PSPx форум - Просмотр сообщения отдельно - Обсуждение взлома батарейки Пандоры PSP-3000...

kolio · 22.07.2010, 10:54

вот, что я нарыл через сайт http://www.wasm.ru/forum/viewtopic.php?id=37446

http://translate.google.com/translat...1&client=opera

перевод не очень но 50% инфы понятны

5A 05 13 07 FF FF 88 - команда от PSP к батарее: запиши по 07 адресу в EEPROM данные FFFF
A5 02 06 52 -Аккумулятор сказал "всё окей! записал"
5A 05 13 09 FF FF 86 - команда от PSP к батарее: запиши по 09 адресу в EEPROM данные FFFF (07+ 2 байта FFFF = 09)
A5 02 06 52 - Аккумулятор сказал "всё окей! записал"
5A 03 14 07 87 - PSP просит прочитать EEPROM батарейки по адресу 07 (в ответ 2 байта вернет)
A5 05 06 07 FF FF 4A -Аккумулятор вернул данные FFFF по адресу 07 и 08
5A 03 14 09 85 - PSP просит прочитать EEPROM батарейки по адресу 09 (в ответ 2 байта вернет)
A5 05 06 09 FF FF 48 - Аккумулятор вернул FFFF по адресу 09 и 10

ИТОГО 13я команда - запись по адресу
14я - чтение по адресу

цитирую с форума wasm.ru "таким образом можно было менять серийник, что бы консоль могла запуститься в сервисном режиме, потом эту фишку из батареек убрали - запретили софтово менять еепром, а на некоторых батарейках еепрома нет вообще, точнее он есть но не ввиже отдельного чипа... Но это не мешает батрейкам нормально функционировать, а запрос серийного номера батарейки остался в виде однобайтоовой команды"

Если повторился - извините. Но вдруг кому-то понадобится

Кстати: фотки видно только если смотреть китаёсский сайт в оригинале без гугля
http://tieba.baidu.com/f?kz=715233468

kolio добавил 22-07-2010 в 10:54
нашел еще информацию о том, что давно в 2006м году уже знали протокол общения PSP-батарейка
но тоже остановились на алгоритме формирования 80-81х команд

и решил узнать насколько люди продвинулись в практике удаления бита защиты в микросхемах

NEC что-то вообще не нашел. как будто они не с нашей планеты и их чипы никто даже не пытался хакнуть

http://translate.google.com/translat...Fmcu_lock.html

вот перевод с англ. как парень делал свои опыты на микрухах.
там в таблице тоже есть NEC микрухи серии NEC 78K/0S
(UPD78F9026)
(UPD78F9046)
uPD78F9116
(UPD78F9136)

хоть и не наша, но как вариант, что её хакнуть можно.
описаны 2 метода:
1й. требует явного вскрытия микрухи. принцип описан. и через микроскоп найти дорожку для программирования и далее сам бит защиты
в одном случае он писал, что нужно ультра-фиолетом стирать этот бит. в другом случае написал, что можно даже иглой перерезать дорожку с битом защиты
2й. программно-аппаратный. в него я не углублялся. но из таблицы видно что была вбрана атака Power Glitch.

по моим наблюдениям китаёсы наверное всё же решили пойти путем вскрытия прошивки микрухи

А ВОТ ИНТЕРЕСНЫЙ ДОК от Сергея Скоробогатова. Вот Вам и Кэмбриджский универ! Думаю он точно взломал бы прошивку микрухи даже с закрытыми глазами
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-630.pdf
ТУТ ЯВНО ВИДНО КАК ИСКАТЬ ЭТОТ БИТ ЗАЩИТЫ, КАК АТАКОВАТЬ МИКРУХИ

на стр 61 описан метод 4.5.2 Power glitches
вот такой мы метод со знакомым хотели юзать на Укртелекомовском аппарате, чтобы вскрыть алгоритм проверки карточки на "вшивость"

