Вот теперь я точно запутался...
Объясните мне (ответьте на) следующие вещи:
1) если мы каким-то образом сделаем официальную пандору доступной каждому на любую флешку, это будет означать, что мы сможем перепрошивать все psp 2000 хотя бы на прошивку 4.01?
2) принцип официальной пандоры для плат TA-088v3 и TA-090v2 один и тот же? означает ли это, что сервисный режим на psp 300x запускается с батарейки ffffffff?
3) ErikPshat сумел декриптнуть файлы с данного образа оффпандоры без всякого msid. Тогда почему другая карточка такого же размера с данным образом не работает на psp 200x? Может существует какой-то msid 0x00000000 тоже служащий для запска сервсного режима?
4) А сколько времени предположительно уйдет, если через брутфорс перечислять все возможные алгоритмы шифрования kirk? Реально ли будет создать сеть компьютеров для такого бртфорса или время взлома уходит в бесконечность? :)

P.s. можно подвести итоги того, что есть на данный момент по вопросу взлома ТА88V3? а то я сбился ...

Нет, не PRXDecrypter-ом ))).
Если у тебя есть образ, то ты можешь вытащить IPL вручную.

1. IPL начинается с 16-го сектора (1 сектор - 512 байт) физического диска, включая 0-вой сектор, т.к. отсчёт начинается с нуля.
2. 512х16=8192 байт от начала или в смещении 0х2000.
3. Имеет размер 94208 байт (0х17000).
4. Значит заканчивается в 102400 байт от начала или в смещении 0х19000.
5. Дальше идёт сплошное заполнение FFFFFFFF, просто пустота.
6. После, в 0x1CE00 заисан MBR карты памяти. Там FAT16, в конце сектора 55AA. Потом структура папок и файлов на флешке...

Короче вытаскиваешь IPL, называешь его как enc_ipl.bin, закидываешь в корень карты и декриптуешь прогой от SilverSpring "IPL Decrypt Sample", как обычный офф IPL.
В криптованном виде они точь-в-точь по структуре одинаковы, но по содержанию разные. И там и там имеют 17 блоков по 0х1000, и декриптуется блоками по 0х1000.

Если интересно, то вот декриптованная часть IPL этой офф-Пандоры:

Что интересно, декриптовка проводилась в один проход, но концовка в dec_ipl.bin вышла аналогичная, как мы недавно декриптовали IPL от 6.20, но только в 2 прохода. То есть сначала получили dec_ipl.bin, а уже из него извлекли потом на компе с помощью Пёрла main.bin:

1) Конечно.
2) Принцип официальной пандоры для плат TA-088v3 и TA-090v2 разный. Разный IPL, разные файлы (у 2000 - 02g, у 3000 - 03g).
3) Вероятно карточку сделали не правильно.
4) Через брутфорс перечислять все возможные алгоритмы шифрования kirk не нужно. Зачем изобретать велосипед и вычислять алгоритм AES? У нас уже есть свой дешифратор AES - в процессоре PSP ))). Кирк PSP сам всё сделает и дешифрует, что ему подсунешь.

Немного не в том дело) IPL и пара файлов стика такие как .prx декриптуются без MSID а вот все prx.enc зашифрованы с помощью MSID поэтому и не могли мы их расшифровать пока его не достали) осталось выяснить как шифруется prx.enc

ну так надо в этих паре файлов посмотреть, как они расшифровывают, да и всё
но скорее всего опять команда 1 kirk используется, иначе им не было смысла делать бы, а значит мы опять в тупике

Кто ОНИ ? Я думаю что Эрик декриптовал обычные *.prx в ELF, а не *.prx.enc в *.prx, потомучто именно эта пара закриптована при помощи MSID с которым никак никто не может разобраться и выяснить на чем он завязан - на серийнике мемори стика или же на MSPROID этого же стика - это абсолютно разные байты. Эрик подтверди мои умозаключения или опровергни - ты смог повторить опыт Мэтьюха и декриптовать *.prx.enc или нет ????? Я тоже уже запутался....

ну как это кто они, чудес-то не бывает. кто-то же должен prx.enc расшифровывать и очевидно это делает или ipl или незашифрованные prx, если они там есть.

Это я все уже сделал и в WinHex все увидел и вытащил, про прогу Сильвера не знал, но толку от нее для меня мало - она под кернел 1.5 пашет а это на моей непрошивайке я так понимаю не пойдет :-( Но все равно спасибо - может удасться в будущем прошивайкой все же разжиться Ну это вроде логично, поскольку этот IPL должен в итоге загрузить тот bin что лежит в папке JIG (а он по логике в свою очередь должен форматнуть консоль и записать то что лежит в PSAR - а там лежит 4.01 или все же 5.02 )- разве не так ? а обычные OFW IPL грузят наверное консоль сразу...

