какая разница какая плата TA88V3 или 90 и т.д. Проц везде один и соответственно алгоритм шифрования один. Не думаю что сони изменили алгоритм щифрования в других версиях платы. Проц везде CXD2988ххх ..эта карта стартует и прошивает этот проц, что ещё нужно? В 3000 применили другой контроллер питания, который ещё и отвечает за перевод консоли в сервисный режим. Но взлом контроллера питания, это другая тема. Что там сони намудрили ,лично мне пока неизвестно. Мож просто изменили сам ключик и всё, этого достаточно....мож длину ключа увеличили. Но с этим позже можно разобраться. Сейчас главное понять что и как с картой, и по какому алгоритму вообще она работает.
ЗЫ Знаю точно что проц ни как не привязан к переходу консоли в сервисный режим. Проверял на прошивайках и на ТА88V3..тупо снимал проц и зыза всё равно с пандоры батарейки стартовала.
Репутация: 159 (весьма и весьма положительная личность)
Так... на Lan.st админ сам писал прогу для расшифровки prx.enc, ключи декодирования известны. А вот ключи шифрования неизвестны, если их отыскать то можно заставить KIRK зашифровать файлы обратно. Но для этого нужно хоть с чем то сравнивать( короче надо ещё хотя бы один файл и MSID с другой сервис карты
Так... на Lan.st админ сам писал прогу для расшифровки prx.enc, ключи декодирования известны. А вот ключи шифрования неизвестны, если их отыскать то можно заставить KIRK зашифровать файлы обратно. Но для этого нужно хоть с чем то сравнивать( короче надо ещё хотя бы один файл и MSID с другой сервис карты
эмм.. как же они зашифрованы, что ключ декодирования известен, а для шифрования назад нужно что-то другое?
Ну это же упрощает тогда задачу хоть на чуть чуть... Вообще кто нить разбирающийся в алгоритме криптования PSP может написать прогу или сценарий с перебором возможных алгоритмов, изменяемого количества проходов, вариантов применения XOR и раздать большому количества участников, дальше берется самый маленький файл и пробуем его криптовать, дальше сравниваем результат с оригиналом - не получилось - значит меняется условие(добавляется еще один проход и т.п) и по новой... может удасться взять количеством ...
Так... на Lan.st админ сам писал прогу для расшифровки prx.enc, ключи декодирования известны. А вот ключи шифрования неизвестны, если их отыскать то можно заставить KIRK зашифровать файлы обратно. Но для этого нужно хоть с чем то сравнивать( короче надо ещё хотя бы один файл и MSID с другой сервис карты
Итак кому нибудь из посвященных удалось хотя бы повторить опыт забугорного коллеги и декриптовать имеющиеся файлы или нет ? Сразу стало бы ясно что именно использовалось для декриптования - SerialNumber или всеже MSPROID мемори стика - оказывается это разные данные - серийник состоит из 4 байт, а MSPROID из 16 - что больше похоже на 128-битный ключ, если конечно он брался в лоб, а не переверорачивал какой то известный ключ ...
Дело ещё в том что расшифровка идет через кирк то есть по неизвестному алгоритму...
Это я так понял команда № 1 KIRK ... А кто нибудь команды шифрования применял ? их там почему то несколько, как и команд дешифрования, ну не считая конечно первой... И получается что никто не знает какой метод криптовки использует сони в KIRK, откуда тогда известно что это именно AES ? И еще вопрос по IPL - известно что его блок в загрузочной области имеет в начале себя символы R....:RY а если смотреть ipl.bin - то в нем так же должны быть эти символы ?
по IPL - известно что его блок в загрузочной области имеет в начале себя символы R....:RY
Не путай IPL TimeMashine - загрузчик Пандоры, о котором ты упомянул, с обычным IPL - загрузчиком прошивки.
В данном образе оффпандоры лежит IPL, схожий с IPL официальной прошивки.
Кстати, я его сейчас декриптовал и точно, один-в-один как официальный IPL прошивки.
