Pandora (unbricker/downgrader) для PSP-200X TA-088v3

[ErikPshat]

Сервисный комплект для PSP-200X
(включая TA-088v3)

{ НИЧЕГО НЕ ПРОДАЁМ / NO SALES HERE }

После удачного взлома и последующей длительной заморозки в скрытом разделе темы:
"Размышления о возможностях взлома ТА88v3"
было решено, что настало время её разморозить и отдать "в народ".
Дабы не нарушать хронологию "размышлений по взлому", инструкция выложена в шапке отдельной темой.

Первое видео от Yoti

Новое видео подтверждение работы сервисной карты JigKick на PSP-2006 TA-088v3!

Комплект сервисной карты и MSID Dumper:

• Service_memstick_TA-088v3.zip
  
• MSID Dumper & SRC.zip

Структура папок в архиве:

• Extracted Files Original - все оригинальные извлечённые файлы с образа - по сути комплект сервисной карты (файловая копия карты).
• MSID 512mb Original - это дамп MSPro ID оригинальной сервисной карты, снятый с помощью MSID Dumper (сервисная область).
• Original Dump MS - полный образ сервисной карты в формате IMG. Можно посмотреть через WinHex (raw копия карты).
• Write IPL to MS - утилита записи сервисного IPL-загрузчика в 16-ый сектор карты памяти. Сам IPL уже там тоже лежит: multiloader_ipl.bin.

Изготовление волшебной сервисной карты:

1. Необходима карта MS PRO DUO неоригинал на 512 Мб, 2 Гб или 4 Гб.
2. Оригинал SONY не подходит, т.к. имеет свои чипы нанда и к ним нет спецификаций (даташита) и программаторов.
   
   Такие оригиналы НЕ подходят

   Это MS PRO DUO Mark2.
   Контроллёр, микросхема и плата залиты в один монолитный корпус, даташитов к ним нет и программатор к ним не найдёшь.
   
   1.jpg
   
   2.jpg
3. Скачиваем "MSID Dumper", вставляем карту памяти в PSP и запускаем программу. Видим на экране номер "Серийный номер" и MSProID вашей карточки и записываем, хотя дамп области MSID всё равно сохранится в корне карты памяти и вы можете его потом посмотреть хекс-редактором. Это вам может пригодиться, когда вы будете искать данные MSID в дампе микросхемы.
4. Тонким скальпелем располовиниваем корпус карты памяти пополам. Не поностью, а только заднюю часть и чуть больше половины по краям.
5. Затем пинцетом достаём из корпуса плату, она не приклеена, а просто лежит в пазах.
6. Из платы выпаиваем микросхему памяти (nand), которая самая большая и имеет 48 ножек. Рядом находится небольшой квадратный контроллёр памяти, его не трогаем.
   
   
   Подходящие карты памяти и nand

   3.jpg
   
   4.jpg
   
   5.jpg
   
   6.jpg
7. Вставляем микросхему в программатор с панелькой TSOP-48 под эту микросхему: http://www.soft-center.ru/reader/
8. Нужно учитывать, что с виду карты одинаковые, но внутри могут быть разные нанды, например Hynix или Samsung. Поэтому под вашу микросхему уже потом ищется программатор. Смотрим список поддерживаемых микросхем: http://www.soft-center.ru/reader/NAND_List.php.
   Hynix, насколько я знаю, практически все имеют одинаковый стандарт выводов по даташиту среди TSOP-48, поэтому если буквы или цифры немного отличаются от списка поддерживаемых моделей, то это вряд ли имеет значение.
9. Микросхема вставляется в панельку программатора очень просто. Панелька имеет конструкцию прищепки, нажимаем сверху, контакты отходят, ставится микросхема и отпускаем, контакты прижимаются к ножкам микросхемы.
10. Далее, программатор подключается к компьютеру, с заранее установленной программой и драйверами, поставляемыми с программатором. В программе указывается диапазон страниц, которые нужно сдампить и дампится часть памяти.
11. Сразу дампить 2 Гб всей памяти очень долго, да и не нужно. Сразу скажу, что нужная нам служебная область, где прописан MSID карты находится либо в самом начале, либо в самом конце микросхемы, обычно в 1-ом банке и не далее 3-4 блоков. Рекомендую сдампить сразу 4 блока - это 256 страниц или 0x100 в шестнадцатеричном виде, что и нужно указывать в диапазоне.
12. Открываем файл дампа в хекс-редакторе. Вводим в поиск, что нужно искать, а именно кусок хекс-кода MSID: 4D535053, что в буквенном выражении означает первые четыре аббревиатуры MSPS(NY0/DK0/XX0), то есть, это часть 16-значного ключа MSID, которая у всех карт памяти MS PRO DUO одинаковая.
    
