Обсуждение взлома батарейки Пандоры PSP-3000...

[ANDPSP]

Сообщение от Boryan ANDPSP, Ну как вроде ты умеешь паять? Так в чём проблемы? Спаять девайс к-лайн по моей схеме пара пустяков. И ни каких батареек.

Припаять один проводок к определенному месту любой сможет... А вот все эти транзисторы, резисторы, кмопы и т.д. для меня темный лес... И я так и не понял какая твоя схема последняя и откуда этих радиодеталек можно наковырять... Если под рукой есть пара нерабочих материнок от компа - из них можно эту хрень надыбать или нет ? Да и все равно для меня и для большинства народа это не простой способ какой то - наверное буду ждать пока USB-K-line появится в ближайшем магазине, бегать за ним по городу тоже лень...

[Boryan]

если будет время или завтра или на днях выложу полную доку с картинками как собрать к-лайн для "чайников" )) В матерях комповых может быть нужная микруха. Но лучше купить в чип и дипе она копейки стоит....выпаять из матери микруху без навыков будет очень сложно...за это время 10 раз в чип и дип слетаешьь

Boryan добавил 11-05-2010 в 23:37
подойдёт любая микросхема из этого списка :
TC4011, MC14011, HEF4011, CD4011, MC14011, HEF4011, TC4011, HCF4011,SCL4011,UPD4011, HHF4011, GD4011, F4011, MN4011, LC4011,-буржуйские
561ЛА7,1561ЛА7,-отечественные
В конце надписи буквы могут быть любые

Boryan добавил 11-05-2010 в 23:39
вот http://www.chip-dip.ru/product0/462647834.aspx
ещё нужно два самых маленьких по размеру резистора на 200 ом и один на 10 ком

[sasiska12]

Boryan,
можешь сразу поправить, что что бы выпаять из мамки без специальной насадки почти невозможно )
кстати как прогресс в взломе psp ОО

sasiska12 добавил 12-05-2010 в 00:06
также если всё равно всех потянет выпаивать самому, то проще брать и проволочку пропускать под микросхемку и сразу тащить её на себя

[syryus]

Приветствую всех умственных тружеников и желаю успехов!!!
Неоднократно заходил на данный форум и периодически почитывал ваши достижения, самого заитересовало решил вклинится в ваш узкий круг.
Не до конца вник в ваши цели и задачи, поскольку много читать нервов не хватает.
На сколько я понял основной вашей целью стоит сделать батарею на подобе пандоровской, которая будет переводить psp с платами та88в3 и последующих в сервисный режим.
Теперь вопрос(Это поможет мне работать с вами в дальнейшем)
Уверены ли вы на 100% что в сервисных центрах сони, подымают psp с помощью сервисной батареи?
На сколько я знаю то батарея пандоры в некоторых последних моделях psp которые считаются непрошивайками и в которых она всё же способна включить контроллер питания т.е. загорается светодиод, ведь такую psp нельзя поднять не потому что нет какой то команды от батареи а потому что на флешке нет прошивки с цифровой подпиской и проц автоматом отрубается ведь запрос на карту памяти в начальный момент присутствует.
Поясните если я чего то не понял...

syryus добавил 24-05-2010 в 00:49
http://www.youtube.com/watch?v=HFTwDtZwufs
Интересное видео мне интересно какая у чела была плата....

[Boryan]

syryus, Уточняю не TA88V3 ...а TA90 или PSP3000. И ещё для расширения вашего кругозора. PSP2000 с TA88V3 прекрасно прошивается ( c помощью сервисной карты) и стартует с батарейки пандора. Наша задача сделать батарейку типа пандоры (которая переведёт приставку в сервисный режим и загрузится к карты) для PSP 3000....А далее всё дело за сервисной картой....и она эта карта есть...у кого и откуда она не спрашивайте ....считайте что она просто есть и всё!!!

