Обсуждение взлома батарейки Пандоры PSP-3000...

[Ins|der]

чтобы как-то систематизировать, предлагаю на рассмотрение след. план действий:

при наличии одной батареи
1.

Сообщение от stasik007 проверить одинаковые запросы по 80D9, 8008, 8004, 8002 - будут ли ответы отличаться?

2. проверить одинаковые запросы по 8002/8008 на батарее с оригинальным, измененным, 00000000, ffffffff серийником, чтобы выяснить его роль в формировании ответа;

3. если SN не влияет на ответ, последовательно изменять участки кода EEPROM батареи с выдачей одного и того же запроса, чтобы вычислить области, критичные для формирования ответа

как-то так)

[Ins|der]

Сообщение от Boryan Для загрузки с карты нужен IPL подписанный сонями для стика....а его нету

понятно, то есть для стика нужен спец. лоадер, отличный от лоадера в нанд, и, насколько я помню, он каким-то образом привязан к серийнику карты, так? (заранее извиняюсь за глупые вопросы, приходится на ходу в теме разбираться)
хотел почитать прошлую тему "Размышления о взломе TA-88v3", память освежить, но так и не нашел её(

[ANDPSP]

Сообщение от lport3 Какие настройки порта в терминале вы выставляли? ------------------------- Все, разобрался.. ------------------------- Особо впечатлительным лучше не смотреть, заинтересовавшиеся и желающие помочь, стучитесь в личку.

А все же, расскажите поподробней куда подключаться все же нужно, я собрал кабель на базе PL2303HX - RX прицепил на средний контакт, GND прицепил на минус - он левее, если консоль лежит на экране шифтами вверх - в настройках порта скорость - 9600, четность - None, дата бит - 8, стоп бит - 1 - вроде бы все правильно , но я не получаю тех байтов что описывались тут - у меня совсем все по другому :-( вот вставляю запандоренную батарейку в фатку и получаю какую то хрень

хрень

1 раз
00 00 13 10 7C 91 7E F6 13 F2 5C F1 FE 3E FE 33 18 DF 3A 7E 93 E3 9C
91 A5 8A 86 91 83 94 72 F5 F2 13 98 1D E6 E9 12 FF 1C F1 B0 7A 64 13
13 10 7C 11 7E FA 33 18 3A 38 DC 20 DD 9C F1 1E BE 66 5B A0 55 BD CA
C5 13 98 9B B9 E1 BE FC 1C D1 96 5F 96 7F FF 13 10 7C 11 7E FA 33 18 1C
55 3C 77 F4 9C D1 2E 63 45 54 12 1E F6 3F DF 13 78 3A A8 50 22 FE 1C D1
DF 93 74 E5 13 10 7C 11 7E FA 13 D1 FF 5C D1 85 FF 13 93 5C B1 D0 13 92
FF 5C 91 10 FF 13 31 3C 91 F6 13 F0 FF 5C F1 3E FE 13 11 FF 5C F1 87 FD
00 13 10 7C 91 7E F6 00 01 00 FF 00
2 раз
00 00 13 10 7C 91 7E F6 13 F2 5C F1 FE 3E FE 33 18 32 DF 99 F8 DF 9C B1
B8 A3 D0 DF B3 D4 39 DB FC 13 78 90 11 D6 A3 FC 1C B1 1B 26 3D B5 FE
13 10 7C 11 7E FA 33 18 19 BC 16 FB EA 9C F1 28 63 C5 A3 97 10 B6 13 C7
13 58 76 9D 56 27 F9 1C F1 6C 13 6D F6 FD 13 10 7C 11 7E FA 33 18 3B 9C
3B F7 F1 9C 11 B6 4B A1 D1 EE 01 69 F6 D1 13 78 BA 5D 1B D5 FF 1C D1 8D 0B C1 D2 F7 13 10 7C 11 7E FA 13 D1 FF 5C D1 85 FF 13 93 5C B1 D0 13 92 FF 5C 91 10 FF 13 31 3C 91 F6 13 F0 FF 5C 71 5F 13 11 FF 5C 31 26 FF 00

тут два прогона, начало вроде похоже друг на друга, но все равно хрень - почему так ? Или нельзя напрямую подключаться к среднему контакту поскольку он объединяет RX и TX сигналы в один контакт ? Тогда куда нужно подключаться ?

[pronvit]

имхо надо посмотреть, различаются ли ответы на разных батарейках, то есть зависят ли они от данных в еепроме типа

[Ins|der]

Сообщение от pronvit имхо надо посмотреть, различаются ли ответы на разных батарейках, то есть зависят ли они от данных в еепроме типа

кстати, хорошая мысль!