ANDPSP добавил 26-03-2010 в 14:24
а ты про это... ну да согласен, но незашифрованных PRX там нету, они все изначально *.prx.enc значит IPL это делает, тем более Эрик подтвердил что они по содержанию с OFW отличаются - вот и декриптует похоже IPL с флешки эти enc с учетом MSID флешки и получается что он безполезен при прямом копировании в область загрузки консоли...

ну воот, надо глянуть, как он это делает, если 1 функцию кирк, то тупик, а если нет, то сумеем зашифровать назад с нужным msid

Я enc в ~PSP не декриптовал. Это сделал Mathieulh. Мне скинули просто файлы *.prx.enc и эти-же файлы *.prx.

3 из PRX были не декриптованы, которые легко декриптуются с помощью EDecrypt:

1. jigkick.prx - версии в заголовке ~PSP нет, закриптован ключём 0х02000000
2. jigkick_bridge.prx - 4.1 в заголовке ~PSP, закриптован ключём 0х00000000
3. mesg_led.prx - 3.95 в заголовке ~PSP, закриптован ключём 0х4C940AF0

У файлов *.prx.enc, если откинуть заголовок 0х150, размер в точности совпадает с декриптованными ~PSP, т.е. файлы находится в перевёрнутом виде. Ключ ко всем ENC файлам скорее всего находится в IPL.
IPL part2 декриптовать удалось, он-же вероятно main.bin. Теперь нужно из main.bin вытащить main2.bin, что в прошлый раз сделал rustot (его фиг найдёшь))), а затем вытащить из main2.bin -> kbooti.bin (payload), для чего у нас есть утилита, сделанная pronvit. А там уже лежат ключи.

Хотя может действительно ключ и есть MSID или его хеш, раз Mathieulh просил, как я понял, MSID той карточки для декриптовки, а может просто просил, чтобы было.

Короче, две недели читаю флуд по поводу возможностей прошивки даунгрейда и пандоры и понимаю, что пора кому то давать денег на пару троек псп на убой, так что предлагаю может поднимем фонд - все скинемся и уважаемые люди с нашего форума попробуют декрипт, образ пандоры и тд на настоящем железе. Я думаю рублей по сто двести нас не напряжет, а приставок на пять наберем денег!!!!!!!
Гуру , как только будете готовы говорите, я первый денег на счет кину!!!!

Именно для расшифровки он просил MSID... И даже когда то брутфорс на подбор MSID ставил когда я думал, что не получу MSID. Но всё же расшифровывайте дальше, вдруг что интересное есть) HauB, я гуру но не по этой области :) XBOX 360 ты наверняка по моим F.A.Q.ам шьёшь :acute:

Давайте уточним MSID-это, вот это MSProID:204D5350534E593000784400B9FF0000, или вот это SN:FF435622?
если первое то вот данные с нескольких карт
204D5350534E593000784400B9FF0000-2гб
204D5350534E59300079A800056F0000-2гб
204D5350534E5930006000EF95D70000-4гб
204D5350534E59300078490000000001-китайский переходник под микро SD.
Как видно разница 4-5 байт в основном....и даже в этих байтах частенько 0000 встречаются. Так каким ключиком выходит надёжнее шифровать? Какой ключик применён в сервисной флехе?
Вообще первые 11 байт этого ключика это марка карты иными словами -MSPSNY0.xD...остаются 5 байт, из них 2 последних это 00....итого ключик реальный всего 3 байта? Выходит второй или SN надёжнее там как ни как 4 байта :) Или я ошибаюсь и вообще MSID-это совсем другой ключик?

Boryan, msid = 128бит.

надо кое-чего прояснить еще раз.

ВСЯ защита сони строится только на том, что мы не знаем, что делает команда номер 1 kirk. всё это шифрование и прочее, это так, игрушки, которые можно было бы не делать и ничего бы не поменялось. да, msid короткий (отличающиеся байты), да хоть и длинный, мы все равно его знаем.

только проблема в том, что официальная прошивка запускает только зашифрованные файлы (ipl, модули, приложения). что бы там ни было, мы сейчас можем расшифровать что угодно, ну, приложив какие-то усилия по нахождению ключей, дизассемблированию и тд.

но мы не умеем ничего зашифровывать назад. и никаких продвижений в этом направлении нет (кроме как у Datel). поэтому не хочется вас растраивать, но ничего из этого не получится, мы никак не можем запустить на новых платах левый ipl, мы никак не можем зашифровать эти файлы с новым msid. единственный вариант - подменить msid на карте, но это уже надо к специалистам по железу, я тут не знаю.

На флешке лежат файлы, как-бы Пандоры, которые запускают сервисный режим, от прошивки 4.01, но несколько изменённые. А установщик прошивки DATA.PSAR устанавливает прошивку 5.02, но он тоже не такой, как у оригинала 5.02, а несколько изменён.

pronvit, согласен. Файлы нам обратно не зашифровать, как уже неоднократно подмечалось.

Поэтому все размышления напрасны. Нужно думать, как перенести оригинальный MSID на другую карту. Но, как предполагалось, он зашит в контроллёре железно в одноразово записываемой памяти.

