Обсуждение взлома батарейки Пандоры PSP-3000...

lport3 · 26.04.2010, 20:49

Какие настройки порта в терминале вы выставляли?
-------------------------
Все, разобрался..
-------------------------

Пограбил немного rdbli (может кому будет интересно)

Брут одного байта в запросе $8008 ))

Особо впечатлительным лучше не смотреть,
заинтересовавшиеся и желающие помочь, стучитесь в личку.

stasik007 · 26.04.2010, 23:53

наконец-то! оживление!
надо проверить одинаковые запросы по 80D9, 8008, 8004, 8002 - будут ли ответы отличаться?

ErikPshat · 27.04.2010, 09:47

stasik007, а как реагирует батарейка на ТА-088v3 с обычной пандорой?
Какой лог выдаёт?

Я имею ввиду, что раз на PSP-3000 читает номер FFFFFFFF, но обращения к карте не происходит, как вы говорили.
Так-же хочется проверить, на PSP-2000 TA-088v3, ведь тоже подсовывается номер FFFFFFFF и если стоит обычная пандора, то что происходит, ведь тоже вроде реакция, как будто нет обращений к карте. Вот и интересно, обращение к карте идёт или так-же, как на 3000?

Boryan · 27.04.2010, 13:19

ErikPshat, На ТА88V3 обращение к карте идёт после того, как sys con схавает код батарейки FFFFFFFF, и запустит контроллер питания, и подаст все нужные напряжения на консоль, и sys con даст команду ЦП делать загрузку с картридера. Всё зарыто в Sys con, если он подружился с батарейкой, то запускает всю консоль....а если не подружился, то фигу вам.

Аналогично происходит если батарейка перезаряжена....то зыза не запустится. В 3000 sys con ни как не может подружиться с батарейкой.....вот и не запускает зызу....

Boryan добавил 27-04-2010 в 12:39
Вывод.....их нужно подружить

)))))принудительно

)))

Boryan добавил 27-04-2010 в 13:08
очень интересная батарейка

у обычной батарейки с обычным серийником, отрываем 1-ю ногу епрома (Chip Select Input) и батарейка превращается в пандору

Boryan добавил 27-04-2010 в 13:12
ErikPshat, Понятно про NutStorm.....детский садик решил показать себя крутыми перцами по взлому батарейки 3000.....но они упёрлись в тупик....и батарейки им жалко ломать

А нам чота не жалко...я уже 7 штук распотрошил

Boryan добавил 27-04-2010 в 13:14

Так как номер поменять пока нет возможности, надо смотреть что там внутри.

))))) пацтулом

а вот мы можем менять и не только номер....

итам внутри всё уже знаем и посмотрели....

Boryan добавил 27-04-2010 в 13:19
а внутри там ППЦ

))

**Ins|der** · 27.04.2010, 17:55

чтобы как-то систематизировать, предлагаю на рассмотрение след. план действий:

при наличии одной батареи
1.

Сообщение от stasik007

проверить одинаковые запросы по 80D9, 8008, 8004, 8002 - будут ли ответы отличаться?

2. проверить одинаковые запросы по 8002/8008 на батарее с оригинальным, измененным, 00000000, ffffffff серийником, чтобы выяснить его роль в формировании ответа;

3. если SN не влияет на ответ, последовательно изменять участки кода EEPROM батареи с выдачей одного и того же запроса, чтобы вычислить области, критичные для формирования ответа

как-то так)

**Ins|der** · 27.04.2010, 17:30

Сообщение от Boryan

Для загрузки с карты нужен IPL подписанный сонями для стика....а его нету

понятно, то есть для стика нужен спец. лоадер, отличный от лоадера в нанд, и, насколько я помню, он каким-то образом привязан к серийнику карты, так? (заранее извиняюсь за глупые вопросы, приходится на ходу в теме разбираться)
хотел почитать прошлую тему "Размышления о взломе TA-88v3", память освежить, но так и не нашел её(

ANDPSP · 27.04.2010, 17:47

Сообщение от lport3

Какие настройки порта в терминале вы выставляли?
-------------------------
Все, разобрался..
-------------------------
Особо впечатлительным лучше не смотреть,
заинтересовавшиеся и желающие помочь, стучитесь в личку.

А все же, расскажите поподробней куда подключаться все же нужно, я собрал кабель на базе PL2303HX - RX прицепил на средний контакт, GND прицепил на минус - он левее, если консоль лежит на экране шифтами вверх - в настройках порта скорость - 9600, четность - None, дата бит - 8, стоп бит - 1 - вроде бы все правильно , но я не получаю тех байтов что описывались тут - у меня совсем все по другому :-( вот вставляю запандоренную батарейку в фатку и получаю какую то хрень

хрень

тут два прогона, начало вроде похоже друг на друга, но все равно хрень - почему так ? Или нельзя напрямую подключаться к среднему контакту поскольку он объединяет RX и TX сигналы в один контакт ? Тогда куда нужно подключаться ?