PSPx форум - Обсуждение взлома батарейки Пандоры PSP-3000...

lport3,
поступил заказ на еепромы - выкладываю =)
---
Собсно, последний архив от меня. Осмелился изменить версию до 0.61, ибо функционал действительно расширен. Но вы помните, что это 0.60 МОД3 =)
http://slil.ru/29034077

lport3

26.04.2010 20:49

Какие настройки порта в терминале вы выставляли?
-------------------------
Все, разобрался..
-------------------------

Пограбил немного rdbli (может кому будет интересно)

Брут одного байта в запросе $8008 ))

Особо впечатлительным лучше не смотреть,
заинтересовавшиеся и желающие помочь, стучитесь в личку.

stasik007

26.04.2010 23:53

наконец-то! оживление!
надо проверить одинаковые запросы по 80D9, 8008, 8004, 8002 - будут ли ответы отличаться?

pronvit

27.04.2010 02:01

имхо надо посмотреть, различаются ли ответы на разных батарейках, то есть зависят ли они от данных в еепроме типа

Boryan

27.04.2010 02:05

я понял что процент заряда хранится не в епроме. Есть батарейка с дохлым епромом и она прекрасно работает

NutStorm

27.04.2010 02:16

Спасибо за инфу. Кстати подтвердила мою теорию.

Может повторюсь (лень читать 7 страниц коментов), не смотря на то, что батарейку нельзя запондорить (и дело тут никак не в мат.плате, хотя и не без этого) Серийный номер можно отдампить и он имеет такую же структуру что и у предшественниц. Другими словами, дело в архитектуре (или же в программном коде) команда нашего сайта (можно найти по нику кому интересно) как раз работает над этим. Есть несколько идей. Могу сказать одно. Мы встали в тупик. Все бояться ломать аккум. Если у кого есть, сфоткайте плату батарейки в хорошем качестве. Это сильно поможет.

Так как номер поменять пока нет возможности, надо смотреть что там внутри.

Boryan

27.04.2010 02:47

NutStorm, а чего бояться? я уже 5 штук разобрал :) три от слимок и две от фаток :) схемы батареек изучил ...так что задавай вопросы что интересует

Boryan добавил 27-04-2010 в 02:47
фотки каких батареек нужно? Есть три вида плат...:) кинь ссылку на сайт где вы ковыряете 3000 батарейку

ErikPshat

27.04.2010 09:43

Цитата:

Сообщение от NutStorm (Сообщение 883616)

команда нашего сайта (можно найти по нику кому интересно) как раз работает над этим

А чё тут стесняться и что там искать?
Все и так знают супер-модератора с детского садика PSPISO.tv :D
Cайта, прописанного в правилах (пункт7.7), где копипастят чужие факи и статьи, без ссылок на первоисточник. И плюс к каждому такому факу, написанному не ими, прикрепляют свой логотип "PSPISO.TV" на чужие скрины, сделанные не ими, да ещё в конце делают приписку:

Цитата:

"Уф, всю ночь писал, старался чисто для вас, ради PSPISO!!!
Не забудьте все поставить мне спасибки!"

Ну так что ваша команда нарыла-то? Вы людей старше 14-ти в команду берёте?

ErikPshat

27.04.2010 09:47

stasik007, а как реагирует батарейка на ТА-088v3 с обычной пандорой?
Какой лог выдаёт?

Я имею ввиду, что раз на PSP-3000 читает номер FFFFFFFF, но обращения к карте не происходит, как вы говорили.
Так-же хочется проверить, на PSP-2000 TA-088v3, ведь тоже подсовывается номер FFFFFFFF и если стоит обычная пандора, то что происходит, ведь тоже вроде реакция, как будто нет обращений к карте. Вот и интересно, обращение к карте идёт или так-же, как на 3000?

