Обсуждение взлома батарейки Пандоры PSP-3000...

[lport3]

А я думал, он дал дамп с эфками в номере,
а "номер поменялся" - имеется ввиду после пандоры.
Чтобы понять что-куда в протоколе надо десятки логов,
и и-то это определит только направление для поиска.
То, что лежит в еепроме - полбеды, есть контроллер а у него
своя прошивка. Вот если ее слить и раздизить, тогда
считай дело в шляпе. А так, видится мне это малоперспективным.

[ErikPshat]

lport3, вот смотри. Упирается всё в том, что мы пока точно не знаем, какой серийник должен быть в ответе. Не знаем какой длины и возможно вообще сменили в 3000 его месторасположение.

А если мы запишем серийник и снимем дамп памяти батареи, то будем знать каждый байтик.

Теперь, мы терминалом снимем такой-же опрос батареи, но уже на 3000 модели. И точно так-же, как я выше разложил всё по полочкам, разложим разговор терминала.

Мы точно вычислим, какую область памяти батареи отсылается в ответе в качестве серийника. И найдём в дампе эти байты. То есть, мы уже теоретически точно можем подтвердить местонахождение и длину серийника.

А по коду запросов-ответов можем составить картину сервисных ответов или обычных, сравнив с уже имеющимися.
Я уже прикинул, что коды идут однобайтовые (3-ий байт). И их не так уж много. В ответ возвращается код 06, а за ним данные, не считая последнего байта.

Рассмотрим первую строку: 5A 02 01 A2
Тут всё ясно...

• 5A - хедер запроса
• 02 - длина строки в байтах
• 01 - однобайтный код запроса (они пронумерованы по спецификации)
• A2 - последний байт корректирующей контрольной суммы

Заметь, в ответ всегда батарея вставляет код 06

Серийник батареи запрашивается кодом 0С

Кодом 80 запрашивается может заряд батареи и в ответ получает 16-байтный код. Скорее всего код двубайтный 80 08.

После второго опроса серийника уже запрашивается другой код 80 02, т.е. вероятно после второй проверки, убедившись в правильности, срабатывает следующая инструкция.

Кодом 81 08 возможно запрашивается цикл заряда и возвращается 8-байтный код.

Затем переходит на другую схожую инструкцию 81 0A

И остались коды 02, 03, 04, 07, 09 и 0B. Вот и вся арифметика =)

[lport3]

Из того что я увидел в логах выше.
адрес псп - 5A, адрес батарейки A5.
общая контрольная сумма пакета FF.
Описание пакета в протоколе -
1.адрес
2.длина пакета(-1)
3.команда запроса(для псп), ответ (для батейки)
4.байт коррекции суммы пакета до FF

Команда запроса в псп -
1. команда чтения локальных идентификаторов, 1 байт.
2. команда обработки динамическими средствами.
Первые 2 байта команды являются неким ключем,
определение ключа > $80$00

Ответ батарейки -
1. первый байт $06 - предположительно, позитивный
ответ.

Предполагаю, команда
$0C - серийник батарейки (почти точно).
$01 - напряжение батарейки, возможно
используется как напоминание связь
онлайн (это мое предположение)
Остальное пока что не понятно.

--------------------
кстати, так и не сказали мне какое напряжение, ток на батарейке?

[ErikPshat]

Сообщение от lport3 $01 - напряжение батарейки, возможно

Вот на 01 возвращается ответ 10 C2 06

Что это может значить?

P.S. И вы не против, если я закреплю разложенную таблицу терминала в шапку, чтобы сравниваться с ней, а не листать страницы туда-сюда?

[lport3]

то что команда $01 это напряжение батарейти,
только предположение.

-------------------- кстати, так и не сказали мне какое напряжение, ток на батарейке?

если вы параметры батарейки скажете, мне будет проще,
псп сейчас рядом нет, чтобы посмотреть. Если будут известны параметры
то возможно я смогу описать команду 01 точнее.

[ErikPshat]

Сообщение от ErikPshat Вот на 01 возвращается ответ 10 C2 06

На 3-ий раз в ответ приходит 00 C2 06
После этого, запрос на серийник не посылается, пропускается.

А 2 последних ответа уже отвечает, что 00 C1 06

Странные цифры =)