Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

kolio, ну нафига такие картинки большие делать сделай нормальные

Boryan добавил 28-09-2010 в 10:44
вот рабочая прога http://zalil.ru/29737850 исходников у меня нету

Boryan добавил 28-09-2010 в 10:48
kolio, повторяющиеся вторые 8 байт в ответе на 80хх это запрос батарейки к зызе..это говорит о том, что генератор ключей в батарейке паршивенький

[kolio]

Сообщение от Boryan kolio, ну нафига такие картинки большие делать сделай нормальные

думаю это не критично для дела

Сообщение от Boryan вот рабочая прога http://zalil.ru/29737850 исходников у меня нету

та у меня скомпиленная 2.1 есть. значит исправлю в 1.3 ошибку

Сообщение от Boryan kolio, повторяющиеся вторые 8 байт в ответе на 80хх это запрос батарейки к зызе..это говорит о том, что генератор ключей в батарейке паршивенький

а 80D9 для сервиски идет после авторизации?

[ANDPSP]

Сообщение от kolio может у кого-то есть исходник Бат граба 2.1 ? так как у меня 1.3 версия, в которой неверное формирование чек-суммы

Сбросил тебе свои исходники - там тот же батграб, только брут запросов гибкий, разберешься...

[ANDPSP]

Вот кто нам точно может помочь Russiansemiresearch
Стоят правда их услуги не дешево... но зато опыт по вскрытию микрух...

[pronvit]

Сообщение от ANDPSP Вот кто нам точно может помочь Russiansemiresearch Стоят правда их услуги не дешево... но зато опыт по вскрытию микрух...

За 5000 они сказали мне могут избавить чип от корпуса.

[Boryan]

pronvit, а остальное..считать...привести исходник в читабельный вид?

[pronvit]

Сообщение от Boryan pronvit, а остальное..считать...привести исходник в читабельный вид?

меня только это интересовало. а остальное - про известные чипы есть в прайсе, а неизвестные как бы как дело пойдет, мож вообще не смогут.

[Boryan]

pronvit, да уж...контора интересная....новые чипы от атмела и микрочипа ломают а старьё от nec ....как пойдёт....да ещё и баблоса хотят не мало..

Boryan добавил 23-09-2010 в 23:29
микруху в кислоту бросить 5 тыр....офигеть можно...я ценю труд людей....ладно бы там мозгами работали, прогу какую нибудь написали...ну дамп снять с нанда...привести его в божеский вид....мега девайс какой нить разработать...мож нафиг всю работу и пойти чипы растворять в кислоте за 5 тыр. )))0

Boryan добавил 23-09-2010 в 23:38
не всё так плохо ...батареек разновидностей дофига ....китайских море...не всё крутится вокруг чипа от nec....думаю что некоторые китайские чипы отдадут своё содержимое потом можно нарыть Lite Blue Tool. от дятла...уж с неё думаю можно точняк алгоритм вытащить

Boryan добавил 24-09-2010 в 00:39

Сообщение от ANDPSP Вот кто нам точно может помочь Russiansemiresearch Стоят правда их услуги не дешево... но зато опыт по вскрытию микрух...

Внимательно изучил их сайт....левая конторка..за всю свою деятельность пару чипов вскрыли...смех берёт когда смотришь список

Предположительно (непроверенные)

чипы в этой группе стоят копейки...что мешает потренироваться на кошках? И записать их в группу исследованные...Очень сомнительная конторка выходит...

Boryan добавил 24-09-2010 в 03:28
Мля ...поигрался тут с 8008 и 81 запросами от зызы....жесть..
анализируйте ..

лог

5A 0B 80 08 6F C6 18 01 91 82 BC 3B BA
 A5 12 06 8E A9 D7 E3 F6 41 3B E8 94 49 90 20 9A 35 3E 6B F2
 5A 0A 81 EF 6A 29 EE 53 D4 2C 03 54
 A5 0A 06 DB 33 42 BE 30 61 50 66 F5
 5A 0B 80 08 6F C6 18 01 91 82 BC 3B BA
 A5 12 06 8E A9 D7 E3 F6 41 3B E8 1D 90 39 8C B3 21 0D 3B 69
 5A 0A 81 EF 6A 29 EE 53 D4 2C 03 54
 A5 0A 06 EF AA 99 EE 32 08 C3 D0 5D
 5A 0B 80 08 6F C6 18 01 91 82 BC 3B BA
 A5 12 06 8E A9 D7 E3 F6 41 3B E8 20 61 CF 97 4D 11 45 62 0B
 5A 0A 81 EF 6A 29 EE 53 D4 2C 03 54
 A5 0A 06 A1 A2 C8 A0 77 B4 C9 36 75
 5A 0B 80 08 6F C6 18 01 91 82 BC 3B BA
 A5 12 06 8E A9 D7 E3 F6 41 3B E8 20 61 CF 97 4D 11 45 62 0B
 5A 0A 81 EF 6A 29 EE 53 D4 2C 03 54
 A5 0A 06 A1 A2 C8 A0 77 B4 C9 36 75

