Обсуждение взлома батарейки Пандоры PSP-3000...

[ErikPshat]

Что интересно, если даже в нормальном режиме разные серийники:

1. 0х12345678
2. 0хFA14C1FA

То в ответе средний байт тоже меняется, а отсюда и все остальные ответы меняются:

PSP-2000

1. 10C006
2. 10C306

PSP-3000

1. 10BF06
2. 10C006

06 - похоже модель батареи или производитель.

[pronvit]

Сообщение от ErikPshat Что интересно, если даже в нормальном режиме разные серийники: 0х12345678 0хFA14C1FA То в ответе средний байт тоже меняется, а отсюда и все остальные ответы меняются: PSP-2000 10C006 10C306 PSP-3000 10BF06 10C006 06 - похоже модель батареи или производитель.

а какой повод не верить инфе о протоколе, где написано, что это команда запроса текущего заряда батареи, а c006 или bf06 или с306 это соответственно заряд? значения разные, но очень близкие, допустимые кол****ия.

[ErikPshat]

pronvit, вполне возможно. Но в протоколе не чётко указано unknown_flag.

0x01  request status       none    unknown_flag:u8      
                                   energyleft_mAh:u16

Я думаю, что в первую очередь должен быть вопрос: ты кто, моя батарея или аккум от мобильника?

[pronvit]

Сообщение от ErikPshat pronvit, вполне возможно. Но в протоколе не чётко указано unknown_flag. Я думаю, что в первую очередь должен быть вопрос: ты кто, моя батарея или аккум от мобильника?

так флаг перед зарядом, то есть 10 - флаг, с006 - заряд. скорее всего это просто статус, что батарее на месте и в порядке, там написано даже, что если какой-то бит в первом байте стоит, то псп сразу вырубится.

[Ins|der]

Сообщение от pronvit с006 - заряд

тогда уж C0 - заряд, так как второй байт не меняется)

[ANDPSP]

Сообщение от pronvit а какой повод не верить инфе о протоколе, где написано, что это команда запроса текущего заряда батареи, а c006 или bf06 или с306 это соответственно заряд? значения разные, но очень близкие, допустимые кол****ия.

В это можно поверить если Стас напишет последовательность экспериментов и будет видно что заряд падал от первого опыта к последнему - я надеюсь между экспериментами не было подзарядки батареи, а еще интересно повставлять батарейку с подключенным USB и обычным питанием - будет ли отличие по командам и ответам...

[Ins|der]

Сообщение от ANDPSP В это можно поверить если Стас напишет последовательность экспериментов и будет видно что заряд падал от первого опыта к последнему

разумно, главное не перегрузить человека =)

[stasik007]

1.БАТАРЕЙКА ФАТОВСКАЯ
2.ПОДЗАРЯД ПРИ СМЕНЕ РЕЖИМОВ БАТАРЕИ БЫЛ, ПОСКОЛЬКУ ЗЫЗА НА КОТОРОЙ ПЕРЕШИВАЛ ПИТАЕТСЯ ОТ ЗАРЯДКИ
3.ПОСЛЕДОВАТЕЛЬНАСТЬ ТАКАЯ КАК ВЫЛОЖЕНО - СНИМАЛ И СРАЗУ ВЫКЛАДЫВАЛ

[pronvit]

Сообщение от ANDPSP В это можно поверить если Стас напишет последовательность экспериментов и будет видно что заряд падал от первого опыта к последнему - я надеюсь между экспериментами не было подзарядки батареи, а еще интересно повставлять батарейку с подключенным USB и обычным питанием - будет ли отличие по командам и ответам...

да там разница-то в на 4 единицы максимум, такое кол****ие уровня заряда вполне может быть по разным причинам.