Проверил, по адресу 0х78 файлов ~PSP записывается версия прошивки. Так вот, почти у всех файлов записано 05 09 03 - 3.95. У нескольких 01 00 04 - 4.01.
Если учесть, что на прошивке 4.01 не было произведено почти никаких изменений и даже ключи к системным файлам не были изменены, и даже у файлов 4.01 в заголовке не соизволили поменять версию прошивки - так и оставили у многих 3.95, то можно предположить, что эта офф Пандора была изготовлена на момент выхода прошивки 4.01 и основана сама по себе на файлах этой-же прошивки, т.е. с карты памяти грузиться она.
Файл с ключами mesg_led.prx в точности совпадает с аналогичным файлом прошивки 4.01, за исключением одной особенности, что туда добавлен ещё один ключ декриптовки 0x407810F0, который отсутствует в файле прошивки Фат и Слим.
Отсюда вывод, что эту Пандору делали при выходе 4.01, когда и вышла плата ТА-088v3.
Прошу любить и жаловать, Ваш Добро пожаловать в наш Чат в Telegram
Последний раз редактировалось ErikPshat; 25.03.2010 в 19:15.
Не путай IPL TimeMashine - загрузчик Пандоры, о котором ты упомянул, с обычным IPL - загрузчиком прошивки.
В данном образе оффпандоры лежит IPL, схожий с IPL официальной прошивки.
Да уж... о том что они разные я и не подумал хотя видел же при запуске RainsIPLMStool комбо с выбором разных IPL, просто когда запустил PSP Grader там такого выбора не было... Это от неопытности все, нет инструмента поиграться, а на PSP ребенка с TA-088v3 лишний раз прогу запускать боюсь - вдруг брикнется - визгу будет.... и анбрикать потом за бабки неохота... то ли дело прошивайка...
Сообщение от ErikPshat
Кстати, я его сейчас декриптовал и точно, один-в-один как официальный IPL прошивки.
Такс.... а декриптовал обычным PRXDecrypter и не потребовался даже MSID? Значит IPL и в декриптованном виде похож на IPL из OFW (интересно какой версии) и в криптованном виде они один-в-один или нет ?
Сообщение от ErikPshat
Проверил, по адресу 0х78 файлов ~PSP записывается версия прошивки. Так вот, почти у всех файлов записано 05 09 03 - 3.95. У нескольких 01 00 04 - 4.01.
Значит этой флешкой не может ставится 5.02, как уверяли очевидцы ? Или ты говорил про те PRX что участвуют лишь при запуске с флешки программы, которая в свою очередь форматит нанд и устанавливает OFW ?
Сообщение от ErikPshat
Отсюда вывод, что эту Пандору делали при выходе 4.01, когда и вышла плата ТА-088v3.
Значит теперь можно поставить точку во всех обсуждениях о возможности или невозможности анбрика или даунгреда TA-088v3 ? Можно закрыть флудилку в горячей линии, тем более что в опросе еще отписалось трое человек и начать думать с удвоенной силой какую выгоду можно извлечь из всего этого ? Эрик может ты все же выполнишь мою просьбу, озвученную в личке, и попробуешь собрать декриптованные данные на флешке и запустить в сервисном режиме эту сборку - посмотрим отработает она перепрошивку на 5.02 или нет.
Не путай IPL TimeMashine - загрузчик Пандоры, о котором ты упомянул, с обычным IPL - загрузчиком прошивки.
В данном образе оффпандоры лежит IPL, схожий с IPL официальной прошивки.
Кстати, я его сейчас декриптовал и точно, один-в-один как официальный IPL прошивки.
Проверил, по адресу 0х78 файлов ~PSP записывается версия прошивки. Так вот, почти у всех файлов записано 05 09 03 - 3.95. У нескольких 01 00 04 - 4.01.