Boryan добавил 24-05-2010 в 01:36
Ditemzy Не верю (С) ....это были еденицы ТА90 которые прошивались....они сделаны на базе ТА85 или ТА88 прошиваемой ....и сделаны они на ЦП 75 а не 88 ...88 проц не прошиваемый...был до поры до времени Просто это переходные модели к реальной ТА90 которая сейчас и заслуживает внимания

[Rasiel-sama]

Boryan
Сервисная карта? Когда у моего знакомого псп 2008 с платой ta88v3 отдала богу нанд а вместе с ним и душу, он понес ее в сервисный центр. Там ее приняли, посчитали случай гарантийным и отправили с нашего дальнего востока в Москву. Через пару недель оттуда пришел ответ, что на нее хотели поставить новую плату, такую же, но не было запчастей, поэтому отдают деньгами. Sony Center контора называлась, официальный соневский ритейлер и прочая и прочая.

[Boryan]

нууу....ребят мы так не договаривались....чота прям тухло тут всё ))Ну коли так...ни кто не может собрать девайс для брута зызы и батарейки ..а у меня он есть..... давайте делайте анализ логов что я выложил тут http://slil.ru/29124036 Много чего интересного я нарыл....на одинаковую команду 800А (эту команду даёт 3000 зыза, а аналогичная команда у 2000 8008) частенько идут одинаковые ответы А вот 81 команда смутила Ещё непонятка с 80D9.......проверил штук 15 батареек на неё...везде ответ A5 12 15 и далее нули.....у Стаса есть батарейка которая на 80D9 отвечает командой A5 12 06 и далее 16 байт кода....... Короче кому интересно анализируйте мои логи и давайте мне задание на новые команды и логи ....я сниму и выложу их всем для анализа...

Boryan добавил 13-05-2010 в 02:20
хааа вот вам и весь секрет и алгоритм ответа на 800A ))
команду давал приблизительно через секунду...затем вручную менял последние два байта и снова мышкой кликал на кнопку послки команды...с паузой секунда

