Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

обрати внимание на то что при одинаковом запросе например :
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E CD 24 04 5B 1D AF 01 77 3D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 75 EE 3A F6 CA 30 12 01 31
получаем разные данный во вторых 8ми байт. Либо так и должно быть либо это глюк проги

[kolio]

Сообщение от Boryan обрати внимание на то что при одинаковом запросе например : 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E CD 24 04 5B 1D AF 01 77 3D 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E 75 EE 3A F6 CA 30 12 01 31 получаем разные данный во вторых 8ми байт. Либо так и должно быть либо это глюк проги

да да. я видел ты писал по этому поводу. обязательно проверю этот вариант
если у тебя сейчас есть возможность замерять паузы (минимум, максимум) между запрос-ответ между приставкой и батареей (либо комп-батарея) - мне будет проще оптимизировать прогу

[bel007]

Сообщение от Boryan обрати внимание на то что при одинаковом запросе например : 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E CD 24 04 5B 1D AF 01 77 3D 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E 75 EE 3A F6 CA 30 12 01 31 получаем разные данный во вторых 8ми байт. Либо так и должно быть либо это глюк проги

Может это что-то типа этого:
http://www.google.com/patents?id=CJT...page&q&f=false

или этого:
http://www.google.com/patents?id=RPv...page&q&f=false

Это патенты Сони.

[ANDPSP]

Сообщение от bel007 Может это что-то типа этого: http://www.google.com/patents?id=CJT...page&q&f=false или этого: http://www.google.com/patents?id=RPv...page&q&f=false Это патенты Сони.

Круто :-)) в общем это именно то (особенно алгоритм на рис. Fig.3B первого патента, там еще Amtel фигурирует) НО в частности это не неше - дата патенов очень свежая 30 июня 2009 года - нам что нить подобное найти годов этак 2003-2004...

ANDPSP добавил 24-09-2010 в 11:32

Сообщение от Boryan pronvit, да уж...контора интересная....новые чипы от атмела и микрочипа ломают а старьё от nec ....как пойдёт....да ещё и баблоса хотят не мало.. Boryan добавил 24-09-2010 в 00:39 Внимательно изучил их сайт....левая конторка..за всю свою деятельность пару чипов вскрыли...смех берёт когда смотришь список чипы в этой группе стоят копейки...что мешает потренироваться на кошках? И записать их в группу исследованные...Очень сомнительная конторка выходит...

Ну это на крайний случай, если наш энтузиазм совсем иссякнет, а новые силы не вольются... А так конечно нужно разжиться максимальным количеством МК с всевозможных батареек - и блю тул от Дятов и китайских пандор - глядишь где то и окажется читаемый чип, можно конечно и идею переписанного на чтение бутлоадера для Nec опробовать, но как то не очень в это верится... просто там семейство 78K0/KX2 а наш вроде из 78K0/KB1+

[Ins|der]

Очень интересные ссылки привел bel007!
По второму патенту "Battery and authentication requesting device" алгоритмы на рисунках 6 и 7, а также описание взаимной аунтефикации устройства и периферии очень напоминают протоколы общения между psp и батарейкой.

[Ins|der]

если я правильно понял, то следуя их схеме, по битам и логике все совпадает:

1)консоль и батарея содержат одинаковый набор заранее определенных ключей шифрации
K1, K2, ... KN
2)то что следует за 80-й командой в запросе, вероятно, номер ключа (01, 02, 04, 08, D9) который будет использоваться во время сеанса
N
3)далее в запросе идет 64-битный кусок (первая часть) 128-битного кода обмена 1 (задается консолью)
R1
4)на основании этого кода (64бит) и константы (64бит), определенной по номеру ключа, батарея формирует ответ, который затем шифруется самим ключом (в итоге 128бит)
ENC(Kn, (R1+C1n))
5)от закодированного ответа берется вторая часть (64бита) - код ответа, к ней прилагается 64-битный кусок кода обмена 2 (задается батареей) и отсылается приставке
[part of ENC(Kn, (R1+C1n))] + R2
6)приставка сверяет преобразованный ею (по той же схеме) код обмена и полученный в ответе от батареи и делает вывод о подлинности батареи (так как она знает нужный ключ).

далее если батарея определена как "своя", наступает очередь приставки представить себя:

7) на основании полученного куска R2 и заданного ранее ключа Kn приставка формирует ответ батарее
ENC(Kn, (R2+C2n))
8) отрезает от него 64 бита и передает батарее, скорее всего в 81-й команде
9) батарея делает своё заключение о легитимности консоли))))

Таким образом, если судить по описанию, и в приставке и в батарейке хранятся одинаковые ключи и константы.

