hax0r, большой с 30 ногами это и есть 501 ..просто сейчас маркировку лепят любую на чип..а мелкий в красном кружке еепром
Boryan добавил 19.12.2010 в 01:15 hax0r, в мелкой Е**РОМ не 16 к а 256 байт всего |
Boryan,да... тогда в ней действительно ничего полезного нет..
|
Цитата:
|
Цитата:
|
Хорошо, убедил этот способ возможно не проканает.
Но я бы все равно его проверил. Я всего лишь хочу опять сказать что не стоит зацикливаться на одних только батарейках и на том как растворить свою psp в кислоте, а искать другие способы взлома. Конкретное я озвучивал еще раньше, выяснить каким образом сам сикон переводит проц в режим загрузки с карты памяти. |
Wesbam, очень просто ...командами по шине...только доступа туда нет...это как в биосе РС ты выбираешь сам откуда будешь грузиться...так и здесь..доступ только с команд батарейки..А потом это бредовая идея для реализации ...в смысле что бы перешить или сделать даун тебе нужно будет всю консоль разобрать
Boryan добавил 20.12.2010 в 01:32 а потом ты думаешь что мы тупые и за полгода не пересмотрели все возможные варианты взлома? Аппаратный вариант со сменой сискона уже описывался много страниц назад.. |
Okey, я допускаю что мог что то пропустить и совершить ошибку
в своих умозаключениях. С самого начало правильней было бы самому заняться взломом и проверкой своих идей. Что касается варианта взлома через прошивку батарейки, то я по прежнему считаю его не самым лучшим. Желаю удачи и успехов во взломе. |
Wesbam, так попытайся сам сискон поломать...мож у тебя получится...Ты наверное так до конца и не понял всей сути перевода ПСП в сервисный режим:(.....только взлом батарейки и ни чего более
|
Цитата:
А насчет практических идей - то, мне кажется, варианта всего 3 на данный момент: 1.декап 2.вариант с двумя чипами 3.вычисление ключей и алгоритма по ответам, но это наиболее нереально.. только если ООООчень сильно повезет... хотя, если у вас есть знакомые криптографы с мировым имене-можно попробовать..) |
Цитата:
Теперь про алгоритм чексума - побайтного вычитания там нет и в помине, что там за алгоритм - хз. можно конечно попробовать просчитать алгом выложенным в доках на 9202 - но там блок 256 байт а у нас 1024... Если кому интересно то блок из 1024 FF имеет чексум 0400h, причем полностью затертый чип так же имеет этот же чексум, как и любой блок. Первый блок с данными "8000FFFF....FF" имеет чексум 057Eh, остальные пустые блоки имеют тот же чексум 0400h, а чексум всего чипа равен 417Eh Мне пока не удалось найти алгоритм расчета чексуммы, попытайтесь - может кому повезет, но всеравно сомневаюсь что будет толк - поскольку мы узнаем лишь чексум всего блока - т.е. 1024 байт, а никак не 4-х байт которых достаточно для верификации... Тем кто будет играться с моей прогой напоминаю что прошивка для заливки должна быть в виде бинарника а не стандартного хекса, т.е. вид типа ":10016600B7891CD6874197B0B160F204FAF3B1B0F3" не прокатит... Для перевода нужно загрузить хекс в проге FlashProg и скопировать в бинарник или же заливать в самом FlashProg, но она льет с самого начала, а в моей проге можете записать данные в любой блок и стереть так же любой блок... ANDPSP добавил 20.12.2010 в 18:01 Цитата:
2. Тут Боря немного сам запутался и вас всех запутал, в реале наиболее открытые 501-е чипы с батареек, имеющие возможность перезаписи бута, закрыты от программирования - а это отключает возможность стереть определенный блок и записать в него програмку внутреннего чтения. теоретически есть конечно надежда найти в батарейке полностью открытый чип, но это скорее из области фантастики, как и надежда найти работающий бутлоадер в этих чипах - хотя этот момент так и не проверили... 3. Это не реально, я на 90 % теперь уверен что там реализован XTEA который в асме занимает всего 20-30 строк кода - можете в википедии посмотреть... |
ANDPSP, действительно, очень похоже на XTEA.. но не забывайте, что у сони есть свой алгоритм, который так же не требователен к ресурсам и памяти. Название не приведу, но я о нем писал ранее... Или возможно, что сони модифицировали XTEA и стали его применять, т.к. XTEA не был запатентован по инфе из википедии..
