Pandora (unbricker/downgrader) для PSP-200X TA-088v3

[ErikPshat]

Сервисный комплект для PSP-200X
(включая TA-088v3)

{ НИЧЕГО НЕ ПРОДАЁМ / NO SALES HERE }

После удачного взлома и последующей длительной заморозки в скрытом разделе темы:
"Размышления о возможностях взлома ТА88v3"
было решено, что настало время её разморозить и отдать "в народ".
Дабы не нарушать хронологию "размышлений по взлому", инструкция выложена в шапке отдельной темой.

Первое видео от Yoti

Новое видео подтверждение работы сервисной карты JigKick на PSP-2006 TA-088v3!

Комплект сервисной карты и MSID Dumper:

• Service_memstick_TA-088v3.zip
  
• MSID Dumper & SRC.zip

Структура папок в архиве:

• Extracted Files Original - все оригинальные извлечённые файлы с образа - по сути комплект сервисной карты (файловая копия карты).
• MSID 512mb Original - это дамп MSPro ID оригинальной сервисной карты, снятый с помощью MSID Dumper (сервисная область).
• Original Dump MS - полный образ сервисной карты в формате IMG. Можно посмотреть через WinHex (raw копия карты).
• Write IPL to MS - утилита записи сервисного IPL-загрузчика в 16-ый сектор карты памяти. Сам IPL уже там тоже лежит: multiloader_ipl.bin.

Изготовление волшебной сервисной карты:

1. Необходима карта MS PRO DUO неоригинал на 512 Мб, 2 Гб или 4 Гб.
2. Оригинал SONY не подходит, т.к. имеет свои чипы нанда и к ним нет спецификаций (даташита) и программаторов.
   
   Такие оригиналы НЕ подходят

   Это MS PRO DUO Mark2.
   Контроллёр, микросхема и плата залиты в один монолитный корпус, даташитов к ним нет и программатор к ним не найдёшь.
   
   1.jpg
   
   2.jpg
3. Скачиваем "MSID Dumper", вставляем карту памяти в PSP и запускаем программу. Видим на экране номер "Серийный номер" и MSProID вашей карточки и записываем, хотя дамп области MSID всё равно сохранится в корне карты памяти и вы можете его потом посмотреть хекс-редактором. Это вам может пригодиться, когда вы будете искать данные MSID в дампе микросхемы.
4. Тонким скальпелем располовиниваем корпус карты памяти пополам. Не поностью, а только заднюю часть и чуть больше половины по краям.
5. Затем пинцетом достаём из корпуса плату, она не приклеена, а просто лежит в пазах.
6. Из платы выпаиваем микросхему памяти (nand), которая самая большая и имеет 48 ножек. Рядом находится небольшой квадратный контроллёр памяти, его не трогаем.
   
   
   Подходящие карты памяти и nand

   3.jpg
   
   4.jpg
   
   5.jpg
   
   6.jpg
7. Вставляем микросхему в программатор с панелькой TSOP-48 под эту микросхему: http://www.soft-center.ru/reader/
8. Нужно учитывать, что с виду карты одинаковые, но внутри могут быть разные нанды, например Hynix или Samsung. Поэтому под вашу микросхему уже потом ищется программатор. Смотрим список поддерживаемых микросхем: http://www.soft-center.ru/reader/NAND_List.php.
   Hynix, насколько я знаю, практически все имеют одинаковый стандарт выводов по даташиту среди TSOP-48, поэтому если буквы или цифры немного отличаются от списка поддерживаемых моделей, то это вряд ли имеет значение.
9. Микросхема вставляется в панельку программатора очень просто. Панелька имеет конструкцию прищепки, нажимаем сверху, контакты отходят, ставится микросхема и отпускаем, контакты прижимаются к ножкам микросхемы.
10. Далее, программатор подключается к компьютеру, с заранее установленной программой и драйверами, поставляемыми с программатором. В программе указывается диапазон страниц, которые нужно сдампить и дампится часть памяти.
11. Сразу дампить 2 Гб всей памяти очень долго, да и не нужно. Сразу скажу, что нужная нам служебная область, где прописан MSID карты находится либо в самом начале, либо в самом конце микросхемы, обычно в 1-ом банке и не далее 3-4 блоков. Рекомендую сдампить сразу 4 блока - это 256 страниц или 0x100 в шестнадцатеричном виде, что и нужно указывать в диапазоне.
12. Открываем файл дампа в хекс-редакторе. Вводим в поиск, что нужно искать, а именно кусок хекс-кода MSID: 4D535053, что в буквенном выражении означает первые четыре аббревиатуры MSPS(NY0/DK0/XX0), то есть, это часть 16-значного ключа MSID, которая у всех карт памяти MS PRO DUO одинаковая.
    