Сообщение от Boryan На ТА88V3 обращение к карте идёт

то есть на этой плате реально залить с карты офиц. прошивку и восстановить брик/задаунгрейдить?

ребят, не нужно сориться, в конце концов над одним делом работаем, любая помощь не помешает

Ins|der добавил 27-04-2010 в 13:32
lport3, это ты батарею от слимки брутил?

какая-то странная у неё ёмкость D804 (1240 mAh)..

[Boryan]

Ins|der, мы не соримся..но понтовщиков ненавижу...что сделал этот малец? пришёл понтанулся и отметился в ветке и всё? что реально дельного предложил? ...номер он оказывается поменять не может
А по делу про ТА88V3 ....там стоит новый проц CXD2988 и он проверяет всё что ему предлагают на цифровую подпись от Сони. Для загрузки с карты нужен IPL подписанный сонями для стика....а его нету. Ну и есно с карты ты фиг чего сделаешь. В 3000 зызах стоит тот же ЦП CXD2988...

Boryan добавил 27-04-2010 в 14:07
lport3, давай всем миром будем брутить батарейку...опиши процесс технологический что и как и куда

[Boryan]

я понял что процент заряда хранится не в епроме. Есть батарейка с дохлым епромом и она прекрасно работает

[NutStorm]

Спасибо за инфу. Кстати подтвердила мою теорию.

Может повторюсь (лень читать 7 страниц коментов), не смотря на то, что батарейку нельзя запондорить (и дело тут никак не в мат.плате, хотя и не без этого) Серийный номер можно отдампить и он имеет такую же структуру что и у предшественниц. Другими словами, дело в архитектуре (или же в программном коде) команда нашего сайта (можно найти по нику кому интересно) как раз работает над этим. Есть несколько идей. Могу сказать одно. Мы встали в тупик. Все бояться ломать аккум. Если у кого есть, сфоткайте плату батарейки в хорошем качестве. Это сильно поможет.

Так как номер поменять пока нет возможности, надо смотреть что там внутри.

[Boryan]

NutStorm, а чего бояться? я уже 5 штук разобрал три от слимок и две от фаток схемы батареек изучил ...так что задавай вопросы что интересует

Boryan добавил 27-04-2010 в 02:47
фотки каких батареек нужно? Есть три вида плат... кинь ссылку на сайт где вы ковыряете 3000 батарейку

[ErikPshat]

Сообщение от NutStorm команда нашего сайта (можно найти по нику кому интересно) как раз работает над этим

А чё тут стесняться и что там искать?
Все и так знают супер-модератора с детского садика PSPISO.tv
Cайта, прописанного в правилах (пункт7.7), где копипастят чужие факи и статьи, без ссылок на первоисточник. И плюс к каждому такому факу, написанному не ими, прикрепляют свой логотип "PSPISO.TV" на чужие скрины, сделанные не ими, да ещё в конце делают приписку:

"Уф, всю ночь писал, старался чисто для вас, ради PSPISO!!! Не забудьте все поставить мне спасибки!"

Ну так что ваша команда нарыла-то? Вы людей старше 14-ти в команду берёте?

[stasik007]

Народ! - давайте о деле..

stasik007 добавил 27-04-2010 в 17:53
настройки гипертерминалки 19200 8E2 None
у кого виста или семёрка

RealTerm: Serial Terminal Program
For up to date infomation, and downloads
http://realterm.sourceforge.net
Latest Development versions may be available from:
http://www.i2cchip.com/realterm

[ANDPSP]

Сообщение от stasik007 stasik007 добавил 27-04-2010 в 17:53 настройки гипертерминалки 19200 8E2 None у кого виста или семёрка

Так не заработало тоже, но вот с параметрами 19200 8E1 None стало то что нужно :-) теперь и эмулятор опробовать можно :-)

[stasik007]

Сообщение от ANDPSP Так не заработало тоже, но вот с параметрами 19200 8E1 None стало то что нужно :-) теперь и эмулятор опробовать можно :-)

у меня с 1 стоп-битом error проскакивает а с 2 идеально и по дкументации 2 надо

stasik007 добавил 27-04-2010 в 18:27

Сообщение от Ins|der так вот похоже в том и проблема, что даже на ta-88v3 так до сих пор ничего не подписали)

просьба тему в сторону не уводить - если интересен ipl - то и обсуждайте его в ipl-ном месте!
он тут потоптался, поистерил и дальше пошёл на другой форум ipl обсуждать и говорить им что батарейки у них нету и ничего не получится

[lport3]

