PSPx форум

PSPx форум (https://www.pspx.ru/forum/index.php)
-   PSP хакинг и девелопмент (https://www.pspx.ru/forum/forumdisplay.php?f=195)
-   -   Обсуждение взлома батарейки Пандоры PSP-3000... (https://www.pspx.ru/forum/showthread.php?t=87238)

hax0r 18.12.2010 13:22

Boryan, я бы попробовал поковырять, если выложите схему и прогу.
Щас вот доки читаю по буту...
Кстати, 16 января еду к родителям.. и, возможно, нарою азотной кислоты ~60% концентрации примерно 100-200мл. Должна была остаться с тех времен, как я в школе увлекался химией и взрывчатыми веществами)))) , если они ее не выкинули... Если надо-скажите)

Boryan 18.12.2010 13:51

hax0r, далать декап в домашних условиях это бред! Либо нужно быть левшой :) Сейчас всё подготовлю и выложу .

hax0r 18.12.2010 13:55

Boryan,нужно не левшой быть, а иметь хороший микроскоп) и знать куда ткнуть проводком)) Мое дело предложить.. :)
Спасибо.

DARK-MAN-X 18.12.2010 14:13

hax0r, я вам могу могу нарыть любой кислоты любой концентраии и не только кислоты.
я на химфаке учусь

Boryan 18.12.2010 15:32

забираете тут http://zalil.ru/30168950 ..проги..доки..схемы..архив запаролен...за паролем ко мне в личку

Boryan добавил 18.12.2010 в 15:13
Цитата:

Сообщение от hax0r (Сообщение 923698)
Boryan,нужно не левшой быть, а иметь хороший микроскоп) и знать куда ткнуть проводком)) Мое дело предложить.. :)
Спасибо.

..в том то и дело :) ткнуть проводок...да не один...и как это сделать? ты реально можешь это представить? как ткнутый мизерный проводок (где ещё такой тонюсенький взять)закрепить на мизерной контактной площадке? Я вот это даже не могу представить :)

Boryan добавил 18.12.2010 в 15:28
Alezhek,
hax0r, вам пароль уже скинул..см личку

Boryan добавил 18.12.2010 в 15:32
При ковырянии чипа АККУРАТНЕЕ С СЕКЮРИТИ БИТАМИ при установке защиты от стирания чипа...чип станет ОДНОРАЗОВЫМ....и дорога ему только в девас ..если прошит нужной прогой ..либо на помойку..

Wesbam 18.12.2010 19:28

hax0r, Сони не выпускает ни какую тех. документацию по своим консолям.
Ты правильно написал про то что сискону нужен правильный ответ,только
нужен он от сервис батарейки а не от простой.
Программы для контроллеров пишут обычные люди, которые ошибаются,
это и используют взломщики. Контролеры avr я сам программирую, причем уже достаточно давно :)

hax0r 18.12.2010 20:11

В том-то и дело, что по сискону вообще никакой документации нет. Как ты хочешь с ним общаться? Даже банально подключить его к программатору не сможешь, т.к. распиновку не знаешь и управляющие сигналы. Или ты по к-лайну по линии батарейки хочешь ему сказать что-нибудь? Так его на этот порт только правильный ответ устроит. И разговаривает он не только с сервисной батареей... попробуй китайку к псп-3к подключить-даже включить не сможешь.
Если ты программируешь AVR, зачем же тогда про переполнение написал? Там оно точно так же не реализуемо. В оперативке у контроллера ничего кроме переменных и промежуточных значений нет.
Не нужно пытаться сравнивать железку и программу. Это абсолютно разные вещи.
В общем, меня утомил этот бесплодный спор... Если есть конкретные предложения - то все присутствующие будут рады их выслушать.

Boryan 18.12.2010 21:54

Wesbam, самое интересное а ты знаешь в каком формате хранятся данные в сисконе? Ну заставишь ты его выплюнуть дамп свой и чего ты там интересно увидишь в этом дампе :) ...ты знаешь что сискон не только с бат общается...он обслуживает все кнопки, выключатели и переключатели, все светодиоды зажигает...кучу клоков на psp выдаёт...в нём встроен таймер и ещё куча всего....я предстваляю как он тебе дамп выдаст и чего в нём можно будет найти :) А потом зачем вообще туда лезть..когда нам нужно в бат добавить всего лишь одну команду...и бат это то что общается с сисконом..а нам и нужно ковырять ту часть которая общается с psp....а не ту что в psp задаёт вопросы батарейке....Батарейке мы и без psp можем кучу вопросов задать..и задаём...