Да и в семействе XTEA довольно много разновидностей.. например, XXTEA или RTEA.. RTEA вообще на СИ одну строчку занимает.. |
Цитата:
http://i040.radikal.ru/1012/b0/adc053365e30.jpg |
Цитата:
|
Цитата:
|
hax0r, Еси так, хватит ли времени раскурочить прошивку брутом?
|
lazard, время бесконечно))) его не может не хватить))
Другой вопрос-на сколько сократится время на вытаскивание брутом... |
hax0r, ты тоже вечен? или Борян? а сама консоль? Я как раз о чем, на что нам хватит времени. Без обид, но о вечности времени это сомсем другая тема.
З.Ы.реально ли рассчитать, сколько времени нужно для этого? |
lazard,рассчитать можно все что хочешь.
А насчет обид... какие вопросы задаешь-такие ответы и получаешь. Хватит или не хватит времени будет зависеть от тех временных рамок в которые ты хочешь уложиться. |
Цитата:
[IMG] ![]() ведь судя по доку.. проверять можно от 1 байта? |
Alezhek, по докам , да....а на деле 4 байта..Я же и прогу и доки и схемы всё выложил..можете сами попробовать...Мы тоже губы раскатали на эти доки ...но NEC быстро закатал :)
Boryan добавил 21.12.2010 в 20:23 Alezhek, А уже если у тебя есть желание помочь ..то поизучай доки на 9202 ..мож там дырку можно найти...или на 102 чип посмотри своим свежим взглядом :) |
а что в них ищем? кстати, а где на них доки? выложи , пожалуйста
|
забирай http://zalil.ru/30194382..ну а искать чего? ...дырку :) Способ вытащить прошивку..верефикацией..написанием своего кода для вытаскивания прошивки.. и записью его в контроллер..короче искать уязвимость :)
|
Boryan, Я тут доку почитал... Есть инфа о том, какие биты защиты установлены в тех 9202,которые в наличии есть?
|
hax0r, пока такой инфы нет..сложно зацепить 9202...он рассчитан на работу со штатным программатором в отличии от 501...потому пока думаем как его зацепить...а что там нарыл по поводу битов защиты?
|
Boryan, а разве 9202 есть в батарее на зызе с платой 93?
|
в 9202 все гораздо хуже - "чексум" даже по документации идет блоками по 256 байт. А программатор придется переделывать под него
по мне - так овчинка выделки не стоит... разве что памяти там всего 4К.. проще разбираться, если все-таки удастся сдампить |
Boryan, 9202 еще жесче чем 501... в нем биты защиты даже команду verify не пропустят... еще есть защита на определенную область памяти... регистр защиты от помех... ну и стандартные от стирания чипа, стирания блока и записи... самопрограммирование в нем есть, но оно недоступным становится, если биты защиты установлены... точнее, если оно предусмотрено в той прошивке, которая в нем сейчас и биты защиты установлены, то можно воспользоваться, если его в прошивке нету-то уже ничего не записать...
В общем, 9202 - не вариант, если защита на нем стоит.. hax0r добавил 22.12.2010 в 10:56 lazard,не важно на какой батарее он стоит. Главное что там есть ключи и алгоритм работы. Новые ключи по такой инфе не сложно вычислить. hax0r добавил 22.12.2010 в 11:36 Boryan,единственное но... там написано, что биты защиты в 9202 можно переустановить, использую команду защиты чипа от записи (стирания чипа в 102).. только пока не понятно что из этого выйдет.. щас читаю доки на 102.. |
hax0r, давай давай ..напрягай мозги..а то у меня уже все мысли кончились :) ..жесть с этим NECом ..Ни кто с ним походу во всё мире не колупался как авэрками и пиками...вообще инфы ноль. Непонятно как китайцы нарыли алгоритм...ведь суко клепают баты левые на каждом углу...и прошивка есть почти у каждого китайца....а ни как у них её не выпросить...пробовал все варианты ..и за бабки и в обмен на карточку...тупят суки..типа не понимают что я хочу от них...Да и чел который обещал вытащить с 501 прошиву обломался..короче вся надежда на нас..только самим найти уязвимость в чипе и вытащить оттуда прошиву...других вариантов почти нет...
