Обсуждение взлома батарейки Пандоры PSP-3000...

Alezhek · 18.12.2010, 23:04

ну так для этого предусматривается ВОЗМОЖНОСТЬ менять эту прошивку ВНУТРЕННИМИ командами..т.е. куском кода, который ты сам, как программист предусмотрел... т.е. если твоя прошивка отлажена, а у СОНИ это так - то такого кода просто нет. Ну и главное, даже знай мы - где эта подпрограммка - один хрен мы не влияем на исполняемый чипом код.. нет у нас возможности, перейти по определенному адресу

Alezhek добавил 18.12.2010 в 22:52
так что это, по-моему - тупик

Alezhek добавил 18.12.2010 в 23:04
Ладно, следующая идея: имеем команды работающие с 4-мя байтами.
Командой Cheksum - проверяем их - получаем число - побайтное вычитание
этих 4х ячеек из 0000h. Таким образом значительно сокращается количество вариантов перебора значений для команды Verify. Нам нужно проверять только те a,b,c,d, разность которых равна этому числу

Boryan · 18.12.2010, 23:13

Alezhek, разговор идёт не про оригинал бат. от сони....в них всё закрыто..а вот в китайках доступ через бутлоадер открыт.

Alezhek · 18.12.2010, 23:41

Сообщение от Boryan

Alezhek, разговор идёт не про оригинал бат. от сони....в них всё закрыто..а вот в китайках доступ через бутлоадер открыт.

мы путаемся в определениях! я до сих пор не могу понять, что ты имеешь в виду под бутлоадером! в 501 чипе бутом называется просто область первых 1К, где лежат адреса переходов. нет там никакого "лоадера" в понимании программы.

Alezhek добавил 18.12.2010 в 23:38

Сообщение от Alex14435

А разве есть команда Checksum?

есть! код команды B0h описана в мануале U17739EJ3V0AN00.pdf стр. 47

Alezhek добавил 18.12.2010 в 23:41
причем по описанию - в ней операндами служат адрес начала и адрес конца блока, который мы хотим проверить. т.е. ничего вроде не мешает задать проверку одного байта

Boryan · 18.12.2010, 23:51

Alezhek, переведи вот это:

A bootloader lets you update or replace application code without an external programmer, and makes it
possible to update code remotely—over a phone line or Internet connection.
For example, if you have 5,000 MCU-based pay phones and the phones require a firmware update, the
phone company’s service person could manually reprogram the individual telephones—a time-consuming
effort—or use a bootloader to reprogram all 5,000 phones remotely from a central location.

И ты поймёшь что есть бутлоадер и для чего он нужен в NEC

Boryan · 18.12.2010, 23:55

повнимательнее почитай доку U18291EU1V0AN00_BOOT

Alezhek · 18.12.2010, 23:59

Сообщение от Boryan

повнимательнее почитай доку U18291EU1V0AN00_BOOT

эта дока отнсится к SELF-Programming - САМОПРОГРАММИРОВАНИЮ!!!!

Alezhek добавил 18.12.2010 в 23:59
все что нам нужно в U17739EJ3V0AN00.pdf

Boryan · 18.12.2010, 23:57

значит чота я притупил...сейчас внимательнее доку гляну

ANDPSP · 20.12.2010, 18:01

Сообщение от Alezhek

Ладно, следующая идея: имеем команды работающие с 4-мя байтами.
Командой Cheksum - проверяем их - получаем число - побайтное вычитание
этих 4х ячеек из 0000h. Таким образом значительно сокращается количество вариантов перебора значений для команды Verify. Нам нужно проверять только те a,b,c,d, разность которых равна этому числу

мммм чего то я не догнал, но команду Cheksum и правда почему то не реализовал когда с чипом игрался - но этот момент уже исправлен, новая прога считывает чексум или со всего чипа или с конкретного блока...

Теперь про алгоритм чексума - побайтного вычитания там нет и в помине, что там за алгоритм - хз. можно конечно попробовать просчитать алгом выложенным в доках на 9202 - но там блок 256 байт а у нас 1024...

Если кому интересно то блок из 1024 FF имеет чексум 0400h, причем полностью затертый чип так же имеет этот же чексум, как и любой блок.

Первый блок с данными "8000FFFF....FF" имеет чексум 057Eh, остальные пустые блоки имеют тот же чексум 0400h, а чексум всего чипа равен 417Eh

Мне пока не удалось найти алгоритм расчета чексуммы, попытайтесь - может кому повезет, но всеравно сомневаюсь что будет толк - поскольку мы узнаем лишь чексум всего блока - т.е. 1024 байт, а никак не 4-х байт которых достаточно для верификации...

Тем кто будет играться с моей прогой напоминаю что прошивка для заливки должна быть в виде бинарника а не стандартного хекса, т.е. вид типа ":10016600B7891CD6874197B0B160F204FAF3B1B0F3" не прокатит...
Для перевода нужно загрузить хекс в проге FlashProg и скопировать в бинарник или же заливать в самом FlashProg, но она льет с самого начала, а в моей проге можете записать данные в любой блок и стереть так же любой блок...

ANDPSP добавил 20.12.2010 в 18:01

Сообщение от hax0r

Что-то я не очень понял.. Если это мне адресовано, то я всего лишь пытался человеку объяснить, что он предложил априори провальный путь...
А насчет практических идей - то, мне кажется, варианта всего 3 на данный момент:
1.декап
2.вариант с двумя чипами
3.вычисление ключей и алгоритма по ответам, но это наиболее нереально.. только если ООООчень сильно повезет... хотя, если у вас есть знакомые криптографы с мировым имене-можно попробовать..)