Если учесть, что на прошивке 4.01 не было произведено почти никаких изменений и даже ключи к системным файлам не были изменены, и даже у файлов 4.01 в заголовке не соизволили поменять версию прошивки - так и оставили у многих 3.95, то можно предположить, что эта офф Пандора была изготовлена на момент выхода прошивки 4.01 и основана сама по себе на файлах этой-же прошивки, т.е. с карты памяти грузиться она.
Файл с ключами mesg_led.prx в точности совпадает с аналогичным файлом прошивки 4.01, за исключением одной особенности, что туда добавлен ещё один ключ декриптовки 0x407810F0, который отсутствует в файле прошивки Фат и Слим.
Отсюда вывод, что эту Пандору делали при выходе 4.01, когда и вышла плата ТА-088v3.
Вот теперь я точно запутался...
Объясните мне (ответьте на) следующие вещи:
1) если мы каким-то образом сделаем официальную пандору доступной каждому на любую флешку, это будет означать, что мы сможем перепрошивать все psp 2000 хотя бы на прошивку 4.01?
2) принцип официальной пандоры для плат TA-088v3 и TA-090v2 один и тот же? означает ли это, что сервисный режим на psp 300x запускается с батарейки ffffffff?
3) ErikPshat сумел декриптнуть файлы с данного образа оффпандоры без всякого msid. Тогда почему другая карточка такого же размера с данным образом не работает на psp 200x? Может существует какой-то msid 0x00000000 тоже служащий для запска сервсного режима?
4) А сколько времени предположительно уйдет, если через брутфорс перечислять все возможные алгоритмы шифрования kirk? Реально ли будет создать сеть компьютеров для такого бртфорса или время взлома уходит в бесконечность?
P.s. можно подвести итоги того, что есть на данный момент по вопросу взлома ТА88V3? а то я сбился ...
Думайте перед тем, как говорить. Хотя если наоборот, то лучше вообще не думать.
Это я так понял команда № 1 KIRK ... А кто нибудь команды шифрования применял ? их там почему то несколько, как и команд дешифрования, ну не считая конечно первой... И получается что никто не знает какой метод криптовки использует сони в KIRK, откуда тогда известно что это именно AES ?
остальные команды используют AES, это известно, собственно они все известно, что делают. а про команду 1 ничего не известно, но по логике в ней тоже AES и ключ (или один из них) передается вместе с зашифрованными данными в заголовке. а вот что дальше внутри происходит - не известно.
Сообщение от ErikPshat
В данном образе оффпандоры лежит IPL, схожий с IPL официальной прошивки.
Кстати, я его сейчас декриптовал и точно, один-в-один как официальный IPL прошивки.
не понимаю, почему у них он с карточки грузится, а если я записываю официальный IPL прошивки на карту, он не грузится, что от 6.20, что от 5.01
Такс.... а декриптовал обычным PRXDecrypter и не потребовался даже MSID? Значит IPL и в декриптованном виде похож на IPL из OFW (интересно какой версии) и в криптованном виде они один-в-один или нет ?
Нет, не PRXDecrypter-ом ))).
Если у тебя есть образ, то ты можешь вытащить IPL вручную.
IPL начинается с 16-го сектора (1 сектор - 512 байт) физического диска, включая 0-вой сектор, т.к. отсчёт начинается с нуля.
512х16=8192 байт от начала или в смещении 0х2000.
Имеет размер 94208 байт (0х17000).
Значит заканчивается в 102400 байт от начала или в смещении 0х19000.
Дальше идёт сплошное заполнение FFFFFFFF, просто пустота.
После, в 0x1CE00 заисан MBR карты памяти. Там FAT16, в конце сектора 55AA. Потом структура папок и файлов на флешке...
Короче вытаскиваешь IPL, называешь его как enc_ipl.bin, закидываешь в корень карты и декриптуешь прогой от SilverSpring "IPL Decrypt Sample", как обычный офф IPL.
В криптованном виде они точь-в-точь по структуре одинаковы, но по содержанию разные. И там и там имеют 17 блоков по 0х1000, и декриптуется блоками по 0х1000.