5A 0B 80 0A 00 00 00 00 00 00 00 00 10
 A5 12 06 19 0B 59 BC C5 ED 64 EA D4 39 3C 7A 6E 2C 11 04 97
 5A 0B 80 0A 00 00 00 00 00 00 00 00 10
 A5 12 06 19 0B 59 BC C5 ED 64 EA D4 39 3C 7A 6E 2C 11 04 97
 5A 0B 80 0A 00 00 00 00 00 00 00 00 10
 A5 12 06 19 0B 59 BC C5 ED 64 EA D4 39 3C 7A 6E 2C 11 04 97
 5A 0B 80 0A 00 00 00 00 00 00 00 11 FF
 A5 12 06 68 C1 C0 32 B3 7D 86 8F D4 39 3C 7A 6E 2C 11 04 70
 5A 0B 80 0A 00 00 00 00 00 00 00 11 FF
 A5 12 06 68 C1 C0 32 B3 7D 86 8F D4 39 3C 7A 6E 2C 11 04 70
 5A 0B 80 0A 00 00 00 00 00 00 00 11 FF
 A5 12 06 68 C1 C0 32 B3 7D 86 8F D4 39 3C 7A 6E 2C 11 04 70
 5A 0B 80 0A 00 00 00 00 00 00 00 22 EE
 A5 12 06 77 AF 77 79 F2 04 4D 84 D4 39 3C 7A 6E 2C 11 04 F3
 5A 0B 80 0A 00 00 00 00 00 00 00 22 EE
 A5 12 06 77 AF 77 79 F2 04 4D 84 D4 39 3C 7A 6E 2C 11 04 F3
 5A 0B 80 0A 00 00 00 00 00 00 00 22 EE
 A5 12 06 77 AF 77 79 F2 04 4D 84 D4 39 3C 7A 6E 2C 11 04 F3
 5A 0B 80 0A 00 00 00 00 00 00 00 33 DD
 A5 12 06 D3 C8 5B 76 5E 9C 0E DF EB CD 53 39 05 D2 BB 5F BA
 5A 0B 80 0A 00 00 00 00 00 00 00 33 DD
 A5 12 06 D3 C8 5B 76 5E 9C 0E DF EB CD 53 39 05 D2 BB 5F BA
 5A 0B 80 0A 00 00 00 00 00 00 00 33 DD
 A5 12 06 D3 C8 5B 76 5E 9C 0E DF EB CD 53 39 05 D2 BB 5F BA
 5A 0B 80 0A 00 00 00 00 00 00 00 44 CC
 A5 12 06 C5 62 F7 47 C9 15 AB 27 D4 39 3C 7A 6E 2C 11 04 BB
 5A 0B 80 0A 00 00 00 00 00 00 00 44 CC
 A5 12 06 C5 62 F7 47 C9 15 AB 27 D4 39 3C 7A 6E 2C 11 04 BB
 5A 0B 80 0A 00 00 00 00 00 00 00 44 CC
 A5 12 06 C5 62 F7 47 C9 15 AB 27 D4 39 3C 7A 6E 2C 11 04 BB
 5A 0B 80 0A 00 00 00 00 00 00 00 55 BB
 A5 12 06 EF 2D 58 74 32 E5 86 62 D4 39 3C 7A 6E 2C 11 04 E9
 5A 0B 80 0A 00 00 00 00 00 00 00 55 BB
 A5 12 06 EF 2D 58 74 32 E5 86 62 D4 39 3C 7A 6E 2C 11 04 E9
 5A 0B 80 0A 00 00 00 00 00 00 00 55 BB
 A5 12 06 EF 2D 58 74 32 E5 86 62 D4 39 3C 7A 6E 2C 11 04 E9
 5A 0B 80 0A 00 00 00 00 00 00 00 66 AA
 A5 12 06 F2 0B 1C 33 32 FD F7 DD EB CD 53 39 05 D2 BB 5F BE
 5A 0B 80 0A 00 00 00 00 00 00 00 66 AA
 A5 12 06 F2 0B 1C 33 32 FD F7 DD EB CD 53 39 05 D2 BB 5F BE
 5A 0B 80 0A 00 00 00 00 00 00 00 66 AA
 A5 12 06 F2 0B 1C 33 32 FD F7 DD EB CD 53 39 05 D2 BB 5F BE
 5A 0B 80 0A 00 00 00 00 00 00 00 77 99
 A5 12 06 17 EC 8F 62 92 97 2D C7 EB CD 53 39 05 D2 BB 5F FC
 5A 0B 80 0A 00 00 00 00 00 00 00 77 99
 A5 12 06 17 EC 8F 62 92 97 2D C7 EB CD 53 39 05 D2 BB 5F FC
 5A 0B 80 0A 00 00 00 00 00 00 00 77 99
 A5 12 06 17 EC 8F 62 92 97 2D C7 EB CD 53 39 05 D2 BB 5F FC
 5A 0B 80 0A 00 00 00 00 00 00 00 AA 66
 A5 12 06 14 45 E4 A9 9D A1 C0 AD EB CD 53 39 05 D2 BB 5F 7C
 5A 0B 80 0A 00 00 00 00 00 00 00 AA 66
 A5 12 06 14 45 E4 A9 9D A1 C0 AD EB CD 53 39 05 D2 BB 5F 7C
 5A 0B 80 0A 00 00 00 00 00 00 00 AA 66
 A5 12 06 14 45 E4 A9 9D A1 C0 AD EB CD 53 39 05 D2 BB 5F 7C

Boryan добавил 13-05-2010 в 02:23
lport3, если можно, то в закладке брута батарейки было бы неплохо сделать возможность посылки запроса с паузами которые можно изменять

Boryan добавил 13-05-2010 в 02:28
если это возможно ....то очень интересные перспективы открываются

[ErikPshat]

Заметь, в ответах на запросы (800A): 0x00, 0x11, 0x22, 0x44, 0x55 - всегда вторая половина ответа (8 байт) приходила одинаковая:

• D4 39 3C 7A 6E 2C 11 04

В ответах на запросы: 0х33, 0x66, 0x77, 0xAA - тоже вторая половина (8 байт) ответа приходили одинаковые, но другие:

• EB CD 53 39 05 D2 BB 5F

Но вот первая половина почему-то изменяется по непонятному алгоритму.