в любом случае, имхо, надо уже переходить к сбору устройства, которое будет посылать что-то свое вместо батареи и смотреть реакцию псп

[Ins|der]

сравнение ответа на команду 5A0201A2 в начале и конце каждого режима:

PSP2000

норма: С306/С306
норма (мод.): C006/C006
сервис: C306/С306
автозапуск: C306/С306

PSP3000:

норма: C006/C006
норма (мод.): BF06/BF06
сервис: BF06/BF06
автозапуск: BF06/BF06


информация к размышлению, но почему тогда:

Противоречие

Сообщение от Ins|der так перечитал первый пост, сделал вывод: начало: 5A02 01 A2 A505 06 10C206 77 включение приставки: 5A02 01 A2 A505 06 10C206 77 середина (после проверок серийника): 5A02 01 A2 A505 06 00C206 87 конец: 5A02 01 A2 A505 06 00C106 88 значение поменялось, значит оно непостоянное (не сессия) и не зависит от обнуления байта

[ErikPshat]

Если это батарея от фатки 1800 mAh, то я бы поверил.
Но если от слимки 1200 mAh, тогда не сходится.

[ErikPshat]

Надо проверить на батарее от слимки. Если будет в пределах XX04, значит точно ёмкость батареи.
Или разрядить батарейку.

Кстати, а где дамп памяти самой батреи?
Нужно ещё снять дамп заряженной батареи, а потом разряженной.

[ErikPshat]

Вот ещё интересные данные из EEPROM батареи, выложенного здесь.
Там с самого начала идёт структура, схожая с серийником:

• 0807FFFF320DFFFF - какие-то данные: 07080D32
• 3412FFFF7856FFFF - серийник батареи 12345678

Но таких цифр в логах терминала не заметно. Если это хедер, то должен быть какой-то идентификатор.

Скрин

[ErikPshat]

Судя по логу, то микруха:

1. Идёт запрос статуса и оставшиегося заряда батареи.
2. Затем идёт сразу запрос серийника.
3. В третьих посылается код 80 с 9-байтными данными, я думаю, сгенерированными на основе предыдущих двух, ведь больше никаких данных не получалось.
4. Получает 16-байтный ответ, думаю контроллёр батареи что-то тоже решает, ксорит, складывает.

Теперь вся процедура повторяется и на основе предыдущих данных, генерируются новые данные.
После выполнения второй процедуры идёт запрос по коду 81 трижды и происходит запуск сервисного режима, если всё сходится.

[stasik007]

может поможет..:
мне попалась китайская батарейка Slim из тех что не пандорится..
её ктото пытался сделать пандорой и попортил флеш - такая батарейка не стартует и внешне кажется что она мёртвая - подключил - оказалость есть базар. Его к сожалению не сохранил . Но что интересно - меняю серийник на фффффффф и на 80 вопрос батарейка начинает отвечать данными 000000000000000000000000! и заново всё 31 раз

5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9694DA952170023D482A5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D91F4EC2EC55CFA4332BA5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D999A2FFBBBA502E61B3A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9515B5D2483
2CF985E7A5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D95B885CCB74321C88EDA512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D95DBEEAE9C0DE507FE6A5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D9F26E3A12BBEF91BD9DA5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D9B4E12D40C8B17D74D5A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9789AFE976A
89CA716CA5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9318C97903BA70098E3A512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9460321D1C0A3E7E1DBA5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D97EABD84C3F277A0212A5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D918A32E675E64961E7BA51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9FE23127E8A
C5F5EE5EA5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9F154918AFFCB673D73A512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D99A42330B064CCF40C6A5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D9519ECCC19DE966CD0CA5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D94F896D7019E9962FC5A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D93ABEDDD8EB
A2F20A0BA5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9F7AF730F5ABF0751A8A512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D948D67BA29D86D59E70A5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D9FE685E8E28791873C3A5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D9FBDEDEEABC5F7BC644A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9E655AF9BD7
6454B17CA5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9B64C5EA8BEC51FC1D6A512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D915BCF27206B0E4561CA5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D94E23C82565E1463621A5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D982F4E2158FDED26F26A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D90911488311
6AF906E2A5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9F30FE384751BB3385DA512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9A5DDE6225A479FADCAA5121500
0000000000000000000000000000003300
поменял серийник на нормальный
005A0201A2A50506101900265A020C97A50606502E83321B5A0B800A8BB33A94C44AFC5AA0A51206
02859BEA802ABFBCB2934AB16421BFA7E65A0A81A183B92026B6B9C6C2A50A06C552AC9C318ABCBF
B55A0201A2A50506001900365A0B800AF1D48330A89EABEDBAA512068B1B8F0FD0DAF66F86398CF6
5C9D04FCB55A0A815E7B4F148F74840D4AA50A0650FD5E2647B491D61700
пытаюсь включить
4B6060F45A0201A2A50506101900265A020C97A50606502E83321B5A0B80044F5A13BA597A9C4DE4
A5121500000000000000000000000000000000335A0201A2A50506101900265A020C97A50606502E
83321B5A0B800A110C156DD13DC4D6C9A512063B68A7F730A9BCD3918821D179655DBA995A0A81E4
F916434E111D0464A50A0641B02DCB7EA39A901600


ещё раз напоминаю - это не рабочая батарейка - НО РАЗГОВОР ИНТЕРЕСНЫЙ!!!