|
Boryan,китайцы скорей всего тупо декап сделали и все..) и не парились особо..) китайцы, сцуко, такие китайцы..)) они, сцуко, хитрые...
Изучу доки на 102 в ближайшее время, мож наколупаю чего... |
Цитата:
про верификацию я конечно принял эту инфу к сведению но все же решил сам проверить, так вот методом научного тыка и нашлись эти 4 байта достаточные для верификации... свежий лог Лень писать комменты в логе, тот кто разбирается прекрасно все поймет - чип вначале полностью стирается, потом во всю память пишется 8 тестовых байт (они пишутся в первый блок), дальше идут попытки верификации заведомо правильными байтами: 1 байт, 2 байта, 3, 4, 5, 6, 8 - где 4 и 8 там успех, потом во второй блок пишутся других 4 байта и так же верифицируются правильными и неправильными значениями ну и напоследок прототип брута - вот тут очень интересный результат - если сразу верифицировать 4 байта - то все нормально , а если посылать побайтно правильные байты то в результате будет провал... Ну и еще интересное - вспомнил как гонял батарейку по однобайтовым командам и решил так же пробить чип на недокументированные команды, в итоге нашлась пара таких команд A4h и 9Eh лог по командам ответ 020104FB03 говорит о том что команда не поддерживается (стр. 17 доки), а вот ответ 020105FA03 (для A4 и B0) говорит про ошибку передачи параметров, но признает что команда есть... А в случае с 9E вообще положительный статус но после этой команды чип клинит - дальше не хочет отвечать на посылы команд, скорее всего ждет передачи каких то данных... Вот такие пироги :-( |
ANDPSP, да... интересно было бы выяснить с какого чипа NECовцами система команд сдута была...
|
hax0r, а толку от этого? Нужно самим ковырять и искать дырку..не верю я в то что в NEC не существует дыры...просто её реально ни кто ещё не искал...
|
Кому-нибудь из присутствующих случайно не попадались книги по аппаратному взлому..?) Глупость, конечно, спросил, но все же вдруг..)
|
Сергей Скоробогатов
Книга по аппаратному взлому Semi-invasive attacks – A new approach to hardware security analysis (на английском языке) 144 стр., University of Cambridge, 2005 Книга представляет собой подробный разбор методов взлома микропроцессоров и смарт-карт. Отлично иллюстрирована. Выложена автором в формате pdf (11.6 MB), распространяется свободно just google it может и бесполезна однако это первач-вторая ссылка в гугле |
DARK-MAN-X, спасибо, эту книгу тут уже выкладывали) Я думал может еще какие есть.. В Гугле ничего не нашел пока... Изучаю страницу Скоробогатова...
|
если уж говорить о доках от Скоробогатова, то про NEC в этой описано!
http://www.cl.cam.ac.uk/~sps32/ches2010-bumping.pdf |
ну ковырять чип методом Скоробогатова ... дешевле будет поймать китайца ..набить ему морду ..дать денег и сказать что бы притащил прошивку :)
|
С английским не на ТЫ, но тут чуть ли не ренген чипа. Кстати, о ренгенах: может лучше взять лампу из низкого диапазона, приобрести необходимую оптику и просветить чип. С электрикой тоже не на ТЫ, но такой способ применял при поиске дефекта внутри деталей. Реально ли?
|
lazard, бред :)
|
Boryan, тогда будем бить китайцев...
|
Текущее время: 18:10. Часовой пояс GMT +3. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc. Перевод: zCarot
PSPx Forum - Сообщество фанатов игровых консолей.