Boryan

27.04.2010 13:19

ErikPshat, На ТА88V3 обращение к карте идёт после того, как sys con схавает код батарейки FFFFFFFF, и запустит контроллер питания, и подаст все нужные напряжения на консоль, и sys con даст команду ЦП делать загрузку с картридера. Всё зарыто в Sys con, если он подружился с батарейкой, то запускает всю консоль....а если не подружился, то фигу вам.:) Аналогично происходит если батарейка перезаряжена....то зыза не запустится. В 3000 sys con ни как не может подружиться с батарейкой.....вот и не запускает зызу....

Boryan добавил 27-04-2010 в 12:39
Вывод.....их нужно подружить :))))))принудительно :))))

Boryan добавил 27-04-2010 в 13:08
очень интересная батарейка :) у обычной батарейки с обычным серийником, отрываем 1-ю ногу епрома (Chip Select Input) и батарейка превращается в пандору:)

Boryan добавил 27-04-2010 в 13:12
ErikPshat, Понятно про NutStorm.....детский садик решил показать себя крутыми перцами по взлому батарейки 3000.....но они упёрлись в тупик....и батарейки им жалко ломать :) А нам чота не жалко...я уже 7 штук распотрошил :)

Boryan добавил 27-04-2010 в 13:14

Цитата:

Так как номер поменять пока нет возможности, надо смотреть что там внутри.

:)))))) пацтулом :) а вот мы можем менять и не только номер....:) итам внутри всё уже знаем и посмотрели....

Boryan добавил 27-04-2010 в 13:19
а внутри там ППЦ :)))http://s61.radikal.ru/i173/1004/cf/cfaa4f568352.jpg

Ins|der

27.04.2010 13:32

Цитата:

Сообщение от pronvit (Сообщение 883614)

имхо надо посмотреть, различаются ли ответы на разных батарейках, то есть зависят ли они от данных в еепроме типа

кстати, хорошая мысль!

Цитата:

Сообщение от Boryan (Сообщение 883663)

На ТА88V3 обращение к карте идёт

то есть на этой плате реально залить с карты офиц. прошивку и восстановить брик/задаунгрейдить?

ребят, не нужно сориться, в конце концов над одним делом работаем, любая помощь не помешает

Ins|der добавил 27-04-2010 в 13:32
lport3, это ты батарею от слимки брутил?

какая-то странная у неё ёмкость D804 (1240 mAh)..

Boryan

27.04.2010 14:07

Ins|der, мы не соримся..но понтовщиков ненавижу...что сделал этот малец? пришёл понтанулся и отметился в ветке и всё? что реально дельного предложил? ...номер он оказывается поменять не может :)
А по делу про ТА88V3 ....там стоит новый проц CXD2988 и он проверяет всё что ему предлагают на цифровую подпись от Сони. Для загрузки с карты нужен IPL подписанный сонями для стика....а его нету. Ну и есно с карты ты фиг чего сделаешь. В 3000 зызах стоит тот же ЦП CXD2988...

Boryan добавил 27-04-2010 в 14:07
lport3, давай всем миром будем брутить батарейку...опиши процесс технологический что и как и куда :)

Ins|der

27.04.2010 17:30

Цитата:

Сообщение от Boryan (Сообщение 883679)

Для загрузки с карты нужен IPL подписанный сонями для стика....а его нету

понятно, то есть для стика нужен спец. лоадер, отличный от лоадера в нанд, и, насколько я помню, он каким-то образом привязан к серийнику карты, так? (заранее извиняюсь за глупые вопросы, приходится на ходу в теме разбираться)
хотел почитать прошлую тему "Размышления о взломе TA-88v3", память освежить, но так и не нашел её(

ANDPSP

27.04.2010 17:47

Цитата:

Сообщение от lport3 (Сообщение 883534)

Какие настройки порта в терминале вы выставляли?
-------------------------
Все, разобрался..
-------------------------
Особо впечатлительным лучше не смотреть,
заинтересовавшиеся и желающие помочь, стучитесь в личку.