[Boryan]

Ins|der, самый прикол в 81 команде ...ответ на неё изменяется только если предварительно была 80хх команда ..а то что будет в 81 команде батарейке пофиг подавай любое значение 81хххххххххххххххх....ответ на неё батарейка всегда даст одинаковый...сейчас выложу пример....выходит то что в 81 присутствует какой то лючь это всё лажа...

Boryan добавил 24-09-2010 в 18:23

лог 81хххх

5A 0B 80 08 11 11 11 11 11 11 11 11 8A
 A5 12 06 67 A3 DD CB F5 54 68 0E 72 AD EA A0 CB D1 64 8E 9A
 5A 0A 81 11 11 11 11 11 11 11 11 92
 A5 0A 06 81 79 73 1E 87 47 AF 96 AC
 5A 0A 81 22 22 22 22 22 22 22 22 0A
 A5 0A 06 81 79 73 1E 87 47 AF 96 AC
 5A 0A 81 33 33 33 33 33 33 33 33 82
 A5 0A 06 81 79 73 1E 87 47 AF 96 AC
 5A 0A 81 44 44 44 44 44 44 44 44 FA
 A5 0A 06 81 79 73 1E 87 47 AF 96 AC
 5A 0A 81 FF FF FF FF FF FF FF FF 22
 A5 0A 06 81 79 73 1E 87 47 AF 96 AC
 5A 0A 81 47 52 00 A3 68 5A 1A 71 91
 A5 0A 06 81 79 73 1E 87 47 AF 96 AC

Boryan добавил 24-09-2010 в 18:26
crashnok, много работал с китайскими разными девайсами собранными на пиках...ни где не стояло бита защиты всё читалось на ура тритоном (программатор такой)

[Ins|der]

Boryan, вероятно, если предварительно не выдать 80ю команду, батарейка не сформирует код обмена 2, ей просто не с чем будет сравнивать полученный от приставки в 81 команде ответ

давай логи)))
тема опять становится интересной



предпоследняя строка 5A 0A 81 47 52 00 A3 68 5A 1A 71 91
- реальный ответ приставки?

и непонятно пока, что подразумевает под собой AUTHENTICATION RESULT передаваемый батареей в конце

[ANDPSP]

Сообщение от Ins|der 1)консоль и батарея содержат одинаковый набор заранее определенных ключей шифрации K1, K2, ... KN 2)то что следует за 80-й командой в запросе - номер ключа (01, 02, 04, 08, D9) который будет использоваться во время сеанса N Таким образом, если судить по описанию, и в приставке и в батарейке хранятся одинаковые ключи и константы.

К этому выводу я уже давно пришел... но суть еще в том что в консоли хранится больше чем в батарейке, поскольку фатки содержат ключи на первый диапазон 80XX (до 8008 кажись), а вот тонкие наоборот не содержат нижнего диапазона но знают про верхний (от 8008)
Просто эти патенты не дали пока ответа на возможный алгоритм, а то что они используют таблицу ключей - это теперь стало еще очевидней... пока нашел косвенное упоминание про FlexiHash, но там 4 байта работают вроде, а у нас 8... Нужно тащить прошивку...

ANDPSP добавил 24-09-2010 в 20:17

Сообщение от Boryan ANDPSP, эт точно...придётся Эрика напрячь он на горбушке бывает. На луже сёня гавно китайское тупо пандора и ни чего более ...450 руб....послал их далеко

А что значит тупо пандора ? с обрезанным контактом еепрома ? Может стоило одну все же взять - вдруг там чип читаемый...
Просто те которые с переключателем типа ползунка - скорее всего и размыкают нужную ногу - т.е. реализуют аппаратную пандору - это конечно хуже софтовой но прошивка то там есть и может не так уж серьезно запрятана - все же ширпотреб...

[Boryan]

ANDPSP, у Стаса есть такая там тупо вшита прошива и серийник FF ...чип неизвестный...будем пытаться и её ковырнуть...да у меня и кроме неё китайских батареек куча...попробуем из них достать...ну и с горбушки нужно хотябы одну иметь....какая нибудь надеюсь выложит своё содержимое..

