ассемблера последовательность математических операций не сложно..

а что мешает купить штук 10 батареек и будут чипы...а что мешает купить новый 501- за 120 руб и на нём всё откатать и затем купив одну батарейку прочитать её чип? Я так уже и счёт потерял батарейкам..сколько я их купил...просто люди не хотят тратится даже по мелочам...халявы хотят ..чистой халявы..

Boryan добавил 19.12.2010 в 00:37
hax0r, ты видать далёк от понимания что такое контроллер :)

Boryan добавил 19.12.2010 в 00:41
Alezhek, дамп без разницы с соневской или с китайской...алгоритм инициализации везде одинаков ...разница китайки с соневской ..типа разная обработка АЦП котрользаряда\разряба бат. но нам это и нафиг не нужно...и есно самый простой и быстрый вариант после добычи кода баты..это есно эмуляция на компе через клайн

Это почему? Я может чего-то упустил..., но что такое контроллер хорошо себе представляю) Я год-полтора назад тоже занимался avrами, а потом забросил..

доки что я выкладывал поизучай :)

мы говорим о дампе eeprom контроллера NEC501, никаких отдельных флешек в батарейках ессно нет...

Доки-то я конечно поизучаю, куда ж без этого)
как нет флешки..? там разве нет что-нибудь типа L56R..?

Alezhek, ну наконец то ты понял :) флешки есть на борту контроллера в соневских батах..туда пишут серийник и процедуру заряда\разряда батарейки...и больше там нет нефига...прочитать эту флеху как два пальца обоссать:) в китайцах уже нету внешнего епрома ...он нафиг не нужен...они его внутри чипа эмулируют..есно базар идёт от вытаскивании кода из контроллера..

Я так понимаю, это было мне адресовано?)
Я знаю, что в контроллерах есть своя флешка(тобиш ПЗУ)
У меня в наличии просто есть единственная батарейка, родная, от псп). Плат с 501 я не видел, вот и думал, что там тоже есть подобное..) Я же сказал, что что0то упустил наверное)

hax0r добавил 19.12.2010 в 01:07
вот про что я)
http://s52.radikal.ru/i137/1012/4c/abb6a3683b78.jpg

ну да..сорри.. не об этой разговор... в ней же по-мойму всего 128 байт.. это номер батарейки хранится...мы вот о той большой "дуре"))) под номером ic05

нет, в ней тоже 16кБ) тоько что посмотрел по даташиту)

hax0r добавил 19.12.2010 в 01:11
Это и так понятно) контроллер-то на батарейке один всего..)