А все же, расскажите поподробней куда подключаться все же нужно, я собрал кабель на базе PL2303HX - RX прицепил на средний контакт, GND прицепил на минус - он левее, если консоль лежит на экране шифтами вверх - в настройках порта скорость - 9600, четность - None, дата бит - 8, стоп бит - 1 - вроде бы все правильно , но я не получаю тех байтов что описывались тут - у меня совсем все по другому :-( вот вставляю запандоренную батарейку в фатку и получаю какую то хрень

хрень

тут два прогона, начало вроде похоже друг на друга, но все равно хрень - почему так ? Или нельзя напрямую подключаться к среднему контакту поскольку он объединяет RX и TX сигналы в один контакт ? Тогда куда нужно подключаться ?

stasik007

27.04.2010 17:53

Народ! - давайте о деле..

stasik007 добавил 27-04-2010 в 17:53
настройки гипертерминалки 19200 8E2 None
у кого виста или семёрка

RealTerm: Serial Terminal Program
For up to date infomation, and downloads
http://realterm.sourceforge.net
Latest Development versions may be available from:
http://www.i2cchip.com/realterm

Ins|der

27.04.2010 17:55

чтобы как-то систематизировать, предлагаю на рассмотрение след. план действий:

при наличии одной батареи
1.

Цитата:

Сообщение от stasik007 (Сообщение 883602)

проверить одинаковые запросы по 80D9, 8008, 8004, 8002 - будут ли ответы отличаться?

2. проверить одинаковые запросы по 8002/8008 на батарее с оригинальным, измененным, 00000000, ffffffff серийником, чтобы выяснить его роль в формировании ответа;

3. если SN не влияет на ответ, последовательно изменять участки кода EEPROM батареи с выдачей одного и того же запроса, чтобы вычислить области, критичные для формирования ответа

как-то так)

ANDPSP

27.04.2010 18:12

Цитата:

Сообщение от stasik007 (Сообщение 883738)

stasik007 добавил 27-04-2010 в 17:53
настройки гипертерминалки 19200 8E2 None
у кого виста или семёрка

Так не заработало тоже, но вот с параметрами 19200 8E1 None стало то что нужно :-) теперь и эмулятор опробовать можно :-)

stasik007

27.04.2010 18:27

Цитата:

Сообщение от ANDPSP (Сообщение 883752)

Так не заработало тоже, но вот с параметрами 19200 8E1 None стало то что нужно :-) теперь и эмулятор опробовать можно :-)

у меня с 1 стоп-битом error проскакивает а с 2 идеально и по дкументации 2 надо

stasik007 добавил 27-04-2010 в 18:27

Цитата:

Сообщение от Ins|der (Сообщение 883753)

так вот похоже в том и проблема, что даже на ta-88v3 так до сих пор ничего не подписали)

просьба тему в сторону не уводить - если интересен ipl - то и обсуждайте его в ipl-ном месте!
он тут потоптался, поистерил и дальше пошёл на другой форум ipl обсуждать и говорить им что батарейки у них нету и ничего не получится

lport3

27.04.2010 19:06

Немного работал, не мог дальше грабить,
сегодня вечер посвящу батарейке.
Сегодня попробую поподкидывать команды из ваших
логов, но уверен, что они совпадут. Кстати, если сразу
спрашивать $8002 батарейка не отвечает. Все таки не так просто
будет понять длинные команды (возможно вообще не получится).
Хотел считать еепром в батарейке, но логов вы не сделали, а жаль
по известному методу считывания можно было бы попробовать считать
озу (тут ведь неизвестно где можно нарыть дыру ).
Батарейку читаю через к-адаптер (автомобильный стандарт к-линия,
питание адаптера 7в), програмку сварганил сам.
Сегодня если ничего не получится по раскрипту длинных команд,
то мысли у меня кончились.

lport3 добавил 27-04-2010 в 19:06
Ins|der

Цитата:

при наличии одной батареи
1.
Цитата:
Сообщение от stasik007 https://www.pspx.ru/forum/cleardoc/buttons/viewpost.gif
проверить одинаковые запросы по 80D9, 8008, 8004, 8002 - будут ли ответы отличаться?

