Обсуждение взлома батарейки Пандоры PSP-3000...

[lport3]

Сообщение от stasik007 нормальный старт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старт с тойже батарейкой но в сервисном режиме: ............ >>Думаем, мозгуем... завтра получше передамплю Кто знает терминалку - чтоб в бинарник писала !??

вот пост с первой страницы, серийник видно..

[ErikPshat]

lport3, так это байты с терминала. Там серийник уже складывается по другому.
А здесь он выложил дамп чипа памяти батарейки. Он состоит из 256 байт.

Серийник записывается по адресу 0х0F, 0х0E, 0х13, 0х12

Он же говорит, что сначала пандорил, а потом распандорил и прописался уже другой серийник.

В памяти батареки постоянно меняются данные. Они там записываются и корректируются со временем, чтобы делать калибровку батареи по мере старения.

Так-же, у меня были данные, где записываются данные о циклах заряда/разряда и состоянии заряда батареи. Просто винт сгорел и всё потерялось. Но это не трудно заново вычислить...
Нужно зарядить батарею на 100% и снять дамп. Потом разрядить её, пока не упадёт на одно деление и снова снять дамп, и ещё раз, разрядить на деление и опять снять дамп. После сравнения видно будет, в каком месте это меняется и записывается.

Так-же можно вычислить циклы заряда. Поставить на зарядку, будет гореть оранжевый огонёк и снять дамп. Как загориться красный огонёк, ещё раз снять дамп. Ещё когда горит зелёный, тоже снять дамп и все эти смещения можно вычислить.

Таким образом круг поисков сузится.

[lport3]

А я думал, он дал дамп с эфками в номере,
а "номер поменялся" - имеется ввиду после пандоры.
Чтобы понять что-куда в протоколе надо десятки логов,
и и-то это определит только направление для поиска.
То, что лежит в еепроме - полбеды, есть контроллер а у него
своя прошивка. Вот если ее слить и раздизить, тогда
считай дело в шляпе. А так, видится мне это малоперспективным.

[ErikPshat]

lport3, вот смотри. Упирается всё в том, что мы пока точно не знаем, какой серийник должен быть в ответе. Не знаем какой длины и возможно вообще сменили в 3000 его месторасположение.

А если мы запишем серийник и снимем дамп памяти батареи, то будем знать каждый байтик.

Теперь, мы терминалом снимем такой-же опрос батареи, но уже на 3000 модели. И точно так-же, как я выше разложил всё по полочкам, разложим разговор терминала.

Мы точно вычислим, какую область памяти батареи отсылается в ответе в качестве серийника. И найдём в дампе эти байты. То есть, мы уже теоретически точно можем подтвердить местонахождение и длину серийника.

А по коду запросов-ответов можем составить картину сервисных ответов или обычных, сравнив с уже имеющимися.
Я уже прикинул, что коды идут однобайтовые (3-ий байт). И их не так уж много. В ответ возвращается код 06, а за ним данные, не считая последнего байта.

Рассмотрим первую строку: 5A 02 01 A2
Тут всё ясно...

• 5A - хедер запроса
• 02 - длина строки в байтах
• 01 - однобайтный код запроса (они пронумерованы по спецификации)
• A2 - последний байт корректирующей контрольной суммы

Заметь, в ответ всегда батарея вставляет код 06

Серийник батареи запрашивается кодом 0С

Кодом 80 запрашивается может заряд батареи и в ответ получает 16-байтный код. Скорее всего код двубайтный 80 08.

После второго опроса серийника уже запрашивается другой код 80 02, т.е. вероятно после второй проверки, убедившись в правильности, срабатывает следующая инструкция.

Кодом 81 08 возможно запрашивается цикл заряда и возвращается 8-байтный код.

Затем переходит на другую схожую инструкцию 81 0A

И остались коды 02, 03, 04, 07, 09 и 0B. Вот и вся арифметика =)

[lport3]

Из того что я увидел в логах выше.
адрес псп - 5A, адрес батарейки A5.
общая контрольная сумма пакета FF.
Описание пакета в протоколе -
1.адрес
2.длина пакета(-1)
3.команда запроса(для псп), ответ (для батейки)
4.байт коррекции суммы пакета до FF

Команда запроса в псп -
1. команда чтения локальных идентификаторов, 1 байт.
2. команда обработки динамическими средствами.
Первые 2 байта команды являются неким ключем,
определение ключа > $80$00

Ответ батарейки -
1. первый байт $06 - предположительно, позитивный
ответ.

Предполагаю, команда
$0C - серийник батарейки (почти точно).
$01 - напряжение батарейки, возможно
используется как напоминание связь
онлайн (это мое предположение)
Остальное пока что не понятно.

--------------------
кстати, так и не сказали мне какое напряжение, ток на батарейке?

[ErikPshat]

Сообщение от lport3 $01 - напряжение батарейки, возможно

Вот на 01 возвращается ответ 10 C2 06

Что это может значить?

P.S. И вы не против, если я закреплю разложенную таблицу терминала в шапку, чтобы сравниваться с ней, а не листать страницы туда-сюда?

[lport3]

то что команда $01 это напряжение батарейти,
только предположение.

-------------------- кстати, так и не сказали мне какое напряжение, ток на батарейке?

если вы параметры батарейки скажете, мне будет проще,
псп сейчас рядом нет, чтобы посмотреть. Если будут известны параметры
то возможно я смогу описать команду 01 точнее.

[ErikPshat]

Сообщение от ErikPshat Вот на 01 возвращается ответ 10 C2 06

На 3-ий раз в ответ приходит 00 C2 06
После этого, запрос на серийник не посылается, пропускается.

А 2 последних ответа уже отвечает, что 00 C1 06

Странные цифры =)