Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 25

**Alex14435** · 16.06.2010, 19:18

Тоже может быть... Кстати, может попробовать проанализировать входные и выходные данные с помощью Deductor 5.2 (http://deductor.com.ua/file/deductor...academic.exe)?

Wesbam · 16.06.2010, 23:11

Раз не получается взять эту стену в лоб, можно
попробовать её обойти. Syscon каким то образом говорит
PreIpl откуда грузиться, если узнать большинство
функций этого контроллера то можно попробовать
заменить его на свой микроконтроллер, с самопальной программой.

Интересно было бы провести опыт, если это возможно
пересадить Syscon с платы которая переводится в сервис
аккумулятором на ту что не переводится.

stasik007 · 17.06.2010, 02:39

Надо написать программку, которая ставит флаг сервисного режима в сюсконе или попытаться - реально это сделать через патапоновский эксплоит или нет. Перелопатив уйму инфы на ps2dev я понял что это реально. Лично для меня поднять Си из глубин сознания нереально..

В теории должно получится следущее:
1.Запускаем патапоновский эксплоит.
2.Грузим нашу прогу (флаг переведён).
3.Выключаем удерживая рычажок и включаем.
И должен запуститься сервисный режим...

**Alex14435** · 17.06.2010, 12:08

Всё удастся если мы сделаем decap сискона, а лучше кирка. То есть вскрыть чип и программатором сдампить их программу. Но это чрезвычайно сложно.
Я не думаю, что из программной среды мы сможем воздействовать на сискон. Тем более из недоэксплоита

sasiska12 · 17.06.2010, 16:45

Alex14435,
насчёт Lite Blue Tool лучше забыть, это была раздутая выдумка. Она на 3000 так и не заработала только 2000 и толстуха

Yoti · 17.06.2010, 15:43

stasik007,
сомневаюсь, что патапон в этом поможет.
Впрочем, информацию/ссылки про установку флага подкинь.

Yoti · 17.06.2010, 17:19

sasiska12,
пустое сообщение.

ANDPSP · 17.06.2010, 17:34

Boryan, 2 k-line работают :-)

лог 3000-й

"->" это перенаправление запроса на батарейку, 00 - это между включениями консоли с рычажка, диод загорелся, но потух спустя 20-30 секунд, второй раз включил - снова загорелся, значит проходят команды - можно брутить... только тайм-ауты мне не очень нравятся, иногда сбиваются команды и ответы и определиться с последовательностью необходимых для старта команд все же нужно...

Да, забыл отписаться в прошлый раз - эксперемент доказал что для старта фатки достаточно передать один серийник или 00 или FF, ответы на 80h и 81h ей нафиг не нужны когда она подключена к сети, теперь нужен минимум запросов для 3000-й или 2000-й, поскольку 3000-я будет просто молчать...

lport3 · 18.06.2010, 10:57

Сообщение от ANDPSP

Boryan, 2 k-line работают :-)"->" это перенаправление запроса на батарейку, 00 - это между включениями консоли с рычажка, диод загорелся, но потух спустя 20-30 секунд, второй раз включил - снова загорелся, значит проходят команды - можно брутить... только тайм-ауты мне не очень нравятся, иногда сбиваются команды и ответы и определиться с последовательностью необходимых для старта команд все же нужно...

Да, забыл отписаться в прошлый раз - эксперемент доказал что для старта фатки достаточно передать один серийник или 00 или FF, ответы на 80h и 81h ей нафиг не нужны когда она подключена к сети, теперь нужен минимум запросов для 3000-й или 2000-й, поскольку 3000-я будет просто молчать...

У меня в свое время дело встало во первых из за задержек
на сессию с батарейкой, а во вторых из за того что батарейка
некоторых команд тупо не знает.
Для дальнейшего изучения необходимо было сделать общую шину с
быстым перенаправлением, но времени все нет занятся..

ANDPSP · 18.06.2010, 20:02

Сообщение от lport3

У меня в свое время дело встало во первых из за задержек
на сессию с батарейкой, а во вторых из за того что батарейка
некоторых команд тупо не знает.
Для дальнейшего изучения необходимо было сделать общую шину с
быстым перенаправлением, но времени все нет занятся..

