Pandora (unbricker/downgrader) для PSP-200X TA-088v3

[ErikPshat]

Сервисный комплект для PSP-200X
(включая TA-088v3)

{ НИЧЕГО НЕ ПРОДАЁМ / NO SALES HERE }

После удачного взлома и последующей длительной заморозки в скрытом разделе темы:
"Размышления о возможностях взлома ТА88v3"
было решено, что настало время её разморозить и отдать "в народ".
Дабы не нарушать хронологию "размышлений по взлому", инструкция выложена в шапке отдельной темой.

Первое видео от Yoti

Новое видео подтверждение работы сервисной карты JigKick на PSP-2006 TA-088v3!

Комплект сервисной карты и MSID Dumper:

• Service_memstick_TA-088v3.zip
  
• MSID Dumper & SRC.zip

Структура папок в архиве:

• Extracted Files Original - все оригинальные извлечённые файлы с образа - по сути комплект сервисной карты (файловая копия карты).
• MSID 512mb Original - это дамп MSPro ID оригинальной сервисной карты, снятый с помощью MSID Dumper (сервисная область).
• Original Dump MS - полный образ сервисной карты в формате IMG. Можно посмотреть через WinHex (raw копия карты).
• Write IPL to MS - утилита записи сервисного IPL-загрузчика в 16-ый сектор карты памяти. Сам IPL уже там тоже лежит: multiloader_ipl.bin.

Изготовление волшебной сервисной карты:

1. Необходима карта MS PRO DUO неоригинал на 512 Мб, 2 Гб или 4 Гб.
2. Оригинал SONY не подходит, т.к. имеет свои чипы нанда и к ним нет спецификаций (даташита) и программаторов.
   
   Такие оригиналы НЕ подходят

   Это MS PRO DUO Mark2.
   Контроллёр, микросхема и плата залиты в один монолитный корпус, даташитов к ним нет и программатор к ним не найдёшь.
   
   1.jpg
   
   2.jpg
3. Скачиваем "MSID Dumper", вставляем карту памяти в PSP и запускаем программу. Видим на экране номер "Серийный номер" и MSProID вашей карточки и записываем, хотя дамп области MSID всё равно сохранится в корне карты памяти и вы можете его потом посмотреть хекс-редактором. Это вам может пригодиться, когда вы будете искать данные MSID в дампе микросхемы.
4. Тонким скальпелем располовиниваем корпус карты памяти пополам. Не поностью, а только заднюю часть и чуть больше половины по краям.
5. Затем пинцетом достаём из корпуса плату, она не приклеена, а просто лежит в пазах.
6. Из платы выпаиваем микросхему памяти (nand), которая самая большая и имеет 48 ножек. Рядом находится небольшой квадратный контроллёр памяти, его не трогаем.
   
   
   Подходящие карты памяти и nand

   3.jpg
   
   4.jpg
   
   5.jpg
   
   6.jpg
7. Вставляем микросхему в программатор с панелькой TSOP-48 под эту микросхему: http://www.soft-center.ru/reader/
8. Нужно учитывать, что с виду карты одинаковые, но внутри могут быть разные нанды, например Hynix или Samsung. Поэтому под вашу микросхему уже потом ищется программатор. Смотрим список поддерживаемых микросхем: http://www.soft-center.ru/reader/NAND_List.php.
   Hynix, насколько я знаю, практически все имеют одинаковый стандарт выводов по даташиту среди TSOP-48, поэтому если буквы или цифры немного отличаются от списка поддерживаемых моделей, то это вряд ли имеет значение.
9. Микросхема вставляется в панельку программатора очень просто. Панелька имеет конструкцию прищепки, нажимаем сверху, контакты отходят, ставится микросхема и отпускаем, контакты прижимаются к ножкам микросхемы.
10. Далее, программатор подключается к компьютеру, с заранее установленной программой и драйверами, поставляемыми с программатором. В программе указывается диапазон страниц, которые нужно сдампить и дампится часть памяти.
11. Сразу дампить 2 Гб всей памяти очень долго, да и не нужно. Сразу скажу, что нужная нам служебная область, где прописан MSID карты находится либо в самом начале, либо в самом конце микросхемы, обычно в 1-ом банке и не далее 3-4 блоков. Рекомендую сдампить сразу 4 блока - это 256 страниц или 0x100 в шестнадцатеричном виде, что и нужно указывать в диапазоне.
12. Открываем файл дампа в хекс-редакторе. Вводим в поиск, что нужно искать, а именно кусок хекс-кода MSID: 4D535053, что в буквенном выражении означает первые четыре аббревиатуры MSPS(NY0/DK0/XX0), то есть, это часть 16-значного ключа MSID, которая у всех карт памяти MS PRO DUO одинаковая.
    