    
    Скриншот MSID

    Это логическая область с MSID, снятая программой MSID Dumper, сохраняющаяся в корне карты памяти в файл. По структуре она не имеет ничего общего с настоящей областью MSID, которая находится в физическом чипе памяти.
    Требуется только для определения номера MSID для поиска в сыром RAW-дампе ципа карты памяти.
    Не путать с оригинальным RAW-дампом(снятым программатором)!
    
    MSID.png
    
    Это предварительная настройка снятия области дампа в программаторе "Тритон"
    
    HY27UY08AG5M.png
    
    Так выглядет оригинальная сервисная область MSID, сдампленная программатором.
    Обратите внимание, что она выглядет совсем иначе, нежели на первом рисунке, снятом программой для PSP - "MSID Dumper".
    
    

    • В стартовом секторе содержится серийный номер и MSID.
    • Далее идут 3 пустых сектора, полностью заполненных FFFFFFFF.
    • Затем идёт сектор, где указывается фрмат и размер карты памяти.

    
    
    HY27UH08AG5M.png
13. Найдя искомое, меняем 16-значный ID данной карты на ID сервисной. Необходимый код ID вы найдёте в папке "MSID 512mb Original" в файле ID.txt.
14. После замены ID, не забудьте сохранить файл. Затем обратно вшиваем этот дамп страницы по тому же адресу, откуда сдампили.
15. Впаиваем микросхему на место.
16. Форматируем изготовленную карту памяти на PSP.
17. Из папки "Write IPL to MS" запускаем "install_psp_ms_multi_loader_ipl.cmd"
18. Только после этого, делаем подключение PSP к компьютеру.
19. В окне консоли видим, как определяется флешка и нажимаем английскую "Y"
20. Видим сообщение "Write MS BOOT CODE" - значит всё отлично.
    • Если выдаётся сообщение "Canceled" - значит не ту букву нажали или не в той раскладке.
    • Если выдаётся сообщение "Check free reserved sector : to small reserved sectors" - значит идём изучать эту тему (Способ №2).
21. Монтируем в Хекс-редактор флешку, как физический диск и удостоверяемся, что в 16-ом секторе присутствует знакомый нам IPL.
22. Из папки "Extracted Files Original" копируем содержимое на флешку и идём прошивать брикнутые ТА-088v3 =)

---

1. 1 сектор = занимает 512 байт + 16 байт избыточного кода данных, позиционирования сектора и контрольная сумма ECC в конце каждого сектора.
2. 1 страница = это 4 сектора, т.е. 2048 байт + 64(16х4) служебных байта = 2112 байт.
3. 1 блок = 64 страницы (256 секторов), конечно же вместе с техническими данными. 131072 + 4096 = 135168 байт или 132 килобайта.

Страница спецификации

[KirJan-DeSign]

Сообщение от Per7ik какая будет стоимость ремонта, получил брык psp ta-088v3

сам комплект для самоличного анбрикера обойдётся около 20000$, если пересылать в Москву, то сумма за пересыл туда-обратно + за анбрик (за работу) 300$.

[alex1216]

Сообщение от KirJan-DeSign сумма за пересыл туда-обратно + за анбрик (за работу) 300$.

По твоему почта так хорошо зарабатывает на горе людей? - тыц...

[psgamer]

Раз на мемори стиках нет открытого метода получить полный дамп(включая сервисную область) на компьютере, то тогда может быть что-то сможет подсказать дамп microsd из переходника? Можно ли его полным получить(или напрямую, или по spi)? Если да - может ли переходник tf в msproduo при установке флешки писать в её сервисную область этот самый участок? Или же он в себе его хранит?

Хотя скорее всего нет. При подключении без флешки компьютер определяет кардридер как "устройство без носителя", т.е служебная область действительно находится в самом преобразователе. Про дамп я спрашивал, так как хотел попробовать снять его именно в этом состоянии

[lupus]

Сообщение от Per7ik кто из украины/киев - помогите плиз какая будет стоимость ремонта, получил брык psp ta-088v3

Ищи Тюленя на профильных киевских сайтах, он вроде предоставлял услугу. Не знаю правда сам или или посредничает. Короче известный барыга в определённых кругах.

[Yokel]

Китайцам бы начть штамповать переходники для Micro SD с нашим MSID и вообще замечательно бы было!