вот хекс батарейки
E204FFFF5C10FFFF0A0028004100502EFFFF8332FFFFFFFFFFFFFFFFFFFFFFFF05000000FFFFFFFF FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF030041021A03C9FF7F027F02FFFFFFFF FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFBA046400A00016002000320030026A27D72675224B1F3993 FFFFFFFFFFFFFFFF01000000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF FFFF5039741466140100020003003E9D

[Boryan]

stasik007, ты лучше дамп батарейки в bin. выкладывай заливай на слил.ру и ссылку сюда....а то в таком виде он как то неприглядно выглядит либо приводи в божеский вид его...

[Ins|der]

вот здесь:

китайская батарея

Сообщение от stasik007 поменял серийник на нормальный 005A0201A2A50506101900265A020C97A50606502E83321B5A 0B800A8BB33A94C44AFC5AA0A51206 02859BEA802ABFBCB2934AB16421BFA7E65A0A81A183B92026 B6B9C6C2A50A06C552AC9C318ABCBF B55A0201A2A50506001900365A0B800AF1D48330A89EABEDBA A512068B1B8F0FD0DAF66F86398CF6 5C9D04FCB55A0A815E7B4F148F74840D4AA50A0650FD5E2647 B491D61700

такое ощущение, что пропущен целый кусок кода (6 строк в начале, если сравнивать с логом в шапке), серийник опять же только раз проверяется (а должен два)

китайская батарея, вкл.

Сообщение от stasik007 пытаюсь включить 4B6060F45A0201A2A50506101900265A020C97A50606502E83 321B5A0B80044F5A13BA597A9C4DE4 A5121500000000000000000000000000000000335A0201A2A5 0506101900265A020C97A50606502E 83321B5A0B800A110C156DD13DC4D6C9A512063B68A7F730A9 BCD3918821D179655DBA995A0A81E4 F916434E111D0464A50A0641B02DCB7EA39A901600

wtf, что это за код спереди?
отсутствует команда 5A02 03 A0, после проверки ответов на 80 и 81 следует конец разговора (а должны выдаваться служебные команды).

Сообщение от stasik007 5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9694DA952170023D482A512150000000000000000000000000000000033

и опять это число, как и ранее на сервисе 3000й

[Boryan]

врага нужно знать в лицо Это системный контроллер с TA88V3 на ТА90 он меньше размером....он и отвечает за всё....сейчас нету под рукой разобранной 3000


Boryan добавил 23-04-2010 в 19:57
Ins|der, да именно это разговор sys con с контроллером батарейки

Boryan добавил 23-04-2010 в 20:03
stasik007, Сделай из китайской дохлой батарейки аппаратно пандору...оторви питание флешки ....и вставь её в 3000 и лог их базара сюда выложи....Странно как аппаратная пандора вообще работает если в ней флешка оторванна....ведь помимо FF во флехе ещё много чего сидит...а если она оторвана то что читает контроллер батарейки?

Boryan добавил 23-04-2010 в 20:08
И какой то он тупой этот контроллер при всей своей навороченности и крутости ..не видит что у него флеху отрывают..и продолжает работать

[pronvit]

Сообщение от Boryan Странно как аппаратная пандора вообще работает если в ней флешка оторванна....ведь помимо FF во флехе ещё много чего сидит...а если она оторвана то что читает контроллер батарейки?

FF читает, надо полагать. но видимо там ничего не лежит важного. собственно для ответа на эти вопросы псп вроде ничего кроме серийника из еепрома читать не требуется. но тогда не понятно, почему вот эта китайская сломанная не работает.

[stasik007]

тут компактность важна