Boryan добавил 18.12.2010 в 21:54
Вот давно собирался ТА93 с разными бат. снять логи....снял...очень много нового и интересного в алгоритме psp появилось :) и вопросов батарейке задаётся куча ....Судите сами http://zalil.ru/30171041

Alezhek 18.12.2010 22:34

Цитата:

Сообщение от Boryan (Сообщение 923683)
А какже нет бута? Каким образом тогда прошивку внутрисхемно меняют в чипе если не через бут? Вот с бутом и нужно разобраться досконально..мож там и найдём дыру..

Я думаю, ее не меняют... версия фирмваре просто шьется при изготовлении чипа... маской...

Boryan 18.12.2010 22:39

Цитата:

Сообщение от Alezhek (Сообщение 923821)
Я думаю, ее не меняют... версия фирмваре просто шьется при изготовлении чипа... маской...

Ты чего то не втюхал. Причём конкретно. О каком фримваре ты говоришь...ты где его нашёл? разговор идёт о той прошивке которую ты написал и засунул в контроллер ...впаял его в девайс и обнаружилась ошибка..для этого есть внутрисхемное программирование...о нём и речь.

Alezhek 18.12.2010 23:04

ну так для этого предусматривается ВОЗМОЖНОСТЬ менять эту прошивку ВНУТРЕННИМИ командами..т.е. куском кода, который ты сам, как программист предусмотрел... т.е. если твоя прошивка отлажена, а у СОНИ это так - то такого кода просто нет. Ну и главное, даже знай мы - где эта подпрограммка - один хрен мы не влияем на исполняемый чипом код.. нет у нас возможности, перейти по определенному адресу

Alezhek добавил 18.12.2010 в 22:52
так что это, по-моему - тупик

Alezhek добавил 18.12.2010 в 23:04
Ладно, следующая идея: имеем команды работающие с 4-мя байтами.
Командой Cheksum - проверяем их - получаем число - побайтное вычитание
этих 4х ячеек из 0000h. Таким образом значительно сокращается количество вариантов перебора значений для команды Verify. Нам нужно проверять только те a,b,c,d, разность которых равна этому числу

Boryan 18.12.2010 23:13

Alezhek, разговор идёт не про оригинал бат. от сони....в них всё закрыто..а вот в китайках доступ через бутлоадер открыт.

Alex14435 18.12.2010 23:29

А разве есть команда Checksum? Насколько я понял, контроллер может лишь ответить да или нет, совпадает посланные 4 байта с данными или нет :)

Alezhek 18.12.2010 23:41

Цитата:

Сообщение от Boryan (Сообщение 923829)
Alezhek, разговор идёт не про оригинал бат. от сони....в них всё закрыто..а вот в китайках доступ через бутлоадер открыт.

мы путаемся в определениях! я до сих пор не могу понять, что ты имеешь в виду под бутлоадером! в 501 чипе бутом называется просто область первых 1К, где лежат адреса переходов. нет там никакого "лоадера" в понимании программы.

Alezhek добавил 18.12.2010 в 23:38
Цитата:

Сообщение от Alex14435 (Сообщение 923834)
А разве есть команда Checksum?

есть! код команды B0h описана в мануале U17739EJ3V0AN00.pdf стр. 47

Alezhek добавил 18.12.2010 в 23:41
причем по описанию - в ней операндами служат адрес начала и адрес конца блока, который мы хотим проверить. т.е. ничего вроде не мешает задать проверку одного байта

hax0r 18.12.2010 23:44

на сколько я понял при беглом прочтении доков, область первых 1к в 501 задумывалась как своеобразный буфер для "аварийной" заливки прошивки в контроллер или для апдейта оной в контроллере...
объясняю: прошивку нужно начать заливать с конца, после заливки блока 1к делается команда своп и залитый блок становится вторым. после этого заливают следующий блок 1к, который в конце своей заливки говорит контроллеру, что нужно переместит второй блок в третий, а дальше опять своп. Получается, что теперь имеем 1блок-пустой, 2 и 3 блоки-куски прошивки. И так продолжается пока не заполнятся все блоки. самым последним заливается начало прошивки. Как-то так... Возможно я ошибся...т.к. пока что не вчитывался досконально...

Alezhek 18.12.2010 23:50

просто писать программу нужно самим.. на уровне UART отсылать и принимать байты и смотреть что получилось...

Alezhek добавил 18.12.2010 в 23:49
то что ты прочел - относится к варианту - самопрограммирования!