Попробовать надо, но даже судя по командам разным, отличия будут.
А разглядывать крипт в нескольких командах, только путатся, и
увеличивать объем работы.

Цитата:

2. проверить одинаковые запросы по 8002/8008 на батарее с оригинальным, измененным, 00000000, ffffffff серийником, чтобы выяснить его роль в формировании ответа;

Для этого надо, вам делать адаптеры, поскольку у меня только одна
батарейка (3.6,1200,брайт,ориг.)

Цитата:

3. если SN не влияет на ответ, последовательно изменять участки кода EEPROM батареи с выдачей одного и того же запроса, чтобы вычислить области, критичные для формирования ответа

Пальцем в небо, совершенно не реально. Тут уж точно запутатся можно
Только если с нулевым еепромом батарейка запускается, имеет смысл.

stasik007

27.04.2010 19:14

ещё вопрос! - если повторять комманду 8002 (к примеру) с одним и темже аргументом ответ будет одинаковый всегда? или всегда разный?

ErikPshat

27.04.2010 19:32

NutStorm, да не в обиду, немного пошутили с небольшой долей правды =).

Boryan, я о том, что на ТА-88v3 ведь пандора не запускается, несмотря на то, что батарея сервисная 0xffffffff.
Вот и интересует, какие данные выдаёт терминал в этом случае?

stasik007

27.04.2010 19:41

данные теже что и 88v1 88v2 и других пандорящихся..
ведь борян же писал - В 88v3 и 90плате от 3000 проц тотже - другая только микруха cs (часы, опрос кнопок, контроль батарейки, короче проверяет и выдаёт комманды на запуск всех питаний и процов) вот она и опрашивает теперь по другому - кстати писали перед выпуском 3000 модели что левые аккомуляторы не будут к ней подходить..

ErikPshat

27.04.2010 19:45

stasik007, почему тогда пандора на ТА-88v3 не запускается?

Romcik077

27.04.2010 20:20

Здравствуйте всем! А возможно на плату ТА88V3 перепаять системный контролер на более старый, то есть с более старых плат, если не ошибаюсь в предыдущих постах говорилось что остальная начинка похожа.
А насчёт пандоры для 3000 я думаю что в батарейке нечего искать так как когда контролер видит серииник FFFFFFFF он скорее всего опрашивает батарею 31 один раз что-бы получить нужный ответ для входа в сервисный режим. так что надо искать ключи для получения правильного ответа. А ключ может опять быть в ЕЕруме, в предыдущих постах говорилось что у когото был образец Рума и в нём был изменён другой участок иной чем сам серийник.
Вот такие у меня соображения на этот счёт

Boryan

27.04.2010 20:29

Цитата:

Сообщение от NutStorm (Сообщение 883733)

Boryan На все предирки по поводу сайта отвечать не буду. Пусть говорят что хотят. Школота на нашем сайте была есть и будет. Без нее никуда. Она поднимает посещаемость. ))) Сам ведь знаешь.
Вопрос сейчас в другом. Можно ссылочку на фак по смене номера на батарейке?

NutStorm добавил 27-04-2010 в 17:35
А по поводу батареек, могу сказать, что мне семью содержать надо, а не тратиться на соньки.

Я тоже семью содержу и не маленькую :))) Ты уж извени меня за резкость, но коли ты не знаешь как изменить номер в батарейке ( а это очень просто).... то тут тебе мягко говоря ....делать нечего..И почему сразу не сунуть штук 5 батареек в зызу....+ аккумулятор от автомобиля...нуачо? Запомни раз и навсегда, пригодиться может...нету батареек для 1000,2000,3000....( хотя для школоты они есть) они внешне отличаются, а внутри они по электронной начинке и программно, полностью одинаковые...вот мы их и ковыряем.