Немного работал, не мог дальше грабить,
сегодня вечер посвящу батарейке.
Сегодня попробую поподкидывать команды из ваших
логов, но уверен, что они совпадут. Кстати, если сразу
спрашивать $8002 батарейка не отвечает. Все таки не так просто
будет понять длинные команды (возможно вообще не получится).
Хотел считать еепром в батарейке, но логов вы не сделали, а жаль
по известному методу считывания можно было бы попробовать считать
озу (тут ведь неизвестно где можно нарыть дыру ).
Батарейку читаю через к-адаптер (автомобильный стандарт к-линия,
питание адаптера 7в), програмку сварганил сам.
Сегодня если ничего не получится по раскрипту длинных команд,
то мысли у меня кончились.

lport3 добавил 27-04-2010 в 19:06
Ins|der

при наличии одной батареи 1. Цитата: Сообщение от stasik007 проверить одинаковые запросы по 80D9, 8008, 8004, 8002 - будут ли ответы отличаться?

Попробовать надо, но даже судя по командам разным, отличия будут.
А разглядывать крипт в нескольких командах, только путатся, и
увеличивать объем работы.

2. проверить одинаковые запросы по 8002/8008 на батарее с оригинальным, измененным, 00000000, ffffffff серийником, чтобы выяснить его роль в формировании ответа;

Для этого надо, вам делать адаптеры, поскольку у меня только одна
батарейка (3.6,1200,брайт,ориг.)

3. если SN не влияет на ответ, последовательно изменять участки кода EEPROM батареи с выдачей одного и того же запроса, чтобы вычислить области, критичные для формирования ответа

Пальцем в небо, совершенно не реально. Тут уж точно запутатся можно
Только если с нулевым еепромом батарейка запускается, имеет смысл.

[stasik007]

ещё вопрос! - если повторять комманду 8002 (к примеру) с одним и темже аргументом ответ будет одинаковый всегда? или всегда разный?

[ErikPshat]

NutStorm, да не в обиду, немного пошутили с небольшой долей правды =).

Boryan, я о том, что на ТА-88v3 ведь пандора не запускается, несмотря на то, что батарея сервисная 0xffffffff.
Вот и интересует, какие данные выдаёт терминал в этом случае?

[stasik007]

данные теже что и 88v1 88v2 и других пандорящихся..
ведь борян же писал - В 88v3 и 90плате от 3000 проц тотже - другая только микруха cs (часы, опрос кнопок, контроль батарейки, короче проверяет и выдаёт комманды на запуск всех питаний и процов) вот она и опрашивает теперь по другому - кстати писали перед выпуском 3000 модели что левые аккомуляторы не будут к ней подходить..

[ErikPshat]

stasik007, почему тогда пандора на ТА-88v3 не запускается?

[Romcik077]

Здравствуйте всем! А возможно на плату ТА88V3 перепаять системный контролер на более старый, то есть с более старых плат, если не ошибаюсь в предыдущих постах говорилось что остальная начинка похожа.
А насчёт пандоры для 3000 я думаю что в батарейке нечего искать так как когда контролер видит серииник FFFFFFFF он скорее всего опрашивает батарею 31 один раз что-бы получить нужный ответ для входа в сервисный режим. так что надо искать ключи для получения правильного ответа. А ключ может опять быть в ЕЕруме, в предыдущих постах говорилось что у когото был образец Рума и в нём был изменён другой участок иной чем сам серийник.
Вот такие у меня соображения на этот счёт

[Boryan]

Сообщение от NutStorm Boryan На все предирки по поводу сайта отвечать не буду. Пусть говорят что хотят. Школота на нашем сайте была есть и будет. Без нее никуда. Она поднимает посещаемость. ))) Сам ведь знаешь. Вопрос сейчас в другом. Можно ссылочку на фак по смене номера на батарейке? NutStorm добавил 27-04-2010 в 17:35 А по поводу батареек, могу сказать, что мне семью содержать надо, а не тратиться на соньки.

Я тоже семью содержу и не маленькую )) Ты уж извени меня за резкость, но коли ты не знаешь как изменить номер в батарейке ( а это очень просто).... то тут тебе мягко говоря ....делать нечего..И почему сразу не сунуть штук 5 батареек в зызу....+ аккумулятор от автомобиля...нуачо? Запомни раз и навсегда, пригодиться может...нету батареек для 1000,2000,3000....( хотя для школоты они есть) они внешне отличаются, а внутри они по электронной начинке и программно, полностью одинаковые...вот мы их и ковыряем.

Boryan добавил 27-04-2010 в 20:29
Romcik077, нет нельзя...они функционально одинаковые, но корпуса разные по размерам и распиновка изменена....а паять 84 проводочка от BGA микрухи размером 6х6мм....я чота таких героев не встречал )))