Обсуждение взлома батарейки Пандоры PSP-3000...

[hax0r]

ANDPSP, действительно, очень похоже на XTEA.. но не забывайте, что у сони есть свой алгоритм, который так же не требователен к ресурсам и памяти. Название не приведу, но я о нем писал ранее... Или возможно, что сони модифицировали XTEA и стали его применять, т.к. XTEA не был запатентован по инфе из википедии..
Да и в семействе XTEA довольно много разновидностей.. например, XXTEA или RTEA..
RTEA вообще на СИ одну строчку занимает..

[Alezhek]

Сообщение от ANDPSP Теперь про алгоритм чексума - побайтного вычитания там нет и в помине, что там за алгоритм - хз.

вот что в доке

[ANDPSP]

Сообщение от Alezhek вот что в доке

Все правильно в доке, это я ошибся при пересчете чексума - все значения перепроверил и все сходится тютя в тютю, там реально побайтное вычитание из нуля, но что это нам дает ?

[hax0r]

Сообщение от ANDPSP Все правильно в доке, это я ошибся при пересчете чексума - все значения перепроверил и все сходится тютя в тютю, там реально побайтное вычитание из нуля, но что это нам дает ?

Это дает уменьшение возможных вариантов при бруте прошивки с помощью поблочной/побайтной верификации.

[Alezhek]

Сообщение от ANDPSP Все правильно в доке

может все-таки еще раз проверить и команду Verify?
[IMG][/IMG]
ведь судя по доку.. проверять можно от 1 байта?

[Alex14435]

А разве есть команда Checksum? Насколько я понял, контроллер может лишь ответить да или нет, совпадает посланные 4 байта с данными или нет

[hax0r]

на сколько я понял при беглом прочтении доков, область первых 1к в 501 задумывалась как своеобразный буфер для "аварийной" заливки прошивки в контроллер или для апдейта оной в контроллере...
объясняю: прошивку нужно начать заливать с конца, после заливки блока 1к делается команда своп и залитый блок становится вторым. после этого заливают следующий блок 1к, который в конце своей заливки говорит контроллеру, что нужно переместит второй блок в третий, а дальше опять своп. Получается, что теперь имеем 1блок-пустой, 2 и 3 блоки-куски прошивки. И так продолжается пока не заполнятся все блоки. самым последним заливается начало прошивки. Как-то так... Возможно я ошибся...т.к. пока что не вчитывался досконально...

[Alezhek]

просто писать программу нужно самим.. на уровне UART отсылать и принимать байты и смотреть что получилось...

Alezhek добавил 18.12.2010 в 23:49
то что ты прочел - относится к варианту - самопрограммирования!

Alezhek добавил 18.12.2010 в 23:50
свопы применяются - чтобы из-за ошибки питания иди еще какой - не потерять программу

[Alezhek]

так что это просто предусмотрительность разработчиков. обычная прошивка внешним программатором , льется как всегда

Alezhek добавил 18.12.2010 в 23:52
Ребята! не путайте возможность самопрограммирования с нашим случаем!

[Alezhek]

в этом отрывке - разговор идет о возможности написать программу "бутлоадер" которая получит например обновление прошивки - примет его через какой-то порт.. запишет в озу - а потом командами САМОпрошивки - занесет в память. т.е. типа возможность делать обновления для выших девайсов. нас это не интересует - нет у наших батареек такой фичи..не предусмотрена "соневская прошивка для батареек 6.35"))))

[Boryan]

Alezhek, блин ты так и не понял...есть баты китайские на 501 чипе ...там перезапись бута открыта...можно написать свой код туда кторый будет тащить прошивку на какой нибудь порт ....в 501 есть возможность эмуляции внутреннего еепром и все команды внутри чипа доступны..нам и нужно самопрограммирование

[hax0r]

Уменя созрело предложение.
Можно воспользоваться методом, о котором говорил Борян пару-тройку страниц назад, только понадобится 2 одинаковых чипа с открытым бутом. В первый чип залить в первый блок 1к небольшую програмулину, которая будет выдавать прошивку в какойнить порт, слить прошивку без первого блока. Во втором чипе сначала делаем своп и получается что 1 и 2 блоки поменялись местами. Льем в него такую же программулину, что и в первый чип. Из дампа второго чипа выковыриваем тот блок 1к, что был в прошивке первым до свопа и соединяем с дампом прошивки первого чипа и получаем целый дамп. Вот)
проблема может быть в том, что не удастся написать такую мелкую программулину, учитывая инициализацию портов...