Boryan добавил 27-04-2010 в 20:29
Romcik077, нет нельзя...они функционально одинаковые, но корпуса разные по размерам и распиновка изменена....а паять 84 проводочка от BGA микрухи размером 6х6мм....я чота таких героев не встречал :))))

lport3

27.04.2010 21:10

Похоже, ключ крипта изменяется динамически,
причем точно сказать по какому принципу сложно.
Если считывать одну команду с интервалом в 1-2 сек,
то ответ долго не меняется, если сокращать или увеличивать
время между запросами, ответ меняется. Привязки к лок.идентификатору
нет, проверил все.

Вот примерчик, считывал сериями (внутри серии паузы 50мск).

lport3 добавил 27-04-2010 в 21:10
Вот, собственно и все, динамический ключ..(
может даже кирк..

lport3

27.04.2010 21:21

Цитата:

Сообщение от Romcik077 (Сообщение 883797)

lport3,можешь перед отправки запроса (хотя-бы перед сериями) делать дамп батарей чтоб можно было проследить что изменяется в ЕЕроме. Может получится что нибудь с чем-то связать. (Это всего лишь предположение)

я бы с радостью, но мне нужны логи снятые во время
работы программы, которой вы сливаете дампы. У меня непрошивайка,
мне проще сделать протокольную читалку, как опцию в программке.

Boryan

27.04.2010 21:24

lport3, чота ты ошибаешься по моему :) Как ты брутишь только чтением...я правильно понял? Или ты и на передачу работаешь? Потом, какая консоль участвует в опытах?
Ааа допёр..ты только батарейку мучаешь...:)

lport3

27.04.2010 21:27

Цитата:

Сообщение от Boryan (Сообщение 883802)

lport3, чота ты ошибаешься по моему :) Как ты брутишь только чтением...я правильно понял? Или ты и на передачу работаешь? Потом, какая консоль участвует в опытах?

Бручу обычно ), эмулирую запросы псп (батарейка на столе лежит), связь
естественно двунаправленная. 3008.

Ins|der

27.04.2010 21:36

Цитата:

Сообщение от Boryan (Сообщение 883802)

Потом, какая консоль участвует в опытах?

так он вроде только батарею брутит) напрямую ей команды шлет

Цитата:

Сообщение от lport3 (Сообщение 883795)

Похоже, ключ крипта изменяется динамически, причем точно сказать по какому принципу сложно.

интересно, первые восемь байт статичны (полезная информация), вторые восемь байт типа нагрузка (привязанная ко времени?), вероятно несущественная

Boryan

27.04.2010 21:37

lport3, уже понял как ты брутишь :) Только не понятно как Зыза это использует....динамический ключ...это как в автомобильных сигналках чтоле? Но вроде динамический код в авто сигнализациях ломают

Boryan

27.04.2010 22:08

смысла не вижу в динамическом коде.....динамический код нужен что бы что бы идентифицировать два устройства между собой. Пример автосигнализация и пульт. В зызе он не применим потому как сервисная батарейка должна работать со всеми консолями. А потом смысл брутить батарейку в которой может и не заложена функция пандоры для 3000. Уж коли соня изменила sys con то наверное и выпустила спец батарейку с нужными ответами на запросы зызы без всяких динамических ключей. А то что выложил lport3, это что то типа неправильной работы батарейки на запросы зызы. думаю что правильней было бы брутить зызу а не батарейку.

Ins|der

27.04.2010 22:20

Цитата:

Сообщение от Boryan (Сообщение 883826)

Уж коли соня изменила sys con то наверное и выпустила спец батарейку с нужными ответами на запросы зызы без всяких динамических ключей.