Если интересно, то вот декриптованная часть IPL этой офф-Пандоры:
Скрин
Что интересно, декриптовка проводилась в один проход, но концовка в dec_ipl.bin вышла аналогичная, как мы недавно декриптовали IPL от 6.20, но только в 2 прохода. То есть сначала получили dec_ipl.bin, а уже из него извлекли потом на компе с помощью Пёрла main.bin:
Сравнение
IPL офф-Пандоры
MAIN.BIN 6.20 после второго прохода
Сообщение от chel12
Вот теперь я точно запутался...
Объясните мне (ответьте на) следующие вещи:
1) Конечно.
2) Принцип официальной пандоры для плат TA-088v3 и TA-090v2 разный. Разный IPL, разные файлы (у 2000 - 02g, у 3000 - 03g).
3) Вероятно карточку сделали не правильно.
4) Через брутфорс перечислять все возможные алгоритмы шифрования kirk не нужно. Зачем изобретать велосипед и вычислять алгоритм AES? У нас уже есть свой дешифратор AES - в процессоре PSP ))). Кирк PSP сам всё сделает и дешифрует, что ему подсунешь.
Прошу любить и жаловать, Ваш Добро пожаловать в наш Чат в Telegram
Последний раз редактировалось ErikPshat; 26.03.2010 в 11:50.
Если у тебя есть образ, то ты можешь вытащить IPL вручную.Короче вытаскиваешь IPL, называешь его как enc_ipl.bin, закидываешь в корень карты и декриптуешь прогой от SilverSpring "IPL Decrypt Sample", как обычный офф IPL.
Это я все уже сделал и в WinHex все увидел и вытащил, про прогу Сильвера не знал, но толку от нее для меня мало - она под кернел 1.5 пашет а это на моей непрошивайке я так понимаю не пойдет :-( Но все равно спасибо - может удасться в будущем прошивайкой все же разжиться
Сообщение от ErikPshat
В криптованном виде они точь-в-точь по структуре одинаковы, но по содержанию разные.
Ну это вроде логично, поскольку этот IPL должен в итоге загрузить тот bin что лежит в папке JIG (а он по логике в свою очередь должен форматнуть консоль и записать то что лежит в PSAR - а там лежит 4.01 или все же 5.02 )- разве не так ? а обычные OFW IPL грузят наверное консоль сразу...
ANDPSP добавил 26-03-2010 в 14:24
Сообщение от pronvit
ну как это кто они, чудес-то не бывает. кто-то же должен prx.enc расшифровывать и очевидно это делает или ipl или незашифрованные prx, если они там есть.
а ты про это... ну да согласен, но незашифрованных PRX там нету, они все изначально *.prx.enc значит IPL это делает, тем более Эрик подтвердил что они по содержанию с OFW отличаются - вот и декриптует похоже IPL с флешки эти enc с учетом MSID флешки и получается что он безполезен при прямом копировании в область загрузки консоли...
Последний раз редактировалось ANDPSP; 26.03.2010 в 14:24.
Причина: добавил, подумав
а ты про это... ну да согласен, но незашифрованных PRX там нету, они все изначально *.prx.enc значит IPL это делает, тем более Эрик подтвердил что они по содержанию с OFW отличаются - вот и декриптует похоже IPL с флешки эти enc с учетом MSID флешки и получается что он безполезен при прямом копировании в область загрузки консоли...
ну воот, надо глянуть, как он это делает, если 1 функцию кирк, то тупик, а если нет, то сумеем зашифровать назад с нужным msid
Репутация: 159 (весьма и весьма положительная личность)
Немного не в том дело) IPL и пара файлов стика такие как .prx декриптуются без MSID а вот все prx.enc зашифрованы с помощью MSID поэтому и не могли мы их расшифровать пока его не достали) осталось выяснить как шифруется prx.enc
23.03.2010, 21:13
(1)
Комбинированный вид
![C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы](../forum/images/panel_start.png "C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы")