    
    Скриншот MSID

    Это логическая область с MSID, снятая программой MSID Dumper, сохраняющаяся в корне карты памяти в файл. По структуре она не имеет ничего общего с настоящей областью MSID, которая находится в физическом чипе памяти.
    Требуется только для определения номера MSID для поиска в сыром RAW-дампе ципа карты памяти.
    Не путать с оригинальным RAW-дампом(снятым программатором)!
    
    MSID.png
    
    Это предварительная настройка снятия области дампа в программаторе "Тритон"
    
    HY27UY08AG5M.png
    
    Так выглядет оригинальная сервисная область MSID, сдампленная программатором.
    Обратите внимание, что она выглядет совсем иначе, нежели на первом рисунке, снятом программой для PSP - "MSID Dumper".
    
    

    • В стартовом секторе содержится серийный номер и MSID.
    • Далее идут 3 пустых сектора, полностью заполненных FFFFFFFF.
    • Затем идёт сектор, где указывается фрмат и размер карты памяти.

    
    
    HY27UH08AG5M.png
13. Найдя искомое, меняем 16-значный ID данной карты на ID сервисной. Необходимый код ID вы найдёте в папке "MSID 512mb Original" в файле ID.txt.
14. После замены ID, не забудьте сохранить файл. Затем обратно вшиваем этот дамп страницы по тому же адресу, откуда сдампили.
15. Впаиваем микросхему на место.
16. Форматируем изготовленную карту памяти на PSP.
17. Из папки "Write IPL to MS" запускаем "install_psp_ms_multi_loader_ipl.cmd"
18. Только после этого, делаем подключение PSP к компьютеру.
19. В окне консоли видим, как определяется флешка и нажимаем английскую "Y"
20. Видим сообщение "Write MS BOOT CODE" - значит всё отлично.
    • Если выдаётся сообщение "Canceled" - значит не ту букву нажали или не в той раскладке.
    • Если выдаётся сообщение "Check free reserved sector : to small reserved sectors" - значит идём изучать эту тему (Способ №2).
21. Монтируем в Хекс-редактор флешку, как физический диск и удостоверяемся, что в 16-ом секторе присутствует знакомый нам IPL.
22. Из папки "Extracted Files Original" копируем содержимое на флешку и идём прошивать брикнутые ТА-088v3 =)

---

1. 1 сектор = занимает 512 байт + 16 байт избыточного кода данных, позиционирования сектора и контрольная сумма ECC в конце каждого сектора.
2. 1 страница = это 4 сектора, т.е. 2048 байт + 64(16х4) служебных байта = 2112 байт.
3. 1 блок = 64 страницы (256 секторов), конечно же вместе с техническими данными. 131072 + 4096 = 135168 байт или 132 килобайта.

Страница спецификации

[ventola]

Сообщение от Yoti gregorio, кстати, видимо стоит выложить "правильную" версию под 3.xx =) P.S. Будет в аттаче этого сообщения. P.P.S. Прикрепил, на 6.39 PRO-B8 пашет отлично.

на 6.20 PRO-B5 тоже отлично работает и все понятно расписано на русском...спасибо за прогу

[Yoti]

Перевод на русский со всеми его ошибками сделан Эриком. Я только правильно портировал на новое ядро.

[ventola]

Сегодня понес нанд Hynix HY27UV08BG5M 4gb человеку...он через тритон+ сливал инфу больше 4 часов ....так и не дождались мы финала...(он похоже вообще далекий от этого...хоть на витрине много разных программаторов у него стоит ...он так и не смог слить мне дамп)...может кто сможет помочь в Киеве...отблагодарю...ну покупать программатор ради этого тоже не хочется...

[Yoti]

Сообщение от ventola ну покупать программатор ради этого тоже не хочется...

И рыбку съесть, и руки не испачкать?

[ventola]

Сообщение от Yoti И рыбку съесть, и руки не испачкать?

через месяц выйдет другое решение и я буду любоваться своим программатором...?
я готов вымазать руки...( у меня руки и так целый день в флюсе и пасте )но к программированию я еще не дорос...

[mycopa]

Кто продаст данный стик в москве ?

[Yoti]

Сообщение от mycopa Кто продаст данный стик в москве ?

Хах, и кто же решит себе конкурента завести?

[Gregorio]

mycopa, какой-то у тебя ник странный.. я даже если-бы захотел, тебе не продал-бы) ахаха

[mycopa]

Сообщение от Yoti Хах, и кто же решит себе конкурента завести?