[psgamer]

Предположу, что не сделают, так как клепают всё по одному образу(явно слитому с одной из официальных карт сони). И у китайского ноунейм-переходника, и у photofast-а сr5400 msid одинаков:

20 4D 53 50 53 4E 59 30 00 79 2C 03 D7 AB 00 00

[Yokel]

Сори за глупый вопрос, а кто-нибудь пробовал ковырять саму пандору сервисную, чтобы изменить в ней MSID на свой?

[kannibal]

Сообщение от Yokel Китайцам бы начть штамповать переходники для Micro SD с нашим MSID и вообще замечательно бы было!

Как? Может для Micro M2. Да и то , переходник будет будет брать по идее MSID с самой карты.

[ErikPshat]

Сообщение от Yokel Сори за глупый вопрос, а кто-нибудь пробовал ковырять саму пандору сервисную, чтобы изменить в ней MSID на свой?

Вопрос действительно глупый )))
В сервисной пандоре нету никакого MSID. Просто все файлы пандоры зашифрованы этим паролем MSID.

Можно поступить другим способом. Сдампить MSID со своей новой карточки и переподписать все файлы этим своим паролем MSID )))

Есть ещё другая мысля. Какой-то ведь файл считывает MSID карточки для расшифровки других файлов. И этот файл явно не подписан этим MSID, т.к. иначе он не сможет сам расшифроваться, чтобы расшифровать другие файлы.
Нужно просто в этом файле сменить считывание MSID с карточки на считывание MSID из другого текстового файла )))

[psgamer]

А с какого конкретно файла начинает грузится пандора известно?

Кстати, эта информация может быть вшита куда-нибудь в прошивку и в файлах пандоры её искать бесполезно. Кстати эта модифицированная пандора на фатках работает?

Да и ещё одно - есть способ файлы расшифровать(я не говорю про запаковку, просто расшифровка)?

UPD: а чем отличаются от остальных файлы %\prx\usersystemlib.prx.enc и %\prx\jigkick.prx.enc (их вызов начинается с процента в pspbtcnf.txt)?

[Yoti]

Сообщение от kannibal Как? Может для Micro M2. Да и то , переходник будет будет брать по идее MSID с самой карты.

Идея у него верная, вообще-то. Ещё бы только она не обсуждалась уже сто раз ранее.

Сообщение от ErikPshat Какой-то ведь файл считывает MSID карточки для расшифровки других файлов.

Я фигею с того, что именно ты такое пишешь. IPL же.

Сообщение от psgamer А с какого конкретно файла начинает грузится пандора известно?

Учим мат.часть.

Сообщение от psgamer Да и ещё одно - есть способ файлы расшифровать(я не говорю про запаковку, просто расшифровка)?

Есть.

[psgamer]

Прав ли я, что, согласно информации из этого файла(конкретно со страницы 26), команды на запись сервисной области карта памяти не имеет вообще(есть команда read_atrb, но нету write_atrb)?

https://www.oss-formats.org/en/memor...licensee_e.pdf

Да и ещё один вопрос: для большого количества флешек(обычных, usb) есть достаточное количество программного обеспечения для работы с сервисной областью. При этом, я думаю, сервисная область тоже редактируется и, возможно, при редактировании пересчитывается ecc. Может лучше подобрать флешку, для контроллера которой есть такие программы, и шить нанд с её помощью, а не программатора.

Да и ещё. Достаточно давно собирал для некоторой надобности программатор EZoFlash http://www.ezoflash.com/ezoflash.htm. Подойдёт ли он для прошивания нандов(схемы адаптеров на сайте есть)? Смущает то, что в willem eprom список поддерживаемых типов flash содержит не так и много названий. Также из доступных в интернете есть программатор ss cloner 1, пробовал ли кто-то применять его для этой цели?

PS: Остался от подходящей флешки(флешек) номер msid? Если да - можете выложить. Просто он может помочь опознать флешку с нандом, а не адаптер с microsd в том же корпусе.

PPS: Можно ли дампер записать в flash0, чтобы можно было без копирования на новую флешку запускать?

[ErikPshat]

Сообщение от Yoti Я фигею с того, что именно ты такое пишешь. IPL же.

Написал первое(идею), что пришло в голову. Потом конечно(во сне) дошло.

Сообщение от psgamer (есть команда read_atrb, но нету write_atrb)?

Из спецификации:

• READ_ATRB = XXh
• WRITE_DATA = XXh

Есть ещё такие команды:

• WRITE_LONG_DATA - X - Transfer long length data to Data Buffer
• WRITE_SHORT_DATA* - X - Transfer short length data to Data Buffer
• WRITE_REG - X - Write Registers
• SET_R/W_REG_ADRS - X - Address setting of READ_REG/WRITE_REG

READ_LONG_DATA   - Transfer long length data from Data Buffer on a Memory Stick PRO to a host product.

