Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 12

lport3 · 27.04.2010, 21:10

Похоже, ключ крипта изменяется динамически,
причем точно сказать по какому принципу сложно.
Если считывать одну команду с интервалом в 1-2 сек,
то ответ долго не меняется, если сокращать или увеличивать
время между запросами, ответ меняется. Привязки к лок.идентификатору
нет, проверил все.

Вот примерчик, считывал сериями (внутри серии паузы 50мск).

lport3 добавил 27-04-2010 в 21:10
Вот, собственно и все, динамический ключ..(
может даже кирк..

lport3 · 27.04.2010, 21:21

Сообщение от Romcik077

lport3,можешь перед отправки запроса (хотя-бы перед сериями) делать дамп батарей чтоб можно было проследить что изменяется в ЕЕроме. Может получится что нибудь с чем-то связать. (Это всего лишь предположение)

я бы с радостью, но мне нужны логи снятые во время
работы программы, которой вы сливаете дампы. У меня непрошивайка,
мне проще сделать протокольную читалку, как опцию в программке.

Boryan · 27.04.2010, 22:08

смысла не вижу в динамическом коде.....динамический код нужен что бы что бы идентифицировать два устройства между собой. Пример автосигнализация и пульт. В зызе он не применим потому как сервисная батарейка должна работать со всеми консолями. А потом смысл брутить батарейку в которой может и не заложена функция пандоры для 3000. Уж коли соня изменила sys con то наверное и выпустила спец батарейку с нужными ответами на запросы зызы без всяких динамических ключей. А то что выложил lport3, это что то типа неправильной работы батарейки на запросы зызы. думаю что правильней было бы брутить зызу а не батарейку.

**Ins|der** · 27.04.2010, 22:20

Сообщение от Boryan

Уж коли соня изменила sys con то наверное и выпустила спец батарейку с нужными ответами на запросы зызы без всяких динамических ключей.

если это так и ответ на команду 80D9 вычисляется по специфическому алгоритму, известному только спец. батарее, тогда непонятно как его вообще узнать, не имея её в наличии..
а ещё ведь они вполне могли и аппаратно чего докрутить)

я надеюсь, ключ все-таки в eeprom'e

lport3 · 27.04.2010, 22:23

В исходниках на "слил" везде обращения
к процедурам из пспсдк.
Брутить псп, это как? ) подставлять левые ответы на запросы..хм..

Boryan · 27.04.2010, 22:40

Сообщение от lport3

В исходниках на "слил" везде обращения
к процедурам из пспсдк.
Брутить псп, это как? ) подставлять левые ответы на запросы..хм..

ну типа так ....у тебя же есть девайс который может в обе стороны работать ...вот и попробуй им эмулировать ответы зызе....к примеру как она отнесётся к ответу не 4 байта FF а 8 байт FF. ну и есно левые ответы мона попробовать ....только так я вижу смысл...а так есно обычной батарейкой мы ни чего не добьёмся....уже и так понятно что зыза с ней дружить не хочет в том виде в каком она есть.

Romcik077 · 27.04.2010, 22:40

lport3,я тоже не совсем понимаю что там творится но мне кажется есть ещё какие-то инструкций которые использует контролер чтобы читать и записывать данные из ЕЕром. Пример:
pc_send: 5A028023
battr_ans: A5021543
инструкция 80 выдаёт ошибку без остального кода. Значит есть и другие инструкций которые используют другие данные. Никто не нашёл даташит на контролеры от батарей?

Boryan · 27.04.2010, 21:24

lport3, чота ты ошибаешься по моему

Как ты брутишь только чтением...я правильно понял? Или ты и на передачу работаешь? Потом, какая консоль участвует в опытах?
Ааа допёр..ты только батарейку мучаешь...

lport3 · 27.04.2010, 21:27

Сообщение от Boryan

lport3, чота ты ошибаешься по моему

Как ты брутишь только чтением...я правильно понял? Или ты и на передачу работаешь? Потом, какая консоль участвует в опытах?

Бручу обычно ), эмулирую запросы псп (батарейка на столе лежит), связь
естественно двунаправленная. 3008.

Boryan · 27.04.2010, 21:37

lport3, уже понял как ты брутишь

Только не понятно как Зыза это использует....динамический ключ...это как в автомобильных сигналках чтоле? Но вроде динамический код в авто сигнализациях ломают

**Ins|der** · 27.04.2010, 21:36

Сообщение от Boryan

Потом, какая консоль участвует в опытах?

так он вроде только батарею брутит) напрямую ей команды шлет

Сообщение от lport3

Похоже, ключ крипта изменяется динамически, причем точно сказать по какому принципу сложно.

интересно, первые восемь байт статичны (полезная информация), вторые восемь байт типа нагрузка (привязанная ко времени?), вероятно несущественная

ErikPshat · 15.05.2012, 09:10

Сообщение от lport3

Похоже, ключ крипта изменяется динамически,
причем точно сказать по какому принципу сложно.
Если считывать одну команду с интервалом в 1-2 сек,
то ответ долго не меняется, если сокращать или увеличивать
время между запросами, ответ меняется. Привязки к лок.идентификатору
нет, проверил все.

Вот примерчик, считывал сериями (внутри серии паузы 50мск).

lport3 добавил 27-04-2010 в 21:10
Вот, собственно и все, динамический ключ..(
может даже кирк..

Ну не совсем динамически изменяется код. Там не только первые 8 байт у всех повторяется, но и постоянно повторяются полностью все 16 байт.

frostegater · 15.05.2012, 09:44

ErikPshat, Я знаю эрик!!!! Я знаю!! Нужно зафиксировать сlockgen, тогда рандомизатор накроется и будут выдаваться одинаковые значения, так как только на основе показаний часов может зависеть рандомизация когда не запущен кирк (соответственно тру алгоритм рандомизации mt19937 не работает).

Boryan · 27.04.2010, 22:51

А потом если бы было известно 100% что из обычной батарейки можно сделать пандору 3000 тогда бы имел смысл её брутить....но нам известно 100% что зызе батарейка не нравится...посему нужно эмулировать компом ответ батарейки который устроит зызу. Может вообще на все 32 запроса должен быть один ответ 16 байт FF либо A512062F7974D262BC0375FFFFFFFFFFFFFFFF+контрольная сумма этого блока

Ведь обычная батарейка этого не сделает. А потом эти 32 запроса может быть спецом сделанно что бы мозги запудрить и в сторону увести. Наверное соня предполагала что будут слушать обмен батарейки с 3000 вот и сделала намеренно такую подпрограмку сбивающую с толку

stasik007 · 28.04.2010, 01:23

надо попробовать побрутить запрос по 8009 и 800A - если батарейка вернёт одно и тоже тогда дело в японском юникоде - потомучто я раскопал что 8002, 8004 и другие комманды похожи на японские символы в юникоде - ниже перевод
8009:宁珂Дугу
800A:宁珂Дугу
80d9: дикие обезьяны

3 из剑传轩辕: Нориюки шрам ремонт техники改代码秘небес
http://www.5igames.net/xgwzll.asp?NewsID=1605 источник

может они на японском болтают ;-)

вот таблица юникода ашttp://www.okinawa.oiu.ac.jp/okinawa-cgi/cgi-bin/uni-kanji/8000.htm