если это так и ответ на команду 80D9 вычисляется по специфическому алгоритму, известному только спец. батарее, тогда непонятно как его вообще узнать, не имея её в наличии..
а ещё ведь они вполне могли и аппаратно чего докрутить)

я надеюсь, ключ все-таки в eeprom'e

lport3

27.04.2010 22:23

В исходниках на "слил" везде обращения
к процедурам из пспсдк.
Брутить псп, это как? ) подставлять левые ответы на запросы..хм..

Boryan

27.04.2010 22:40

Цитата:

Сообщение от lport3 (Сообщение 883829)

В исходниках на "слил" везде обращения
к процедурам из пспсдк.
Брутить псп, это как? ) подставлять левые ответы на запросы..хм..

ну типа так ....у тебя же есть девайс который может в обе стороны работать ...вот и попробуй им эмулировать ответы зызе....к примеру как она отнесётся к ответу не 4 байта FF а 8 байт FF. ну и есно левые ответы мона попробовать ....только так я вижу смысл...а так есно обычной батарейкой мы ни чего не добьёмся....уже и так понятно что зыза с ней дружить не хочет в том виде в каком она есть.

Romcik077

27.04.2010 22:40

lport3,я тоже не совсем понимаю что там творится но мне кажется есть ещё какие-то инструкций которые использует контролер чтобы читать и записывать данные из ЕЕром. Пример:
pc_send: 5A028023
battr_ans: A5021543
инструкция 80 выдаёт ошибку без остального кода. Значит есть и другие инструкций которые используют другие данные. Никто не нашёл даташит на контролеры от батарей?

Boryan

27.04.2010 22:51

А потом если бы было известно 100% что из обычной батарейки можно сделать пандору 3000 тогда бы имел смысл её брутить....но нам известно 100% что зызе батарейка не нравится...посему нужно эмулировать компом ответ батарейки который устроит зызу. Может вообще на все 32 запроса должен быть один ответ 16 байт FF либо A512062F7974D262BC0375FFFFFFFFFFFFFFFF+контрольная сумма этого блока :) Ведь обычная батарейка этого не сделает. А потом эти 32 запроса может быть спецом сделанно что бы мозги запудрить и в сторону увести. Наверное соня предполагала что будут слушать обмен батарейки с 3000 вот и сделала намеренно такую подпрограмку сбивающую с толку

lport3

27.04.2010 22:51

Цитата:

Сообщение от Boryan (Сообщение 883834)

ну типа так ....у тебя же есть девайс который может в обе стороны работать ...вот и попробуй им эмулировать ответы зызе....к примеру как она отнесётся к ответу не 4 байта FF а 8 байт FF. ну и есно левые ответы мона попробовать ....только так я вижу смысл...а так есно обычной батарейкой мы ни чего не добьёмся....уже и так понятно что зыза с ней дружить не хочет в том виде в каком она есть.

Это уже не брут получится а дроч..лово. Во первых, физически втуливать
контактик в новую псп. Во вторых, я тупо не знаю как должна вести себя "правильно" псп, при включении с пандорой. В третих, что куда подставлять..?

Boryan

27.04.2010 22:55

Romcik077, ссылка на даташит контроллера батарейки есть в этой ветке..ищи :) Но он собака уж очень куртой....работает по программе которую ты в него запишешь. Нашёл контору которая продаёт программатор этих контроллеров с соответствующим софтом для разработок.....цена вопроса 2500$ :)

Boryan добавил 27-04-2010 в 22:55
lport3, схему девайса мне дай которым ты батарейку мучаешь и я сам 3000 помучаю...у меня есть немножко :) бриков 3000 :)

lport3

27.04.2010 23:00

Цитата:

Сообщение от Boryan (Сообщение 883841)

lport3, схему девайса мне дай которым ты батарейку мучаешь и я сам 3000 помучаю...у меня есть немножко :) бриков 3000 :)

http://chiptuner.ru/content/kline/

----------------------
А брики не читают карточку?
Вообще, кто нибудь реально видел батарейку сервисную на 3000?

Текущее время: 10:59. Часовой пояс GMT +3.

Страница 7 из 45