[ErikPshat]

Сообщение от Ins|der если я правильно понял, то следуя их схеме, по битам и логике все совпадает: 1)консоль и батарея содержат одинаковый набор заранее определенных ключей шифрации K1, K2, ... KN 2)то что следует за 80-й командой в запросе, вероятно, номер ключа (01, 02, 04, 08, D9) который будет использоваться во время сеанса N 3)далее в запросе идет 64-битный кусок (первая часть) 128-битного кода обмена 1 (задается консолью) R1 4)на основании этого кода (64бит), номера ключа и константы (64бит), определенной по номеру ключа, батарея формирует ответ, который затем шифруется самим ключом (в итоге 128бит) ENC(Kn, (R1+C1n)) 5)от закодированного ответа берется вторая часть (64бита) - код ответа, к ней прилагается 64-битный кусок кода обмена 2 (задается батареей) и отсылается приставке [part of ENC(Kn, (R1+C1n))] + R2 6)приставка сверяет преобразованный ею (по той же схеме) код обмена и полученный в ответе от батареи и делает вывод о подлинности батареи (так как она знает нужный ключ). далее если батарея определена как "своя", наступает очередь приставки представить себя: 7) на основании полученного куска R2 и заданного ранее ключа Kn приставка формирует ответ батарее ENC(Kn, (R2+C2n)) 8) отрезает от него 64 бита и передает батарее, скорее всего в 81-й команде 9) батарея делает своё заключение о легитимности консоли)))) Таким образом, если судить по описанию, и в приставке и в батарейке хранятся одинаковые ключи и константы.

Вот по моему умная мысля. Я так понял, ты прочитал дизасемблированный алгоритм драйвера сискона ТА-088v3.

Допустим мы сможем декриптовать и дизасмить драйвер сискона ТА-090v2, который у нас есть в зашифрованном виде, то возможно-ли вычислить формулу просчёта и вбить её в твой BatteryGrab, чтобы она при ответе на заданный запрос выдавала просчитанный алгоритм?

Стоп, чё-та я тупанул. Драйвер сискона одинаков на ТА-088v3 и ТА-090v2, так как PSP-3000 так-же откатывается с помощью того-же набора драйверов. Это ТА-093 работает на новом.

[Ins|der]

ErikPshat, это вольный перевод части патента Сони, который я попытался приспособить под наш случай
ссылку на него выше по теме приводили

Сообщение от ErikPshat Допустим мы сможем декриптовать и дизасмить драйвер сискона ТА-090v2

ты имеешь в виду прошивку сискона приставки?
как я понял, вся дилемма в этом и заключается, добыть прошивку контроллера приставки или батареи

[ErikPshat]

Сообщение от Ins|der ты имеешь в виду прошивку сискона приставки?

Нет, не самого сискона, а драйвер syscon.prx.enc

[Ins|der]

ErikPshat, а драйвер этот где хранится?

[kolio]

Сообщение от Boryan обрати внимание на то что при одинаковом запросе например : 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E CD 24 04 5B 1D AF 01 77 3D 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E 75 EE 3A F6 CA 30 12 01 31 получаем разные данный во вторых 8ми байт. Либо так и должно быть либо это глюк проги

Прювет всем
Боря ты просил проверить эту хрень.
Вот, что у меня

5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 3F F9 67 7D 5A DB 50 BC 74
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E F3 EC C4 0A 40 1C 9B 3C F1
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C2 98 F4 2A A9 38 58 03 1D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C2 98 F4 2A A9 38 58 03 1D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E F3 EC C4 0A 40 1C 9B 3C F1
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 1B 1A 8C 65 D2 BF 2C 17 D7
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E D9 2A F6 72 62 4F 88 0D 20
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C2 98 F4 2A A9 38 58 03 1D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C2 98 F4 2A A9 38 58 03 1D

вариантов ответа скажем так не много
в логе я выделил совпавшие группы
если очень быстро клацать, то ответ почти всегда приходит один и тот же. всё это я наклацал за 3-4 сек в общей сумме
------------------------------------
может у кого-то есть исходник Бат граба 2.1 ? так как у меня 1.3 версия, в которой неверное формирование чек-суммы

[Boryan]

kolio, ну нафига такие картинки большие делать сделай нормальные

Boryan добавил 28-09-2010 в 10:44
вот рабочая прога http://zalil.ru/29737850 исходников у меня нету

Boryan добавил 28-09-2010 в 10:48
kolio, повторяющиеся вторые 8 байт в ответе на 80хх это запрос батарейки к зызе..это говорит о том, что генератор ключей в батарейке паршивенький

[kolio]

Сообщение от Boryan kolio, ну нафига такие картинки большие делать сделай нормальные

думаю это не критично для дела

Сообщение от Boryan вот рабочая прога http://zalil.ru/29737850 исходников у меня нету

та у меня скомпиленная 2.1 есть. значит исправлю в 1.3 ошибку

Сообщение от Boryan kolio, повторяющиеся вторые 8 байт в ответе на 80хх это запрос батарейки к зызе..это говорит о том, что генератор ключей в батарейке паршивенький

а 80D9 для сервиски идет после авторизации?

[ANDPSP]

Сообщение от kolio может у кого-то есть исходник Бат граба 2.1 ? так как у меня 1.3 версия, в которой неверное формирование чек-суммы

Сбросил тебе свои исходники - там тот же батграб, только брут запросов гибкий, разберешься...