[Boryan]

hax0r, эта мысль у меня уже давно в голове вертиться ..и я её уже описавал несколько страниц назад..но ни кто так и не отреагировал

[hax0r]

Boryan,это потому, что ни у кого пока нету двух одинаковых чипов) и программатора тоже не было до сегодняшнего дня)
А еще у меня крутится идея не сервисной батарейки, а эмуляции батарейки. Это на случай, если вы не захотите делиться с непосвященными.. Потому, что не каждый сможет сделать к-лайн, далеко не каждый.

[Boryan]

Сообщение от hax0r Boryan,это потому, что ни у кого пока нету двух одинаковых чипов) и программатора тоже не было до сегодняшнего дня) А еще у меня крутится идея не сервисной батарейки, а эмуляции батарейки. Это на случай, если вы не захотите делиться с непосвященными.. Потому, что не каждый сможет сделать к-лайн, далеко не каждый.

а что мешает купить штук 10 батареек и будут чипы...а что мешает купить новый 501- за 120 руб и на нём всё откатать и затем купив одну батарейку прочитать её чип? Я так уже и счёт потерял батарейкам..сколько я их купил...просто люди не хотят тратится даже по мелочам...халявы хотят ..чистой халявы..

Boryan добавил 19.12.2010 в 00:37
hax0r, ты видать далёк от понимания что такое контроллер

Boryan добавил 19.12.2010 в 00:41
Alezhek, дамп без разницы с соневской или с китайской...алгоритм инициализации везде одинаков ...разница китайки с соневской ..типа разная обработка АЦП котрользаряда\разряба бат. но нам это и нафиг не нужно...и есно самый простой и быстрый вариант после добычи кода баты..это есно эмуляция на компе через клайн

[hax0r]

hax0r, ты видать далёк от понимания что такое контроллер

Это почему? Я может чего-то упустил..., но что такое контроллер хорошо себе представляю) Я год-полтора назад тоже занимался avrами, а потом забросил..

[hax0r]

Дамп батарейки нам в любом случае нужен) Ибо как сделать эмуляцию того, чего не знаешь? т.е. нужен алгоритм.
После чтения дампа возникнет следующая проблема - чтение флешки батарейки. Ключи, которые использует контроллер скорей всего именно там и хранятся... Во всяком случае, они точно не вычисляются, а хранятся именно в виде таблицы..

[Alezhek]

а че тогда спорим?))) озадачиваем программиста нашего) - софт я смотрю есть в архиве.. и даже НЕКовские библиотеки готовые..и вперед...или не получается ужать до 1к программу? а свопить скорее всего и не надо будет.. прерывания вряд ли используются в батарейке - так что нас в принципе интересует только начальный адрес перехода.. первые два байта...

Alezhek добавил 19.12.2010 в 00:21

Сообщение от hax0r Потому, что не каждый сможет сделать к-лайн, далеко не каждый.

эти к-лайны на любом радиорынке продаются.. для автолюбителей.. ддаже конструкторы видел сделайсам

Alezhek добавил 19.12.2010 в 00:22
но я, все-таки, за чтение дампа родной соневской батарейки)

[Alezhek]

флешка и дамп - одно и тоже

Alezhek добавил 19.12.2010 в 00:30
потом просто придется это дело дизасемблировать.. разбирать код

[hax0r]

Alezhek,мне казалось, что мы говорили о дампе ПЗУ контроллера, а не флешки, которая к этому контроллеру прилеплена в качестве накопителя..
А получить из ассемблера последовательность математических операций не сложно..