22.07.2010, 10:54
kolio Прошивка: 6.20 Регистрация: 06.07.2010 Адрес: украина Возраст: 42 Сообщений: 53 Вы сказали Спасибо: 18 Поблагодарили 31 раз(а) в 22 сообщениях Сила репутации: 1 Репутация: 31 (на пути к лучшему)	вот, что я нарыл через сайт http://www.wasm.ru/forum/viewtopic.php?id=37446 http://translate.google.com/translat...1&client=opera перевод не очень но 50% инфы понятны 5A 05 13 07 FF FF 88 - команда от PSP к батарее: запиши по 07 адресу в EEPROM данные FFFF A5 02 06 52 -Аккумулятор сказал "всё окей! записал" 5A 05 13 09 FF FF 86 - команда от PSP к батарее: запиши по 09 адресу в EEPROM данные FFFF (07+ 2 байта FFFF = 09) A5 02 06 52 - Аккумулятор сказал "всё окей! записал" 5A 03 14 07 87 - PSP просит прочитать EEPROM батарейки по адресу 07 (в ответ 2 байта вернет) A5 05 06 07 FF FF 4A -Аккумулятор вернул данные FFFF по адресу 07 и 08 5A 03 14 09 85 - PSP просит прочитать EEPROM батарейки по адресу 09 (в ответ 2 байта вернет) A5 05 06 09 FF FF 48 - Аккумулятор вернул FFFF по адресу 09 и 10 ИТОГО 13я команда - запись по адресу 14я - чтение по адресу цитирую с форума wasm.ru "таким образом можно было менять серийник, что бы консоль могла запуститься в сервисном режиме, потом эту фишку из батареек убрали - запретили софтово менять еепром, а на некоторых батарейках еепрома нет вообще, точнее он есть но не ввиже отдельного чипа... Но это не мешает батрейкам нормально функционировать, а запрос серийного номера батарейки остался в виде однобайтоовой команды" Если повторился - извините. Но вдруг кому-то понадобится Кстати: фотки видно только если смотреть китаёсский сайт в оригинале без гугля http://tieba.baidu.com/f?kz=715233468 kolio добавил 22-07-2010 в 10:54 нашел еще информацию о том, что давно в 2006м году уже знали протокол общения PSP-батарейка но тоже остановились на алгоритме формирования 80-81х команд и решил узнать насколько люди продвинулись в практике удаления бита защиты в микросхемах NEC что-то вообще не нашел. как будто они не с нашей планеты и их чипы никто даже не пытался хакнуть http://translate.google.com/translat...Fmcu_lock.html вот перевод с англ. как парень делал свои опыты на микрухах. там в таблице тоже есть NEC микрухи серии NEC 78K/0S (UPD78F9026) (UPD78F9046) uPD78F9116 (UPD78F9136) хоть и не наша, но как вариант, что её хакнуть можно. описаны 2 метода: 1й. требует явного вскрытия микрухи. принцип описан. и через микроскоп найти дорожку для программирования и далее сам бит защиты в одном случае он писал, что нужно ультра-фиолетом стирать этот бит. в другом случае написал, что можно даже иглой перерезать дорожку с битом защиты 2й. программно-аппаратный. в него я не углублялся. но из таблицы видно что была вбрана атака Power Glitch. по моим наблюдениям китаёсы наверное всё же решили пойти путем вскрытия прошивки микрухи А ВОТ ИНТЕРЕСНЫЙ ДОК от Сергея Скоробогатова. Вот Вам и Кэмбриджский универ! Думаю он точно взломал бы прошивку микрухи даже с закрытыми глазами http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-630.pdf ТУТ ЯВНО ВИДНО КАК ИСКАТЬ ЭТОТ БИТ ЗАЩИТЫ, КАК АТАКОВАТЬ МИКРУХИ на стр 61 описан метод 4.5.2 Power glitches вот такой мы метод со знакомым хотели юзать на Укртелекомовском аппарате, чтобы вскрыть алгоритм проверки карточки на "вшивость" Последний раз редактировалось kolio; 22.07.2010 в 11:38. Причина: добавил, подумав
(4)