итого, стало ясно что на одинаковые запросы 8008, батарейка отвечает одинаково первые 8 байт( проверенно на 10 батарейках) -это первый алгоритм....затем идёт довесок к первым 8 байтам тоже 8 байт...при повторных запросах этот довесок частенько повторяется -это второй алгоритм. Этот алгоритм влияет как ответит батарейка на одинаковые запросы на 81 команду-третий алгоритм....И нахрена столько ради какой то батарейки? Сони трёхнулась...ведь создавая 1000 зызу они не думали что её ломанут...да и в самой зызе защит было минимум...но в то время защитить копеечную батарейку аж ТРЕМЯ алгоритмами ..это жесть...

Boryan добавил 24-09-2010 в 03:42
и ещё...перебор 80хх запросов с одинаковыми параметрами

лог

5A 0B 80 08 00 00 00 00 00 00 00 00 12
 A5 12 06 2F 79 74 D2 62 BC 03 75 41 35 34 19 7E 75 04 D6 2E
 5A 0B 80 09 00 00 00 00 00 00 00 00 11
 A5 12 06 E9 67 88 60 43 42 9C 20 9C D7 07 A5 1E 0B 38 06 43
 5A 0B 80 0A 00 00 00 00 00 00 00 00 10
 A5 12 06 19 0B 59 BC C5 ED 64 EA 63 2B B1 C5 23 ED 38 AA 13
 5A 0B 80 0B 00 00 00 00 00 00 00 00 0F
 A5 12 06 71 6B 22 F7 F9 BA 39 73 69 BC 48 18 8B FF 3A E8 BD
 5A 0B 80 0C 00 00 00 00 00 00 00 00 0E
 A5 12 06 71 9F F5 EB 15 8E 3D E7 4C 09 92 31 8C C0 97 98 F8
 5A 0B 80 0D 00 00 00 00 00 00 00 00 0D
 A5 12 06 FA A1 4F 1D 04 90 85 B5 12 2C 81 5D A5 CF C5 61 B7

Так для освежения памяти...))

Boryan добавил 24-09-2010 в 03:55
возможно, что вторые 8 байт в ответе на 80хх запрос генерятся батарейкой псевдослучайно (потому как частенько повторяются) и зызе при проверке ответа на 80хх, на них пофигу! Ей главное, что бы ответ в первых 8 байтах был правильный...а вот из этих вторых псевдослучайных 8 байт ( они же ещё готовят батарейку к ответу на 81 запрос) зыза стоит запрос 81 и ждёт на него правильный ответ...

Boryan добавил 24-09-2010 в 03:56
учитывая всё сложность протокола обмена, мне не понятно как китайцам удалось клепать левые батарейки?

[Yokel]

Сообщение от pronvit За 5000 они сказали мне могут избавить чип от корпуса.

Я умею декапсулировать корпус микрухи!Вот только с дальнейщим чтением пока проблемма!

Yokel добавил 05-11-2010 в 07-13

Сообщение от Alex14435 crashnok, зачем стачивать? Дымящаяся азотная кислота в ванночке - за 5 часов будет нечто вроде этого это разобранный чип от привода Xbox 360 Slim

Расскажи плиз что происходит на нижней фотке ???

[Boryan]

пока замерить не могу...работы много...А с другой стороны ..ты же вроде грамотный чел что тебе мешает написать прогу и послушать через клайн общение PSP<>BAT и сделать анализ таймингов

[kolio]

Сообщение от Boryan пока замерить не могу...работы много...А с другой стороны ..ты же вроде грамотный чел что тебе мешает написать прогу и послушать через клайн общение PSP<>BAT и сделать анализ таймингов

та можно, просто там если знать зараннее временные тайминги, то можно прогу вообще лишить искусственных пауз силами компонента.

Сегодня утром попробовал k-line - работает как часики. Батарея отгавкивается на команды Буду колупать прогу.
--ну и в догонку--------------------------------------------------------
Ну и по поводу Скоробогатова, у него вышли еще 2 статьи по взлому чипов. В своих тестах он приводит примеры NEC контроллеров. Почитав всё это добро он написал, что затраты по злому займут около 2000$.