    
    Скриншот MSID

    Это логическая область с MSID, снятая программой MSID Dumper, сохраняющаяся в корне карты памяти в файл. По структуре она не имеет ничего общего с настоящей областью MSID, которая находится в физическом чипе памяти.
    Требуется только для определения номера MSID для поиска в сыром RAW-дампе ципа карты памяти.
    Не путать с оригинальным RAW-дампом(снятым программатором)!
    
    MSID.png
    
    Это предварительная настройка снятия области дампа в программаторе "Тритон"
    
    HY27UY08AG5M.png
    
    Так выглядет оригинальная сервисная область MSID, сдампленная программатором.
    Обратите внимание, что она выглядет совсем иначе, нежели на первом рисунке, снятом программой для PSP - "MSID Dumper".
    
    

    • В стартовом секторе содержится серийный номер и MSID.
    • Далее идут 3 пустых сектора, полностью заполненных FFFFFFFF.
    • Затем идёт сектор, где указывается фрмат и размер карты памяти.

    
    
    HY27UH08AG5M.png
13. Найдя искомое, меняем 16-значный ID данной карты на ID сервисной. Необходимый код ID вы найдёте в папке "MSID 512mb Original" в файле ID.txt.
14. После замены ID, не забудьте сохранить файл. Затем обратно вшиваем этот дамп страницы по тому же адресу, откуда сдампили.
15. Впаиваем микросхему на место.
16. Форматируем изготовленную карту памяти на PSP.
17. Из папки "Write IPL to MS" запускаем "install_psp_ms_multi_loader_ipl.cmd"
18. Только после этого, делаем подключение PSP к компьютеру.
19. В окне консоли видим, как определяется флешка и нажимаем английскую "Y"
20. Видим сообщение "Write MS BOOT CODE" - значит всё отлично.
    • Если выдаётся сообщение "Canceled" - значит не ту букву нажали или не в той раскладке.
    • Если выдаётся сообщение "Check free reserved sector : to small reserved sectors" - значит идём изучать эту тему (Способ №2).
21. Монтируем в Хекс-редактор флешку, как физический диск и удостоверяемся, что в 16-ом секторе присутствует знакомый нам IPL.
22. Из папки "Extracted Files Original" копируем содержимое на флешку и идём прошивать брикнутые ТА-088v3 =)

---

1. 1 сектор = занимает 512 байт + 16 байт избыточного кода данных, позиционирования сектора и контрольная сумма ECC в конце каждого сектора.
2. 1 страница = это 4 сектора, т.е. 2048 байт + 64(16х4) служебных байта = 2112 байт.
3. 1 блок = 64 страницы (256 секторов), конечно же вместе с техническими данными. 131072 + 4096 = 135168 байт или 132 килобайта.

Страница спецификации

[Vita Amiko]

AFGANISTAN85, что это за чудо такое
Вот такое?

Ну вроде бы чип определяется или это вы сами вписали идентификатор? Там красным вам пишет, что возможно контакты плохие. Вы ножки микросхемы хорошо почистили от флюса до металлического блеска натфилем?

[AFGANISTAN85]

Идентификатор вроде определяется. Когда не контакт пина, справа на картинке показывает где не контакт.

[Vita Amiko]

AFGANISTAN85, ну а что с контактами? Вы же в курсе, что флюс или лак на ножках электричество не проводят?
Пробуйте выбирать из списка другие модели, возможно по схемотехнике какой-нибудь подойдёт. Либо ищите даташит на ваш чип Самсунг в инете и проверяйте все контакты с теми, что имеются в списке или по паспорту, там скорее всего к вашему программатору для каждой микросхемы прилагаются в программе Конфиги, в которых прописаны данные для каждой лапки.

[Yoti]

AFGANISTAN85,
на экране чётко написано, что можно сделать.

[Vita Amiko]

Сообщение от AFGANISTAN85 Вскрыл флешку, а там чип Samsung k9lag08u0m

Надеюсь вы уже нашли даташит к своей микросхеме?
Вот к примеру здесь есть:

http://www.radioradar.net/datasheet_...onics.pdf.html
http://www.radioradar.net/files.html?fid=604472

Там смоторите номера задействованных ножек и напротив них их действия, типа земля groung, Vcc, Vss и всё такое. Скопируйте какой-нибудь подобный конфиг, поправьте значения в соответствиии с вашей микросхемой и сохраните его под названием вашего чипа. Тогда по-идее микруха должна считываться правильно, если правильно подали и указали питание, контакты земли и передачи данных. Там же всё элементарно.