Да задержки у тебя не кислые были выставлены - пробовал твоей прогой активировать ком-порт а потом своей смотрел тайм-ауты - получилось это
.ReadIntervalTimeout = 20
.ReadTotalTimeoutConstant = 50
.ReadTotalTimeoutMultiplier = 10
.WriteTotalTimeoutConstant = 100
.WriteTotalTimeoutMultiplier = 20

я же пользуюсь пока такими
.ReadIntervalTimeout = 10
.ReadTotalTimeoutConstant = 1
.ReadTotalTimeoutMultiplier = 1
.WriteTotalTimeoutConstant = 10
.WriteTotalTimeoutMultiplier = 1

Вроде устраивает, но что то подкрутить нужно еще...
Проблема в другом - понять что нужно для автозапуска типа FF(с карточкой) или 00 - потому что для фатки и прошиваемой SLIM достаточно передачи одного серийника, консоль стартует и живет, правда должно быть подключение к сети, если без сети то нужно перенаправлять часть команд на батарейку но тогда усложняется схема брута серийника - увеличивается время на перебор и не понятно когда остановится... Нужно проверить запуск с компа 88v3 - она наиболее приближена к 3000-м но ребенок на даче и консоль с ним... Кто нибудь имеющие k-line и 88v3 проверьте старт консоли с подключенным питанием и эмуляцией с компа хотя бы таких команд

5A0201A2 A50506000B0440
5A020C97 A50606000000004E
или
5A0201A2 A50506000B0440
5A020C97 A50606FFFFFFFF52

ANDPSP добавил 18-06-2010 в 20:02
Борис, Эрик выложил прогу на фтп (папка NEW), k-line всеравно только у вас есть, погоняйте на своих железках, тщательно тестить и вылизывать времени не было ...

насчет выбора com-porta - прописывается нужная цифра ручками (по умолчанию стоит 4 и 5), насчет брута серийника - увидите строку вида A50606Z0Z1Z2Z3 - ставите галку и меняете как хотите - это вроде маски с подстановкой вариантов, можно пробовать например так A50606Z0Z0Z0Z0 - будет перебор вида 00000000, 01010101, 02020202, 03030303 и до FFFFFFFF
или так A50606Z0Z0Z1Z1 - 00000000, 00000101, 00000202 (когда Z1 дойдет до FF, начнет меняться Z0, и снова Z1 с 00 до FF - будет типа 01010000, 01010101, 01010202)
Можно начинать с определенного номера и определять количество попыток перебора (по умолчанию стоит 1, если нужно до упора то меняете на 0)
Да не забывайте загружать варианты запросов-ответов - в папке есть 3 варианта - в основном там ответ на команду 01h, но без ответа на него не будет запроса серийника :-)

Борис для брута батарейки реализован брут двух байт и даже трех, но сразу говорю это не быстро :-)

Короче смотрите а то у меня уже глаз замылился...

Boryan · 18.06.2010, 23:17

ANDPSP, Спасибо! Отлично! Бум по мере возможности ковырять

VanSardis, Хотелось бы услышать от тебя точный ответ по поводу USB. Ты откуда эту инфу взял? И насколько она достоверная? А типа слышал где то....не прокатывает. Может и возможен такой вариант ....старт консоли с обычной батарейкой в штатном режиме ....и затем ЦП видя что на USB что то весит, тупо ждёт ключика заветного....но это больше похоже на бред. Сам подумай, для того что бы ЦП начал работать с USB у него должна быть рабочая операционка. И как тут быть в случае брика? ЦП как нам известно 100% как у TA88V3. И потом, самое главное....ЦП не сам переводится в режим загрузки с карты....его переводит syscon управляющим сигналом. Просто тупо переводит выставив на одном из выводов ЦП логическую 1. И что то с USB портом такая версия старта ну ни как не вяжется....

**VanSardis** · 17.06.2010, 23:37

я спокоен за результат :-)))))

Boryan · 18.06.2010, 01:20

нибаись

результат будет ..ни куда от нас не денется 3000...не ломанём софтово ..ломанём аппаратно...просто у меня сейчас на её взлом нет времени...а другие ребята забили на это...

