Обсуждение взлома батарейки Пандоры PSP-3000...

[stasik007]

Народ! Глубоко извиняюсь ! Не там впаял питание порта и часть данных проходила мимо!
вот старт в сервисном режиме - многое проясняется!
;-) и серийничек нашёлся!
5A0201A2
A50506109B069E
5A020C97
A50606FFFFFFFF52 - вот
5A0B80083928B0F04C188233F8
A512063671EF
A5D3322FD957FE8FD63C761B640F
5A0201A2
A50506109B069E
5A020C97
A50606FFFFFFFF52 - и ещё
5A0B8002D477A9CB839CDE2B31
A5120683AD3F2EEFA4816FAE048766A9CB5A4372
5A0A81886D025B877B4CCBAF
A50A060FC1B2AFCE4DEDAA67
5A0201A2
A50506009B06AE
5A0B80021AAF79B4CE9C7A0D31
A51206B93650DA26639A6A1FF746D24307F91813
5A0A8158E5287FAA35F9C599
A50A06F3D2A10A930DDC114D
5A0201A2
A50506009B06AE
5A0203A0
A504063B1005
5A0B800270EB0BE2F36F6726E1
A5120625352473BA34D8370BC9359EF0F2407D0E
5A0A81D77EE2958FFC85BF7F
A50A06
5AC2A00F8D6788BC4700
5A0201A2
A50506109B069E
5A020C97
A50606FFFFFFFF52 и ещё!
5A0B80083E31C0FDDCD352F1F4
A512063C17D4316E1F306A94972C84DFFD77E1B4
5A0201A2
A50506109B069E
5A020C97
A50606FFFFFFFF52 и опять!
5A0B8002F73AA830F04902458F
A512060CC5292D865F26D74D8610458A6215FC14
5A0A81CA591E5A3E97A3B750
A50A068534E47463C406C64600

это старт в сервисном режиме -приставка включается но кнопки не нажимал и она выключается

[Ins|der]

stasik007, позволь я замечу, там не совсем правильное разбиение:

A512063671EF A5D3322FD957FE8FD63C761B640F

- это одна команда, 18 байт

A50A06 5AC2A00F8D6788BC4700

- здесь тоже, 10 байт)

и т.д.

Ins|der добавил 22-04-2010 в 14:44
dn3d, тогда 00 на конце означает, что ничего добавлять не нужно.
здорово, спасибо!

[stasik007]

мысль:
серийник выдаётся коммандой A50606 а вот после серийника код очень интересный - похоже инструкция к загрузке (опробовал с разными флешками - везде тоже)
A50606000000004E - автозапуск -- 4E
A50606FFFFFFFF52 - сервис ------ 52
A50606204F89DF77 - нормальный --77

[Ins|der]

Сообщение от stasik007 A50606000000004E - автозапуск -- 4E A50606FFFFFFFF52 - сервис ------ 52 A50606204F89DF77 - нормальный --77

нет, выяснили уже, что последний байт добавочный, вроде контрольной суммы, а второй - длина, просто команда длиной 6 байт у нас одна - выдать серийник батареи)

[stasik007]

старт с нормальной батарейкой серийник 4f20df89:
подключаю батарейку
005A0201A2
A5050610C20677
5A020C97
A50606204F89DF77 - серийник
5A0B8008364CAFF8EFE8E9
A584A51206EFDDEDA268B1F15CF705F1F16FFADDE27B5A0201A2A5050610C206775A020C97A50606 204F89DF77
5A0B8002129A117169ADE46F81A51206CEE3A231846B7A3CACC16A81AE99A14F8A5A0A8108EC2507
7C96EB55A8A50A063D71D0DDA5AC498DC85A0201A2A5050600C206875A0B800208FA21BD9B0CF433
6AA51206649C9CC965D9AA823804FA537F84ADC7735A0A810A99549CC666111A30A50A061DF65042
207C3621B200
включаю приставку
5A0201A2
A5050610C20677
5A0203A0
A5040636100A
5A020C97
A50606204F89DF77 - серийник
5A0B80082ED10418C5A517A7CF
A51206956EC42197FA58395A3D01B7EBB74C36C5
5A0201A2
A5050610C20677 - серийник
5A0203A0
A5040636100A
5A020C97
A50606204F89DF77
5A0B800265727014369503DA15
A51206D3D208AC828AC4285A1F1BE8389276A2935A0A8162861C9CE061878131A50A063E02027DA5 B052A3415A0201A2
A5050600C206875A02079CA504060807415A020B98A504060F00415A02099AA5040601044B5A0202
A1A503061B365A02049FA504069AFFB75A0203A0A5040631100F5A0201A2A5050600C206875A0209
9AA504063603175A0202A1A503061B365A02049FA5040681FFD05A0203A0A504062C10145A0201A2
A5050600C106885A0203A0A504062C10145A0B80028C1358AFF19A5594FEA51206903ECAB191ACE9
B53336455CD35DC860BC5A0A819F3777774C64553C15A50A0664D75EC38A197E7B525A0201A2A505
0600C106885A02099AA504063603175A0202A1A503061B3600

[Ins|der]

Сообщение от stasik007 старт с нормальной батарейкой серийник 4f20df89

Сообщение от stasik007 A50606204F89DF77 - серийник

странно, местами меняет байты

stasik007, это ты 2000ю зызу мучаешь?
и, прости за дилетантство, что такое "режим автозапуска"?