Просто неохотно покупать ещё один программатор , есть под chipprog40 , а он не хавает (даже через переходник под 48) такую микруху =(. А на счёт конкуренции это помоему бред. Если данная карта есть в паблике , то по моему каждый 3ий , кто занимается данным видом деятельности , в ближайшее время будет конкурентом ближнему =)

Сообщение от gregorio mycopa, какой-то у тебя ник странный.. я даже если-бы захотел, тебе не продал-бы) ахаха

Что странного в нике МайкопА ?

mycopa добавил 23.08.2011 в 22:25
В общем кто продаст пишите в лс , куплю за 3к.

[ventola]

Сообщение от Yoti Хах, и кто же решит себе конкурента завести?

та какие конкуренты? я бы тоже купил..но мне интересно самому ее сделать...(мне пообещали дать программатор на неделю..спрашивают зачем...молчу как партизан))..что самое интересно данной похожей флешой мне подымали плату пол года назад...за 400гр...я ее изучал под микроскопом 2 часа фоткал под оптикой ...плату точно не паяли...спрашиваю как и чем ..морозит что через сервис...это он за час мотнулся в сервис и приехал назад..неверю!!!!

[Yoti]

Сообщение от mycopa Что странного в нике МайкопА ?

Правоохранительные органы типа отмазались =)

Сообщение от mycopa куплю за 3к

Ахаха, мне в своё время килобакс предлагали. Как раз бы себе новый коммуникатор взял, или консолей пачку =)

Сообщение от ventola морозит что через сервис

И? Восстановили сервис картой. Может, с собой была - зачем мотаться куда-либо)))

[labaz]

Может кто подскажет точную маркировку платы этой TA-088v3 ?
Просто мне доводилось встречать только следующие TA-088:
1-876-496-11
1-876-496-21
При том, что 1-876-496-21 АБСОЛЮТНО точно поднимается обычной пандорой, ради интереса сам брикнул и поднял.
Но есть ещё одна 1-876-496-21, которая на батарею пандоры реагирует, но с карты ничего не читает, просто зелёным светит (psp как новая, точно не в плате дело).

Эти версии 1/2 и 3 только процессором отличаются, при абсолютно одинаковой маркировке платы?
Большая просьба к тем у кого есть абсолютно точна версия 3 - посмотрите полную маркировку платы.
Просто хочется не в пустую карту такую начинать делать)
Спасибо.

[ventola]

Сообщение от Yoti И? Восстановили сервис картой. Может, с собой была - зачем мотаться куда-либо)))

так и я об этом сразу подумал...
при встрече недавно ему намекал за карту ...он опять морозит меня))

[Gregorio]

labaz, определить можно только по маркировке проца

ventola, в Киеве карта была, да ск для трёшек в Киеве тоже есть

gregorio добавил 24.08.2011 в 12:11

Сообщение от mycopa В общем кто продаст пишите в лс , куплю за 3к.

рассмешил) ты подумал хотя-бы о себестоимости карты? сколько затрат будет на подходящую карту, программатор.. сколько труда потрачено будет на изготовление...

делай сам, если тебе это нужно. инструкция более или чем полная.

я вот например для создания данного инструмента потратил немеренно денег. из сотни китайских карт вышла только одна рабочая.. так что удачи в изготовлении.

[labaz]

Сообщение от gregorio из сотни китайских карт вышла только одна рабочая..

Ого, а в чём загвоздка была?
Может подскажешь какая подошла, контроллер и нанд какие стояли?

[Yoti]

Сообщение от labaz Ого, а в чём загвоздка была?

Вот пришли бы к тебе домой в твоё отсутствие люди, и заменили бы плазменную панель на телевизор "Горизонт". Ты бы стал сидеть дома или побежал бы разбираться? Вот и карта "бегает".

[Gregorio]

labaz, не все контроллеры на китайских стиках поддерживают изменение msid.
и ещё большая проблема со считыванием и записью nand. нанды бракованые все ставились, соответственно считываются и пишутся они с ошибками. те как повезёт, иногда всё может подходить, но может неправильно записаться.

а карты.. на 2 гига нужны.. больше ничего не скажу, сами додумаетесь.

P.S. и кстати. часто контроллер обнаруживает подмену msid и карта умирает. и снова надо делать на новой карте всё заново

gregorio добавил 24.08.2011 в 12:39
ну на самом деле карт я купил всего около трёхсот с лишним штук) из них подходящих было штук 12, заработало нормально 4 только, все остальные погибли. и эти 4 сдохли уже. так что сложно с ними всё

[sashapv19]

gregorio,
а я заказал 2 шт и обе сделались как надо.
Наверно мне повезло.

[labaz]

Сообщение от sashapv19 gregorio, а я заказал 2 шт и обе сделались как надо. Наверно мне повезло.

А что за контроллеры стояли и нанды?

[sashapv19]

hynix какие то... у меня уже нет этих флешек продал, но могу дать ссыль где покупал. Может поможет.