[AFGANISTAN85]

Сообщение от Vita Amiko Надеюсь вы уже нашли даташит к своей микросхеме? Вот к примеру здесь есть: http://www.radioradar.net/datasheet_...onics.pdf.html http://www.radioradar.net/files.html?fid=604472 Там смоторите номера задействованных ножек и напротив них их действия, типа земля groung, Wcc, Wss и всё такое. Скопируйте какой-нибудь подобный конфиг, поправьте значения в соответствиии с вашей микросхемой и сохраните его под названием вашего чипа. Тогда по-идее микруха должна считываться правильно, если правильно подали и указали питание, контакты земли и передачи данных. Там же всё элементарно.

Элементарно для тех, кто в программировании хорошо разбирается). Я кое-что делаю по мануалам. Но так хорошо как Вы, я не разбираюсь. Максимум с чем я имел дело, это unbrick/downgrade ps3, freeboot xbox 360, чиповка ps2, и прошивка айпадов, айфонов и psp. И это всё по написанным кем-то инструкциям. Шил glitch чипы для freeboot по lpt, но там всё проще.

Но Вам всем огромное Спасибо! Буду пытаться разобраться.

[AFGANISTAN85]

Зачищал надфилем ножки флешки, выбирал разные модели чипов, ошибка прежняя. Конфиг не нашёл. Может адаптер косячный. Попробую пропаять адаптер.

[AFGANISTAN85]

Похоже косяк адаптера. Нашёл флешку от Китайского планшета, та же ошибка.

[Vita Amiko]

AFGANISTAN85, наврят ли косяк в адаптере. Это всего-лишь инструмент считывания флешек в умелых руках. А если руки не умелые, тогда это просто игрушка, где можно играться до бесконечности, наугад там что-то меняя, ничего не понимая, авось что-то прокатит

Нужно правильно конфиг создать, правильно указать, на какие ножки питание подавать, там плюс и минус, с каких ножек данные снимать. И конфиги там есть к каждой микросхеме, только так и работают все программаторы, я даже вижу на скриншоте кнопки по загрузке и редактированию конфигов.

Там есть внизу вкладка Config, есть справа кнопка Выбрать файл, есть кнопка Сохранить в файл, где "Конфигурация микросхемы".

[AFGANISTAN85]

Про конфиги нашёл сегодня. Но я выбирал схожий чип, и та же ошибка. И на другой флешке тоже самое. Про назначение пинов я в курсе. Занимался с нандами пс3 фат. Легче наверное будет припаяться проводами к тинси.

[Vita Amiko]

Сообщение от AFGANISTAN85 Занимался с нандами пс3 фат.

Вот, на PS3 нанды те же самые, что и в этих картах памяти для PSP, разница только в объёмах

[koliambia]

AFGANISTAN85, Смотрите в сторону чипа hynix.Программатор ваш имеет базу и должен с ним работать.

[AFGANISTAN85]

Сообщение от koliambia AFGANISTAN85, Смотрите в сторону чипа hynix.Программатор ваш имеет базу и должен с ним работать.

Я надеялся что будет hynix, но попался samsung. Я эту то флешку еле нашёл). Буду паяться к тинси, и снимать нанд через него.

[Yoti]

Ну что, вот и криптовка подоспела: https://github.com/zecoxao/decrypt_sp

[ErikPshat]

Yoti, круто! То есть, можно переподписать файлы официального сервисного комплекта под любую карту памяти с любым MSID?

[Yoti]

ErikPshat,
люди проверяли с гиговой официальной Сони - работает. Никакой пайки, всё программно.

[ErikPshat]

Yoti, отлично! Только добавил бы ты в шапку этот декриптор-энкриптор, а то я его собрать не могу, никак не могу побороть ошибку с mkdir:

$ make
gcc -Iinclude main.c -Llib -lkirk -o decrypt_sp
main.c: In function 'main':
main.c:550:3: error: too many arguments to function 'mkdir'
c:\psdk3v2\mingw\bin\../lib/gcc/mingw32/4.5.2/../../../../include/io.h:302:37: note: declared here
main.c:570:3: error: too many arguments to function 'mkdir'
c:\psdk3v2\mingw\bin\../lib/gcc/mingw32/4.5.2/../../../../include/io.h:302:37: note: declared here
make: *** [all] Error 1

[Yoti]

ErikPshat,
подозреваю, что PS3 SDK и не должен собирать софт для ПК.

[ErikPshat]

Yoti, там не просто PS3 SDK, там же установлен MinGW вообще для компа.

[Yoti]

ErikPshat,
mingw для таких вещей подходит не очень, тут лучше использовать cygwin.