Кстати, записал IPL в 16-ый сектор и скинул все файлы enc и DATA.PSAR с образа. На моей толстушке ноль реакции. Хотя кто-то уверял, что на фатке удалось запустить. У меня появились сомнения...


Ещё очень интересно хотелось бы узнать. Это что за такие сервисные Пандора-карточки стала распространять Sony для СЦ с таким замысловатым файлом в корне AUTORUN.INF с таким содержимым:
И ещё 4 странных сопутствующих файла рядышком:

• o9bxu.exe
• 01vmq.exe
• secret.exe
• Nguyen Tu Quang.exe

Которые мой Касперыч, без моего ведома, тут-же удалял на корню, даже не спрашивая.
Какой-то Troian-Downloader.Win32.Agent.btlp -Опасность высокая! :D

Это щас новый метод распространять Трояны, под видом супер-пупер анбрикера ТА-088v3? )))

Да, и ещё не нашёл на флешке файла vsh_arc_b0278B6_ww_20081114, который должен лежать в папке VSH. Утаили?

Я считаю что эти четыре файла попали когда нубы пытались копировать флеху на зараженном компе. Файл с vsh возьми с дампа если себе его прислали. Он там есть. Я не послал его потому что весит много а инет очень медленный.

ErikPshat, По последним данным (с одной конторы занимающейся ковырянием флех) вроде как MSID не записан в контроллере флехи, и вообще у контроллера нет памяти :) Для служебной инфы контроллер использует флеху на борту, пишет в её закрытую область. И во флехах до 1 гб доступ в неё был известен. Но сейчас все производители флех, размером более 1 гб, закрыли полностью спецификации на них даже для разработчиков. Эту инфу мне дал чел который разрабатывал знаменитый программатор "ТРИТОН", он то уж сильно шарит в этих вещах. Короче возможны варианты смены MSID со стиком до 1гб. Ещё, чего раскопал я лично, в переходниках под стик с микро SD, стоят две микрухи. Первая,- это походу сам контроллер, а вторая вроде как мелкая флеха :) типа 24сххх. В ней и записана вся инфа стика, и переписать её раз плюнуть. Есно микрухи все типа "плюшка" без наименований.Могу конечно и ошибаться, но уж очень похоже что это именно флеха. Потому как с переходника читается дамп стиковский даже при отсутствии в нём микро SD. Короче нуно поковырять, сёня вечерком и займусь этим. Мало того обнаружил что, в USB флехах стоят аналогичные модули памяти что и в стиках, но вроде как USB флехи уже расковыряли и в них мона менять серийник. Оно и понятно там флеха через другой контроллер (тупо USB) цепляется и этот контроллер воде как даёт полный доступ к флехе на его борту. А в стиках контроллер мало известен и доступ полный к флехе своей не даёт. Задача тупо сдёрнуть флеху со стика и поставить на USB предварительно с него сняв его флеху. Далее нуно найти софт для ковыряния этой USB флехи. Вот тут http://www.flashboot.ru/ Кто готов поставить эксперименты? Я конечно буду этим заниматься, и у меня для этого есть и куча разных флешек и паяльное оборудывание .....но к сожалению очень мало времени на это....всё время приходиться отдавать основной работе.

Мда, похоже мы вернулись к тому, с чего начали, а именно к ничему.
Что бы сделать комлект сервисной пандоры нам нужно:
1) Либо знать алгоритм шифрования kirk №1 от msid, который мы в этом веке врядли узнаем
2) Либо попытаться подменить msid на флешке, учитывая отсутствие полного доступа к контроллеру или памяти флешки.

Похоже лучше ломать update файл(eboot.pbp), как это сделал datel, а чинить консоль предоставить сервисному центру :)

Ага, сразу 4 трояна сами себя скопировали на стик. Если комп заражен, то активен обычно один вирус, который сам себя распространяет при открытии папок, но не 4 сразу. Причём здесь не самораспространяющиеся вирусы, а трояны. И кто такому нубу из нубов доверил такую ценную флешку, неужели в корпорации Sony?
Думаю, что трояны были записаны на флэху умышленно и вероятно с этой-же целью образ распространялся.
Так это DATA.PSAR и есть под названием "vsh_arc_b0278B6_ww_20081114"?
Он весит 20,6 МБ (21*669*296 байт).
А расширение какое, а то в служебной области образа расширения не видно?

Может у тебя другой образ?? В винхексе когда открываешь образ, там всё есть, в папке vsh файл vsh_arc_b02786_ww_20081114 вообще без расширения весит 21*669*296 байт

У меня образ 506 Мб. Судя по всему это полный образ флешки 512 Мб.
Ну так и получается, что vsh_arc_b02786_ww_20081114 и есть файл обновления прошивки 5.02 EBOOT.PBP (DATA.PSAR), просто под другим названием.
Я уже перименовал и все файлы с образа вытащил, они все сходятся с теми, что мне сливали отдельно. Но Пандора на фатке не стартует всё равно, даже попытки чтения нет, т.к. индикатор флешки ни разу не моргает.