[stasik007]

что такое "режим автозапуска"? - Autoboot mode - это когда серийник 00000000 - приставка включается как только вставлена батарейка (удобно при ремонте)

[ErikPshat]

Ничё себе вы навычисляли.
Получается 5А - это запрос, А5 - это ответ. Следующий байт действительно длина.
Теперь нужно сами команды побайтно разложить =)
Я в шоке!

Ins|der, серийник записан в микрухе не сплошным текстом, а тоже кусками.

00000000 - режим автозапуска при вставке батареи.
FFFFFFFF - сервисный режим в предыдущих пандорах.

[lport3]

Контрольная сумма еще проще
FF=A5+5A
---------
$A5(1й байт)=$FF - сумма следующих байт пакета (8бит).
контрольный байт для коррекции кс - явно последний в пакете.

[ErikPshat]

lport3, а можно пример на длинной строке, а то что-то не совсем понятно.

Нужен опрос от 3000 модели, кто может сделать?

[lport3]

A51206956EC42197FA58395A3D01B7EBB74C36C5

A5 = FF - (12+06+95+6E+C4+21+97+FA+58+39+5A+3D+01+B7+
EB+B7+4C+36+C5 = 085A (8bit = 5A) )

[ANDPSP]

Да уж .... нет слов просто...тут кажись Стасик опечатался

Сообщение от stasik007 старт с нормальной батарейкой серийник 4f20df89: A5050610C20677 - серийник 5A0203A0 A5040636100A 5A020C97 A50606204F89DF77

серийник должен быть в последней строчке куска... а вообще количество вхождений серийника в обычном, сервисном и режиме автозапуска всегда совпадает ? И написал бы как железячно проделываешь опыт - как и чем консоль к компу подключаешь для анализа - если это доступно для простых обывателей то мы попробовали бы тоже самое со своими батарейками и разными кончолями - может вырисовалась бы общая картинка...
И самое интересное - прослушать это же общение на 3000 консоли хотя бы и с обычной батарейкой, да и с сервисной тоже интересно - может быть индикатор и не загорается зеленым а общение идет - ведь не зря Борян писал что консоль несколько раз опрашивает серийник...

[stasik007]

слушаю простой фигнёй - собирал давно на 1 транзисторе для пс2 - по терминалке лог диагностики смотрел
отсюда схему брал
http://nnoble.nerim.net/ee-sio/ps2-ee-sio.html -
надобы всё переделать на максе - времени нет..

а свою схему не могу найти - хард накрылся давно где это было - погуглить надо мож где есть - 1 транзистор и 2 сопротивления - но это только слушать а на максе можно и туда и обратно!

stasik007 добавил 22-04-2010 в 17:42

Сообщение от Ins|der нет, выяснили уже, что последний байт добавочный, вроде контрольной суммы, а второй - длина, просто команда длиной 6 байт у нас одна - выдать серийник батареи)

нет! тут последний байт не добавочный и меняется он только если перешить режим работы батарейки - на 3 батарейках экспериментировал.

завтра утром у меня будет 3000 - сравним , обдумаем

[ANDPSP]

Сообщение от stasik007 слушаю простой фигнёй - собирал давно на 1 транзисторе для пс2 - по терминалке лог диагностики смотрел отсюда схему брал http://nnoble.nerim.net/ee-sio/ps2-ee-sio.html - надобы всё переделать на максе - времени нет..

Так а если у меня есть кабель на базе PL2303 - когда то на мобиле прошивку менял - пришлось паять мини-USB - я могу эту хрень использовать ? Что мне нужно сделать для этого - зацепить TX и RX на цетральный контакт разъема для батарейки ? а питание будет с батарейки ведь браться - так ?
И еще отвлеченный вопрос - на 3000 миниUSB односторонний или двусторонний - сколько в нем контактов никто не озадачивался ? Просто чтобы получить доступ к мобиле нужна была обратная сторона миниUSB...

[stasik007]

чтобы слушать надо соединять RX

[Boryan]

stasik007, Выложи дамп своей батарейки сюда...я тебе говорил как его снимать.
ЗЫ Для инфы, что бы знали кто такой Стасик это мой коллега по работе Завтра ему передам 3000 для изучения...вот думаю логи будут очень интересные .... а сам буду продолжать аппаратно изучать 3000...