[Alex14435]

По прайсу около 40к выходит

[Yoti]

Лайт блю в том виде, в котором они дошли на рынок:
PSP-110: www.dealextreme.com/details.dx/sku.22349
PSP-S110: www.dealextreme.com/details.dx/sku.15153

[Alex14435]

Если из них не удалили ответ на 81хх а просто отключили то стоит пробовать прочитать её. А если нет то всё бесполезно

[Boryan]

Alex14435, команды 81хх не существует...И далее...что нужно сделать:
1)определить что изменяет второй байт в команде 80хх
2)оределить алгоритм создания первых 8 байт ответа на 80хх
3)определить алгоритм создания вторых 8 байт ответа на 80хх
4)определить алгоритм влияния вторых 8 байт ответа на алгоритм 81 запроса
5)определить алгоритм ответа на 81 команду.
6) связать воедино все пять пунктов...
Итого минимум пять сложнейших задач.....думаю что это не под силу даже..самым крутым криптоаналитикам....
Из этого следует что китайцы не просчитали алгоритм, а тупо сняли дамп с проца батарейки....и у нас остаётся только этот метод...Он упростится если добудем батарейку Lite Blue Tool...потому как реализована она наверняка либо на атмеге либо на пике..ну а контора по взлому чипов гарантирует ...

Boryan добавил 24-09-2010 в 09:45
У кого есть возможность нарыть пару таких батареек?

[ErikPshat]

От Дятлов ловить нечего. Так как они только заявили о поддержке 3000, но в продажу не пустили.
Поэтому ихние батарейки не содержат ничего сверхестесственного.

[ANDPSP]

Сообщение от ErikPshat От Дятлов ловить нечего. Так как они только заявили о поддержке 3000, но в продажу не пустили. Поэтому ихние батарейки не содержат ничего сверхестесственного.

Как знать :-) но они точно содержат чипы и наверняка не нековские и в них прошивка реализующая алгоритм идентификации батареек согласно вышеуказанным патентам, в которых точно прописана генерация рандомного числа, которое потом криптуется и отдается дивайсу, тот декриптует и сравнивает или еще как - короче Дятлы знают этот алгоритм и наверняка просчитали ответ на 80D9 поэтому и заявили про пандору для 3000-х, но их обломали, но кто знает убрали они этот код или только закомментили :-)

[ErikPshat]

ANDPSP, ну это да. Когда они заявили о выпуске батарейки 3000, значит они вычислили код. Возможно они даже успели продать некоторое количество.
Но Сони тут-же их взяла за хвост, поэтому батарейки в массовость не пошли.

А так как они всё-же не работают на 3000, значит что-то изменили. Да, они должны быть голубого цвета "Lite Blue". А те, которые белые продаются на горбушке или на е-бее, это чисто китайский левак.

P.S. Как тебе твой аватар )))

[ANDPSP]

Сообщение от ErikPshat P.S. Как тебе твой аватар )))

Прикольный аватар, я раньше уже отзывался по его поводу, ты видать не заметил просто...

Сообщение от ANDPSP Цитата: Сообщение от ErikPshat ANDPSP, прикольный аватарчик ) Спасибо за аватар :-))) А вот эта старая новость скорее всего имеет отношение к нашей батарейке... И почитав про этот наш нековский чип я сильно засомневался что из него можно считать прошивку - может китайские аналоги как раз более доступными окажутся...

но еще раз спасибо :-))


Кстати повнимательнее почитал первый патент, там как раз зеркальный метод описывается в тексте - это когда первичное рандомное число генерит консоль, а не батарейка. Просто в блок-схеме алгоритма показана генерация именно батарейкой... Это просто уточние... Сейчас просматриваю патенты - нашел уже 2003 год - а вообще это была суперская ссылка и гугл рулит!!!

[Boryan]

ErikPshat,

А так как они всё-же не работают на 3000, значит что-то изменили. Да, они должны быть голубого цвета "Lite Blue". А те, которые белые продаются на горбушке или на е-бее, это чисто китайский левак.

Фигасе и ты молчишь? Дык если эти белые с кнопочкой переключения режимов...то смело покупай мне пару штук...они то и нужны...суть в том что они реализованны на другом чипе который возможно прочитать...нам то нужен всего лишь алгоритм ...а уж до 3000 мы его доработаем...там я знаю что делать и как до ТА93 его поднять знаю...но нужны исходники...

Boryan добавил 24-09-2010 в 17:44
такие ты на горбушке видел http://www.dealextreme.com/details.dx/sku.15153 если да, то Эрик давай срочно дуй на Горбушку бери пару штук и встречаемся срочно