1. У тебя реально есть навыки декапа и соответствующее оборудование ?
2. Тут Боря немного сам запутался и вас всех запутал, в реале наиболее открытые 501-е чипы с батареек, имеющие возможность перезаписи бута, закрыты от программирования - а это отключает возможность стереть определенный блок и записать в него програмку внутреннего чтения. теоретически есть конечно надежда найти в батарейке полностью открытый чип, но это скорее из области фантастики, как и надежда найти работающий бутлоадер в этих чипах - хотя этот момент так и не проверили...
3. Это не реально, я на 90 % теперь уверен что там реализован XTEA который в асме занимает всего 20-30 строк кода - можете в википедии посмотреть...

hax0r · 20.12.2010, 18:13

ANDPSP, действительно, очень похоже на XTEA.. но не забывайте, что у сони есть свой алгоритм, который так же не требователен к ресурсам и памяти. Название не приведу, но я о нем писал ранее... Или возможно, что сони модифицировали XTEA и стали его применять, т.к. XTEA не был запатентован по инфе из википедии..
Да и в семействе XTEA довольно много разновидностей.. например, XXTEA или RTEA..
RTEA вообще на СИ одну строчку занимает..

Alezhek · 20.12.2010, 19:36

Сообщение от ANDPSP

Теперь про алгоритм чексума - побайтного вычитания там нет и в помине, что там за алгоритм - хз.

вот что в доке

ANDPSP · 21.12.2010, 13:13

Сообщение от Alezhek

вот что в доке

Все правильно в доке, это я ошибся при пересчете чексума - все значения перепроверил и все сходится тютя в тютю, там реально побайтное вычитание из нуля, но что это нам дает ?

hax0r · 21.12.2010, 14:15

Сообщение от ANDPSP

Все правильно в доке, это я ошибся при пересчете чексума - все значения перепроверил и все сходится тютя в тютю, там реально побайтное вычитание из нуля, но что это нам дает ?

Это дает уменьшение возможных вариантов при бруте прошивки с помощью поблочной/побайтной верификации.

lazard · 21.12.2010, 14:41

hax0r, Еси так, хватит ли времени раскурочить прошивку брутом?

hax0r · 21.12.2010, 14:45

lazard, время бесконечно))) его не может не хватить))
Другой вопрос-на сколько сократится время на вытаскивание брутом...

Alezhek · 21.12.2010, 20:10

Сообщение от ANDPSP

Все правильно в доке

может все-таки еще раз проверить и команду Verify?
[IMG]

[/IMG]
ведь судя по доку.. проверять можно от 1 байта?

Boryan · 21.12.2010, 20:23

Alezhek, по докам , да....а на деле 4 байта..Я же и прогу и доки и схемы всё выложил..можете сами попробовать...Мы тоже губы раскатали на эти доки ...но NEC быстро закатал

Boryan добавил 21.12.2010 в 20:23
Alezhek, А уже если у тебя есть желание помочь ..то поизучай доки на 9202 ..мож там дырку можно найти...или на 102 чип посмотри своим свежим взглядом

ANDPSP · 22.12.2010, 14:08

Сообщение от Alezhek

может все-таки еще раз проверить и команду Verify?
[IMG]

[/IMG]
ведь судя по доку.. проверять можно от 1 байта?

Что же ты примечание (Note) в вышеприведенный фрагмент не включил ? Сразу бы все понятно стало.... короче вот тебе фрагмент переписки с разработчиком FlashProg, а он побольше всех нас в неках шарит...

про верификацию

я конечно принял эту инфу к сведению но все же решил сам проверить, так вот методом научного тыка и нашлись эти 4 байта достаточные для верификации...

свежий лог

Лень писать комменты в логе, тот кто разбирается прекрасно все поймет - чип вначале полностью стирается, потом во всю память пишется 8 тестовых байт (они пишутся в первый блок), дальше идут попытки верификации заведомо правильными байтами: 1 байт, 2 байта, 3, 4, 5, 6, 8 - где 4 и 8 там успех, потом во второй блок пишутся других 4 байта и так же верифицируются правильными и неправильными значениями ну и напоследок прототип брута - вот тут очень интересный результат - если сразу верифицировать 4 байта - то все нормально , а если посылать побайтно правильные байты то в результате будет провал...

Ну и еще интересное - вспомнил как гонял батарейку по однобайтовым командам и решил так же пробить чип на недокументированные команды, в итоге нашлась пара таких команд A4h и 9Eh

лог по командам

ответ 020104FB03 говорит о том что команда не поддерживается (стр. 17 доки), а вот ответ 020105FA03 (для A4 и B0) говорит про ошибку передачи параметров, но признает что команда есть...

А в случае с 9E вообще положительный статус

но после этой команды чип клинит - дальше не хочет отвечать на посылы команд, скорее всего ждет передачи каких то данных...

Вот такие пироги :-(

hax0r · 22.12.2010, 14:15

ANDPSP, да... интересно было бы выяснить с какого чипа NECовцами система команд сдута была...

Alezhek · 22.12.2010, 20:58

Сообщение от ANDPSP

а вот ответ 020105FA03 (для A4 и B0) говорит про ошибку передачи параметров, но признает что команда есть...

уточни пожалуйста, ведь B0h - это как раз команда Cheksum...

перспективная команда, мне кажется A4h... уж очень похожа на security set (А0h)
был бы у меня чип, я бы попробовал поиграться параметрами, ей передаваемыми