А в твоём примере "бат_5A 0B 80 0A 79 95 FC 73 11 0A F7 39 48.txt" - наоборот, первые 8 байт всегда постоянные, а вторые 8 байт изменяются )

То есть, судя по всем твоим логам, можно сделать однозначный вывод, что 16-байтный код ответа состоит из 2-ух независимых частей по 8 байт.

[Boryan]

ErikPshat, с 80 командой со всеми её видами 80хх всегда так ....но ответ зависит от времени между запросами!!!Если оно больше 0.5 сек то ответы одинаковые ....а если меньше....ну есно рукой я не могу точные паузы делать...то разные.!!! Поэтому я и попросил lport3 сделать регулируемые паузы между запросами. Ещё бы не плохо было и количество запросов регулировать. Ну и в довесок возможность брутить батарейку полными логами, как это сделано в бруте зызы. Непонятно с 81 командой....там всегда на одну команду приходят разные ответы ....Вообще непонятка с привязкой по времени даже в 80хх команде...каким образом она выполняется? Разное время между запросами и разные ответы.....но это в бруте....а как в реале общения с зызой...там же все запросы и ответы идут без пауз....Потом есть подозрения что второй байт 80 команды походу и задаёт какие то переменные во времени ....Короче не батарейка, а хз что либо мы сталкиваемся с нештатными режимами батарейки посылая сразу 80 команды без начальной инициализации....А если бы всё делали согласно инструкции последовательности команд то такой галиматьи и не получали бы...

[ErikPshat]

Boryan, вообще вполне вероятно, что есть привязка по времени.
То есть, аналогично динамической адресации памяти после включения PSP:

• int time = sceKernelGetSystemTimeLow()

Почему ChickHEN срабатывает непредсказуемо и не всегда удачно? Вот что писал по этому поводу SilverSpring: http://pspfaqs.ru/faqs/577-uglublyae...sluchaino.html

[ANDPSP]

Сообщение от Boryan но ответ зависит от времени между запросами!!!Если оно больше 0.5 сек то ответы одинаковые ....а если меньше....Ну и в довесок возможность брутить батарейку полными логами, как это сделано в бруте зызы.

Так вроде эксперементальным путем определили что консоль шлет запросы с разными интервалами в зависимости от подключения внешнего питания к ней и своего статуса включенности...
И вроде ты сам писал что брут батарейки - это тупик и нужно играться с консолью эмулируя батарейку и лучше именно мучить сразу 300X версию поскольку поведение отличается от 1000 и 2000 и распылять силы на эти консоли гиблое дело... Тем более нет уверенности что с какой либо имеющейся у тебя батарейкой каким либо образом можно запустить PSP3000 в сервисном режиме, может в них во всех нет правильных ответов на запросы консоли...
И насчет длинного ответа батарейкой на запрос консоли 0х80 - ведь он всегда 16 байт вроде - может это 128-битный ключ которым консоль шифрует данные посылая следующий 0х81 запрос 8 байт и в ответ батарейка тоже возвращает 8 байт (может уже декриптованные), консоль понимает что они верные и стартует... Ведь реализовать аппаратный AES не проблема и 128-битного ключа будет достаточно для обеспечения защиты этого уровня, ведь пока консоль не стартанула KIRK спит ...

[Boryan]

ANDPSP, Значит я ошибался ....думая что батарейка это так мелочи....но зызу брутить без знания алгоритма ответа на 80 и 81 команды бесполезно....она сразу стопорится на неправильных ответах на эти запросы....нужно изучать ответы батарейки на эти команды....а уж потом строить запросы к зызе....Знаю одно точно, что все 80хх команды и в их числе 80D9 работают по одному принципу....но для более точных данных нужно сделать задаваемое время между запросами....тогда можно батарейку побрутить одним набором байтов но разными командами 80хх...и сравнить результаты. Но самое интересное....ведь китайцы как то вычислили алгоритм ответа на 80хх и 81 команды раз клепают свои левые батарейки. А чем мы хуже китайцев?

