Обсуждение взлома батарейки Пандоры PSP-3000...

[pronvit]

Сообщение от Boryan И какой то он тупой этот контроллер при всей своей навороченности и крутости ..не видит что у него флеху отрывают..и продолжает работать

так там отрывают ногу data out только..

[Boryan]

pronvit,
ты уверен? А я думал что питалово отрывают....но это сути не меняет...флехи то на борту контроллера в обеих случаях нету.

[pronvit]

Сообщение от Boryan pronvit, ты уверен? А я думал что питалово отрывают....но это сути не меняет...флехи то на борту контроллера в обеих случаях нету.

ну так написано в той статье на ps2dev. и в этом случае флешка как раз как бы есть, и видимо по электронике получается, что отсутствие контакта там значит ff, там это объяснено, но я не догнал

[lport3]

Как то не сильно продуктивно у вас получилось, я тоже
сегодня не добрался до своей псп. Вообще из всего что можно
на данный момент, это изучать длинные команды. Самое простое,
это пробрутить батарейку для поиска криптоалга. Все остальное
не перспективно, если в коротких командах и есть какието флаги
активных состояний, это в любом случае только инфа.

[pronvit]

Сообщение от lport3 Как то не сильно продуктивно у вас получилось, я тоже сегодня не добрался до своей псп. Вообще из всего что можно на данный момент, это изучать длинные команды. Самое простое, это пробрутить батарейку для поиска криптоалга. Все остальное не перспективно, если в rdbli(коротких командах) и есть какието флаги активных состояний, это в любом случае только инфа.

так криптоалгоритм не так важен, все равно в сервисной батарейке будет ответ другой, по другому алгоритму.
по-моему надо сделать следующее, я уже писал, собрать устройство, которое будет отвечать на все запросы, кроме 80/81, а их переадресовывать батарейке, тогда можно попробовать во все ответы, кроме имеющих другое значение (то есть во флаг из команды 01 надо, а в заряд батареи нет) запихать всякие особые значения, ну или все по порядку, и смотреть, что будет. ну и в 80/81 можно попробовать пихать ff, 00 и тд, но тут из-за длины угадать вероятность мала.

[lport3]

Алгоритм не может меняться, поскольку приемник
имеет только один криптоалг, так же как и один протокол.
В старой псп считывался только серийник для перевода в
сервис, в 3000й возможно задействуется еще инфа но в
пределах криптованых пакетов. Вообще, снять криптоалг с
батарейки (если конечно в ней нет лока на брут) это достаточно
интересно, поскольку врятли для каждого протокола соньковцы
сделали бы особый крипт. Снятие этого криптоалга, очень перспективно.
Нужно только точно знать, есть ли возможность ввода в сервис 3000
через батарейку. А то получится что раскапаем в криптопакетах
какуюнибудь ерунду типа: "цикл заряда", ид производителя..)

[pronvit]

Сообщение от lport3 Алгоритм не может меняться, поскольку приемник имеет только один криптоалг, так же как и один протокол. В старой псп считывался только серийник для перевода в сервис, в 3000й возможно задействуется еще инфа но в пределах криптованых пакетов. Вообще, снять криптоалг с батарейки (если конечно в ней нет лока на брут) это достаточно интересно, поскольку врятли для каждого протокола соньковцы сделали бы особый крипт. Снятие этого криптоалга, очень перспективно. Нужно только точно знать, есть ли возможность ввода в сервис 3000 через батарейку. А то получится что раскапаем в криптопакетах какуюнибудь ерунду типа: "цикл заряда", ид производителя..)

э.. почему только один? да и вообще, например так - я посылаю батарейке X, если вернет X+1, значит все как обычно, если вернёт X+2, значит сервисная, а если что-то еще, то вообще левая.

к тому же с чего вы все-таки взяли, что там есть именно шифрование.. если бы я делал такую штуку для проверки официальности батарейки, то сделал бы отсылку ей случайного набора байт, а она должна посчитать из них ответ по алгоритму, известному только ей и мне. не факт, что там вообще есть какие-то зашифрованные данные. передавать там особо нечего, шифрование более-менее делать в таких мелких контроллерах тоже сомнительно.