Alezhek добавил 18.12.2010 в 23:50
свопы применяются - чтобы из-за ошибки питания иди еще какой - не потерять программу

Boryan 18.12.2010 23:51

Alezhek, переведи вот это:
Цитата:

A bootloader lets you update or replace application code without an external programmer, and makes it
possible to update code remotely—over a phone line or Internet connection.
For example, if you have 5,000 MCU-based pay phones and the phones require a firmware update, the
phone company’s service person could manually reprogram the individual telephones—a time-consuming
effort—or use a bootloader to reprogram all 5,000 phones remotely from a central location.
И ты поймёшь что есть бутлоадер и для чего он нужен в NEC

Alezhek 18.12.2010 23:52

так что это просто предусмотрительность разработчиков. обычная прошивка внешним программатором , льется как всегда

Alezhek добавил 18.12.2010 в 23:52
Ребята! не путайте возможность самопрограммирования с нашим случаем!

Boryan 18.12.2010 23:55

повнимательнее почитай доку U18291EU1V0AN00_BOOT

Alezhek 18.12.2010 23:55

в этом отрывке - разговор идет о возможности написать программу "бутлоадер" которая получит например обновление прошивки - примет его через какой-то порт.. запишет в озу - а потом командами САМОпрошивки - занесет в память. т.е. типа возможность делать обновления для выших девайсов. нас это не интересует - нет у наших батареек такой фичи..не предусмотрена "соневская прошивка для батареек 6.35"))))

Boryan 18.12.2010 23:57

значит чота я притупил...сейчас внимательнее доку гляну

Alezhek 18.12.2010 23:59

Цитата:

Сообщение от Boryan (Сообщение 923849)
повнимательнее почитай доку U18291EU1V0AN00_BOOT

эта дока отнсится к SELF-Programming - САМОПРОГРАММИРОВАНИЮ!!!!

Alezhek добавил 18.12.2010 в 23:59
все что нам нужно в U17739EJ3V0AN00.pdf

Boryan 19.12.2010 00:00

Alezhek, блин ты так и не понял...есть баты китайские на 501 чипе ...там перезапись бута открыта...можно написать свой код туда кторый будет тащить прошивку на какой нибудь порт ....в 501 есть возможность эмуляции внутреннего еепром и все команды внутри чипа доступны..нам и нужно самопрограммирование

hax0r 19.12.2010 00:01

Уменя созрело предложение.
Можно воспользоваться методом, о котором говорил Борян пару-тройку страниц назад, только понадобится 2 одинаковых чипа с открытым бутом. В первый чип залить в первый блок 1к небольшую програмулину, которая будет выдавать прошивку в какойнить порт, слить прошивку без первого блока. Во втором чипе сначала делаем своп и получается что 1 и 2 блоки поменялись местами. Льем в него такую же программулину, что и в первый чип. Из дампа второго чипа выковыриваем тот блок 1к, что был в прошивке первым до свопа и соединяем с дампом прошивки первого чипа и получаем целый дамп. Вот)
проблема может быть в том, что не удастся написать такую мелкую программулину, учитывая инициализацию портов...

Boryan 19.12.2010 00:06

hax0r, эта мысль у меня уже давно в голове вертиться ..и я её уже описавал несколько страниц назад..но ни кто так и не отреагировал

hax0r 19.12.2010 00:07

Boryan,это потому, что ни у кого пока нету двух одинаковых чипов) и программатора тоже не было до сегодняшнего дня)
А еще у меня крутится идея не сервисной батарейки, а эмуляции батарейки. Это на случай, если вы не захотите делиться с непосвященными.. Потому, что не каждый сможет сделать к-лайн, далеко не каждый.

Alezhek 19.12.2010 00:22

а че тогда спорим?))) озадачиваем программиста нашего) - софт я смотрю есть в архиве.. и даже НЕКовские библиотеки готовые..и вперед...или не получается ужать до 1к программу? а свопить скорее всего и не надо будет.. прерывания вряд ли используются в батарейке - так что нас в принципе интересует только начальный адрес перехода.. первые два байта...

Alezhek добавил 19.12.2010 в 00:21
Цитата:

Сообщение от hax0r (Сообщение 923860)
Потому, что не каждый сможет сделать к-лайн, далеко не каждый.

эти к-лайны на любом радиорынке продаются.. для автолюбителей.. ддаже конструкторы видел сделайсам

Alezhek добавил 19.12.2010 в 00:22
но я, все-таки, за чтение дампа родной соневской батарейки)

hax0r 19.12.2010 00:27

Дамп батарейки нам в любом случае нужен) Ибо как сделать эмуляцию того, чего не знаешь? т.е. нужен алгоритм.
После чтения дампа возникнет следующая проблема - чтение флешки батарейки. Ключи, которые использует контроллер скорей всего именно там и хранятся... Во всяком случае, они точно не вычисляются, а хранятся именно в виде таблицы..