ErikPshat · 18.06.2010, 01:39

Да не забили, просто ждём свежих идей =)

Yoti · 18.06.2010, 23:41

ANDPSP,
хотелось бы софтинку потыркать :$

ANDPSP · 19.06.2010, 00:13

Сообщение от Yoti

ANDPSP,
хотелось бы софтинку потыркать :$

Да пжалуста http://slil.ru/29358426 не знал что у тя тоже k-line есть...

А вообще нужно подумать что там происходит - я брутил с нулей до FF, Борис предлагает вот реверс сделать от FF идти к нулям, но мне другое интересно - я подключал зарядку а потом эмулировал и диод как то странно себя вел - то непрерывно оранжевым горит то мигать начинает причем то часто и быстро то длительно - как то не понял закономерности... Хотя понятно что загорается как только + и - подсоединились, но вот почему гаснет или же он горит пока обмен командами идет, нужно повнимательней будет посмотреть...
Но очень интересует старт 88v3 с компа - достаточно будет передачи серийника или нет, просто с фаткой и прошитой слимкой все просто - как только прошли нули или FF все старт произошел и не важно что потом запрашивались и ловились другие серийники - обычные - все равно старт состоялся....

**Alex14435** · 19.06.2010, 09:05

Я всё же считаю, что брутить серийник нет смысла... Нужно искать ответ на 80D9, зря мы его отбросили как вариант

ANDPSP · 21.06.2010, 15:36

Сообщение от Alex14435

Я всё же считаю, что брутить серийник нет смысла... Нужно искать ответ на 80D9, зря мы его отбросили как вариант

Чтобы его найти нужно вытаскивать микропрограмму из чипа батарейки, дизасмить ее для понимания того что там происходит, если там и правда криптоалгоритм XTEA, то нужно понять что передает консоль - может быть что 8000, 8004, 800A, 80D9 - это указатели на какие то данные из таблицы, а в таблице 256 вариантов или 4-байтных дельт или 8-байтных ключей, опять же мы не знаем сколько раундов реализовала сони - может 16 может 32 а может и 44 - гадать можно долго....

ANDPSP добавил 21-06-2010 в 15:36

Сообщение от anton85

Если даже удастся наладить процесс перебора серийников, со скоростью 1 серийник в секунду, то на полный перебор уйдет 138 лет, если же удастся перебирать 100 серийников в секунду, то всего лишь 1.3 года круглосуточных включений/выключений ЗЫЗы.

Для этого нужно вначале определить последовательность команд запускающих консоль в сервисный режим, поскольку для фатки и прошиваемой слим было достаточно передачи одного серийника - правильного и дальше пофиг что передовалось - даже если шли другие серийники - все равно она стартовала... если на непрошивайке 88v3 так же то есть небольшая вероятность что и в 3000-й все осталось по прежнему и тогда достаточно запустить процесс перебора серийников и смотреть на итог, но как факт подобный перебор 256 вариантов серийника когда все 4 байта равны между собой эффекта не дал, но очень странно вел себя оранжевый диод... Да и при подключении внешнего питания как бы не нужно включать/отключать консоль так часто - запросы на серийник идут непрерывно...

**Ins|der** · 21.06.2010, 19:49

Сообщение от ANDPSP

есть небольшая вероятность что и в 3000-й все осталось по прежнему

Как-то не верится, сам посуди: зачем тогда в трешке новый контроллер, новая батарея, которая стандартными способами не пандорится? Наверняка только эта самая батарейка знает правильный ответ на интересующие нас запросы.

Так и не понял, удалось Боряну эту "упрямую" батарею запандорить? Вроде уперлись в то, что вместо сервисного она левый серийник шлёт..

sasiska12 · 23.06.2010, 22:13

Ins|der,
Почему может стоить пересмотреть целеком цепочку прохождения сигнала от батарейки до контроллера, может там стоит что то вроде инвертора, или просто с помощью резисторов и кондесаторов каким то образом сбивается напряжение с логической 1 на непонятное, поэтому консолька циклится и зависает? Вы же всё мучаете запросы, а может всё проще окажется?

sasiska12 добавил 23-06-2010 в 22:13
кстати, а может кто то проследить, что на выходе батарейки и на входе контроллера, может действительно что то будет отличаться оО?