[t0rm3nt0r]

Boryan, ты обещал выложить мануал, по созданию K-Line. Не сделал еще? Я бы человечка посадил травить и паять.

[ANDPSP]

Сообщение от Boryan Но самое интересное....ведь китайцы как то вычислили алгоритм ответа на 80хх и 81 команды раз клепают свои левые батарейки. А чем мы хуже китайцев?

Хм... а может все проще - они взяли сняли дамп микропрограммы с контроллера и зафигачили его в новые чипы и работает он как и работал в оригинальных батарейках... Не знаю можно ли как то проверить эту догадку, но как то заливают прошивки в контроллеры...

ANDPSP добавил 13-05-2010 в 18:35

Сообщение от t0rm3nt0r Boryan, ты обещал выложить мануал, по созданию K-Line. Не сделал еще? Я бы человечка посадил травить и паять.

+1

я тоже жду мануала... хотя не понимаю на чем держаться все эти резисторы и кмопы должны... или есть какие то заготовки-печатные платы или просто на куске текстолита все собирается путем сверления дырок под контактные места ?

[Yoti]

ErikPshat,
там много что на время завязано. Я в одном модуле реализовал рэндом, привязав к количеству времени... прошедшему с 1970 года (в секундах).

[Boryan]

уже приступил к мануалу всё делается навесным монтажом без всяких там плат..

[Alex14435]

Чо то мне кажется что китайские отвечают всякую муть на 80 запрос... Или это не так? Вроде в теме был лог где подобная батарейка нули возвращала.

[Boryan]

Сообщение от Alex14435 Чо то мне кажется что китайские отвечают всякую муть на 80 запрос... Или это не так? Вроде в теме был лог где подобная батарейка нули возвращала.

была такая....вот она как раз и не работала ни на одной зызе....умерла батарейка....навсегда..

Boryan добавил 13-05-2010 в 20:04
ANDPSP, снять дамп с микроконтроллера нельзя ....стоит бит защиты....а потом китайцы на своих покоцанных контроллерах делают батарейки....значит они знают основные алгоритмы 80 команд

Boryan добавил 13-05-2010 в 20:13
ANDPSP, кмоп не может на чём то держаться ))-http://ru.wikipedia.org/wiki/CMOS

Boryan добавил 13-05-2010 в 22:18
ТУТ K-Line с фотками и описанием...http://slil.ru/29129008 ну проще уже нет вариантов...да,забыл... весит 30 метров

Boryan добавил 13-05-2010 в 22:24
Только не забываем дрова для PL2303 установить

Boryan добавил 13-05-2010 в 22:45
PS на фотках с именем CD4011 ошибка в цоколёвке микросхемы!!! Не обращаете внимание на них, удалите их из архива. Придурок какой то в нете выложил а я схватил и в свой архив ...а потом проверил а там цоколёвка микрухи не правильная...

[t0rm3nt0r]

Сообщение от Boryan PS на фотках с именем CD4011 ошибка в цоколёвке микросхемы!!! Не обращаете внимание на них, удалите их из архива. Придурок какой то в нете выложил а я схватил и в свой архив ...а потом проверил а там цоколёвка микрухи не правильная...

Оба файла? Там просто CD4011.jpg и CD4011_1.jpg

[ANDPSP]

Сообщение от Boryan Boryan добавил 13-05-2010 в 22:18 ТУТ K-Line с фотками и описанием...http://slil.ru/29129008 ну проще уже нет вариантов...да,забыл... весит 30 метров

Нда.... А почему с платки PL2303 идет 3 белых проводка а не два ? вроде GND припаян на прямую, RX и TX понятно а что еще за третий провод ? И мог бы на финальной схеме пометить хотя бы какой провод TX, а какой RX - было бы гораздо проще и мог бы свой рабочий девайс сфоткать а то я так и не понял в финальной фотке у тебя диоды или резисторы ? И если я правильно понял то нужна микросхема стандартной логики И-НЕ - может так проще народу искать будет....