Alezhek 19.12.2010 00:30

флешка и дамп - одно и тоже

Alezhek добавил 19.12.2010 в 00:30
потом просто придется это дело дизасемблировать.. разбирать код

Boryan 19.12.2010 00:33

ну вот и договорились :) тока где взять проггера....я последний раз с пиком общался лет 6 назад прогу писал...за давностью событий и не использования в дальнейшем забыл всё нафиг...

hax0r 19.12.2010 00:36

Alezhek,мне казалось, что мы говорили о дампе ПЗУ контроллера, а не флешки, которая к этому контроллеру прилеплена в качестве накопителя..
А получить из ассемблера последовательность математических операций не сложно..

Boryan 19.12.2010 00:41

Цитата:

Сообщение от hax0r (Сообщение 923860)
Boryan,это потому, что ни у кого пока нету двух одинаковых чипов) и программатора тоже не было до сегодняшнего дня)
А еще у меня крутится идея не сервисной батарейки, а эмуляции батарейки. Это на случай, если вы не захотите делиться с непосвященными.. Потому, что не каждый сможет сделать к-лайн, далеко не каждый.

а что мешает купить штук 10 батареек и будут чипы...а что мешает купить новый 501- за 120 руб и на нём всё откатать и затем купив одну батарейку прочитать её чип? Я так уже и счёт потерял батарейкам..сколько я их купил...просто люди не хотят тратится даже по мелочам...халявы хотят ..чистой халявы..

Boryan добавил 19.12.2010 в 00:37
hax0r, ты видать далёк от понимания что такое контроллер :)

Boryan добавил 19.12.2010 в 00:41
Alezhek, дамп без разницы с соневской или с китайской...алгоритм инициализации везде одинаков ...разница китайки с соневской ..типа разная обработка АЦП котрользаряда\разряба бат. но нам это и нафиг не нужно...и есно самый простой и быстрый вариант после добычи кода баты..это есно эмуляция на компе через клайн

hax0r 19.12.2010 00:42

Цитата:

hax0r, ты видать далёк от понимания что такое контроллер :)
Это почему? Я может чего-то упустил..., но что такое контроллер хорошо себе представляю) Я год-полтора назад тоже занимался avrами, а потом забросил..

Boryan 19.12.2010 00:44

доки что я выкладывал поизучай :)

Alezhek 19.12.2010 00:46

мы говорим о дампе eeprom контроллера NEC501, никаких отдельных флешек в батарейках ессно нет...

hax0r 19.12.2010 00:47

Доки-то я конечно поизучаю, куда ж без этого)
как нет флешки..? там разве нет что-нибудь типа L56R..?

Boryan 19.12.2010 01:00

Alezhek, ну наконец то ты понял :) флешки есть на борту контроллера в соневских батах..туда пишут серийник и процедуру заряда\разряда батарейки...и больше там нет нефига...прочитать эту флеху как два пальца обоссать:) в китайцах уже нету внешнего епрома ...он нафиг не нужен...они его внутри чипа эмулируют..есно базар идёт от вытаскивании кода из контроллера..

hax0r 19.12.2010 01:07

Цитата:

Сообщение от Boryan (Сообщение 923877)
Alezhek, ну наконец то ты понял :) флешки есть на борту контроллера в соневских батах..туда пишут серийник и процедуру заряда\разряда батарейки...и больше там нет нефига...прочитать эту флеху как два пальца обоссать:) в китайцах уже нету внешнего епрома ...он нафиг не нужен...они его внутри чипа эмулируют..есно базар идёт от вытаскивании кода из контроллера..

Я так понимаю, это было мне адресовано?)
Я знаю, что в контроллерах есть своя флешка(тобиш ПЗУ)
У меня в наличии просто есть единственная батарейка, родная, от псп). Плат с 501 я не видел, вот и думал, что там тоже есть подобное..) Я же сказал, что что0то упустил наверное)

hax0r добавил 19.12.2010 в 01:07
вот про что я)
http://s52.radikal.ru/i137/1012/4c/abb6a3683b78.jpg

Alezhek 19.12.2010 01:09

ну да..сорри.. не об этой разговор... в ней же по-мойму всего 128 байт.. это номер батарейки хранится...мы вот о той большой "дуре"))) под номером ic05

hax0r 19.12.2010 01:11

Цитата:

Сообщение от Alezhek (Сообщение 923880)
ну да..сорри.. не об этой разговор... в ней же по-мойму всего 128 байт.. это номер батарейки хранится...

нет, в ней тоже 16кБ) тоько что посмотрел по даташиту)

hax0r добавил 19.12.2010 в 01:11
Цитата:

Сообщение от Alezhek (Сообщение 923880)
мы вот о той большой "дуре"))) под номером ic05

Это и так понятно) контроллер-то на батарейке один всего..)


Текущее время: 01:16. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc. Перевод: zCarot
PSPx Forum - Сообщество фанатов игровых консолей.