READ_SHORT_DATA  - Transfer short length data from Data Buffer on a Memory Stick PRO to a host product.

READ_REG         - Transfer data from the Register of which address is set on a Memory Stick PRO to a host product.
                   Address and data length are set by SET_R/W_REG_ADRS.

GET_INT          - Transfer data from INT Register on a Memory Stick PRO to a host product.

WRITE_LONG_DATA  - Transfer long length data to Data Buffer on a Memory Stick PRO from a host product.

WRITE_SHORT_DATA - Transfer short length data to Data Buffer on a Memory Stick PRO from a host product.

WRITE_REG        - Transfer data to Register of which address is set on a Memory Stick PRO from a host product.
                   Address and data length are set by SET_R/W_REG_ADRS.

SET_R/W_REG_ADRS - Transfer READ_ADRS, READ_SIZE, WRITE_ADRS and WRITE_SIZE to SET_R/W_REG_ADRS Registers.

[Behemothk]

Возможно задам глупый вопрос - пожалуйста сразу не ругайте
Если я правильно понял, в переходниках с микросд можно тоже поменять MSID (если дружишь с программаторами и руками).
Если это так, то переходник будет работать в режиме сервисной карты независимо от конкретной вставленной микросд карты?

P.S. Если есть специалисты из Казани, пожалуйста стукните в личку.

[psgamer]

Для этого нужно знать что за микросхема в адаптере и как её считать. Предполагаю, что это сработает на старых адаптерах, где микросхема eeprom припаяна отдельно. Правда я такой переходник видел только на фотографии

psgamer добавил 10.03.2012 в 12:49
ErikPshat, эти команды не подойдут. Файл, что я приложил смотрел? Там написано, что они только для user area. Куда более интересны с моей точки зрения команды :

SET_IBD - Write Information Block Data
GET_IBD - Read Information Block Data

[Behemothk]

Еще один глупый вопрос.
Если я правильно понял (несколько туго с английским) с помощью этой команды SET_R/W_REG_ADRS можно указать конкретный адрес для записи командой WRITE_REG? Вопрос собственно в том - позволяет ли эта команда задать адрес во всем пространстве или только в области относящейся к Register?

[Yoti]

Сообщение от Behemothk Если я правильно понял, в переходниках с микросд можно тоже поменять MSID (если дружишь с программаторами и руками).

Нет, пока не нашли такой.

Сообщение от Behemothk Если это так, то переходник будет работать в режиме сервисной карты независимо от конкретной вставленной микросд карты?

Да.

---

Сообщение от psgamer Файл, что я приложил смотрел?

Он весь до дыр зачитан ещё год назад.

[psgamer]

Он весь до дыр зачитан ещё год назад.

Честно говоря, даже не сомневался

Не совсем в тему темы(прошу прощения за тавтологию ), но что за проект neuros-bsp? Пояснений что это такое я в интернете не нашёл, но там есть файл описания команд и регистров для memory stick-ов: https://svn2.neurostechnology.com/ne...em_stick_reg.h
Насколько я понял, все файлы по мемори стикам лежат тут: https://svn2.neurostechnology.com/ne...lude/linux/ms/

Может(и скорее всего), никакой реальной ценности для пандоры в этом нет, но вдруг пргодится.

[Yoti]

Сообщение от psgamer но что за проект neuros-bsp?

Сообщение от http://www.neurostechnology.com/ The Neuros LINK is an open device that connects your TV to the Internet.

Сообщение от psgamer есть файл описания команд и регистров для memory stick-ов

У меня такого полно. Считай, что это драйвера для работы с карточками.

[psgamer]

На wololo увидел цитату ErikPshat-а:

There are also many programs that are able to take full and accurate NAND-DUMP with an internal memory of PSP (32 Mb FAT or 64 Mb SLIM), such as: * DDC * nandTool 0.4 Final NEO * nand-currency v1.0 * and etc.

I would like to know if anyone has the source code of these programs?

И хочу спросить: так есть же сурс, по крайней мере одной из этих программ. Неужели и он не помог?
Сурс я нашёл от nand currency, лежит на японской части sourceforge-a: http://sourceforge.jp/projects/sfnet_nandcurrency/
Почти прямая ссылка на сурс: http://sourceforge.jp/projects/sfnet...loads/SRC.zip/

Прошу прощения, если эту информацию уже сто лет как видели и обсудили, в этой теме обсуждения я не видел(или не заметил)