Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

// Вот разложил поточнее, что выложил stasik007:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 08364CAFF8EFE8E9A5 84
A512 06 EFDDEDA268B1F15CF705F1F16FFADDE2 7B
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 02129A117169ADE46F 81
A512 06 CEE3A231846B7A3CACC16A81AE99A14F 8A
5A0A 81 08EC25077C96EB55 A8
A50A 06 3D71D0DDA5AC498D C8
5A02 01 A2
A505 06 00C206 87
5A0B 80 0208FA21BD9B0CF433 6A
A512 06 649C9CC965D9AA823804FA537F84ADC7 73
5A0A 81 0A99549CC666111A 30
A50A 06 1DF65042207C3621 B2
00

Включаю приставку:

5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 082ED10418C5A517A7 CF
A512 06 956EC42197FA58395A3D01B7EBB74C36 C5
5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 0265727014369503DA 15
A512 06 D3D208AC828AC4285A1F1BE8389276A2 93
5A0A 81 62861C9CE0618781 31
A50A 06 3E02027DA5B052A3 41
5A02 01 A2
A505 06 00C206 87
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 0104 4B
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 9AFF B7
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 00C206 87
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 81FF D0
5A02 03 A0
A504 06 2C10 14
5A02 01 A2
A505 06 00C106 88
5A02 03 A0
A504 06 2C10 14
5A0B 80 028C1358AFF19A5594 FE
A512 06 903ECAB191ACE9B53336455CD35DC860 BC
5A0A 81 9F3777774C64553C 15
A50A 06 64D75EC38A197E7B 52
5A02 01 A2
A505 06 00C106 88
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
00
*/

Расшифровка кодов

Код   Описание                   Данные  Ответ от батареи     Примечание

0x01  запрос оставшегося заряда   нет    energyleft_mAh:u16                                         
0x02  запрос температуры          нет    temperature:u8       cercius degree, min/max value unknown 
0x03  запрос напряжения           нет    voltage_mV:u16        
0x04  запрос тока                 нет    current_mA:short     positive if charging battery 
0x07  запрос ёмкости              нет    capacity_mAh:u16 
0x09  запрос оставшегося времени  нет    timeleft_min:u16     XMB showing not this value 
0x0c  запрос серийного номера     нет    serialno:u32         suspected 
0x80  запрос аутентификации?      9byte  16byte               encrypted data/reply 
0x81  запрос аутентификации?      8byte  8byte                encrypted data/reply

0x05  ответ от батареи            нет    NAK, BCC error and so on?? 
0x06  ответ от батареи            да     ACK, with reply data

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000


Во вложении:

1. "psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
   • Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
   • "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
2. "Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

EEPROM.png

[Boryan]

crashnok, ты чего докопался до mb44co18 ? ты думаешь это сискон? Она вообще ни чего не решает...и стартует по умолчанию сама а далее ждёт что ей сискон скажет....скажет отрубиться она и отрубится. Это контроллер питания ..так его назовём А сискон тот мелкий у которого рядом два кварца стоят... вот он собака и есть самый паршивый ..

[crashnok]

Ну да, вначале тупил... когда только начал читать тему начал вникать mb44co18 не посмотрев схему и плату и она у меня вечно в голове крутилась/
Так вот насколько я смотрю по схеме отдельно сискон от контроллера кажись не поменять(. Что то мне кажется что установив старый сискон в пару с 18-м псп может не включится.
Какой комплект установлен в 90v1 ?
Кп+сискон
15+2007?
18+2007?
Вот сдесь http://psps.net.ru/news/uglubljaemsj...010-01-26-5308
указано что 18+2008 , тоесть такие же как в 90v2 но ведь это нереально, как она бы тогда с обычного акб пандоры стартовала?


Блин, надо не писать мысли в слух а сесть и подумать, и хорошо усвоить то что за два дня узнал.

Вообщем вывод на данный момент- есть распиновка сискона 2007(взята из мануала та 88), но вот в мануале на ta-90v2 не подписаны выводы пятаков.
Тоесть прийдется отпаять все микросхемы с которыми связан сискон и прозвонить и зарисовать.
Реально задействованы 71 пятак, остальные масса. Вообщем это неймоверный обьем работы. Но всё же возможно сделать переходник один раз и пользоваться.(это при условии что он будет работать с mb44c018)

Второй вариант дальнейших действий- это читать что происходит на шинах между процессором-сискон и сискон-кп при пандореной батарее.

Но вообще для того что бы более внятно понять что происходит с псп в сервис режиме мне ее надо держать в руках и осцилографом смотреть где есть разница между сервис и нормал. Дождусь когда привезут, всё равно в голове уже каша.



Надо усвоить то что узнал за два дня, а не писать тупые(временно) мысли и догадки в слух.
Буду пока в аппаратную часть вникать, где какие шины, какое их назначение и т п, может это к чему то приведёт.

[Yoti]

crashnok,
ссылки на гуаносайты, мягко выражаясь, не приветствуются. На pspfaqs.ru есть цикл статей "Углубляемся в...", ссылайся на них, а не на личеров.

[crashnok]

Сообщение от Yoti crashnok, ссылки на гуаносайты, мягко выражаясь, не приветствуются. На pspfaqs.ru есть цикл статей "Углубляемся в...", ссылайся на них, а не на личеров.

Ок.

Тут http://pspfaqs.ru/faqs/489-psp-moterboards.html
ведь тоже написано что в 90в1 и 90в2 одинаковые контроллеры Baryon и Pommel.
КАК ТАК?

[Yoti]

Инфа из pspident.

[crashnok]

Сообщение от Yoti Инфа из pspident.

Спасибо, вот это похоже на правду. Значит mb44c018 нормально работает с 2007-мым сисконом.
Значит вариант с переходником возможен, нужно только заниматься.

[Yoti]

Эээ, в аттаче инфа. Ты её точно посмотрел, а то там 0 загрузок?..

[crashnok]

Ну конечно посмотрел)
Именно этого я и ожидал только проц и сискон другой. Скорее бы уже получить та 88, аж горит пощупать разницу в сервис и нормал.

[Yoti]

Та ничего в ней особенного, на мой потребительский взгляд... Только продавать приходится дешевле из-за "слетающей прошивки")))

[crashnok]

Я думаю такой интерес к ней простителен человеку, который кроме двух та 90 ничего другого в руках не держал и только несколько дней узнает про ПСП ))
я никогда PSP в ремонт не брал(просто не было времени), и мой первый ремонт псп это замена процессора на своей 3008.
Так что пока за тупости не пинайте, думаю через неделю освоюсь в зызаф.

[Yoti]

"ЗЫЗаф" не держал, а шестизнак отхватил)))

[Boryan]

crashnok, переходник под сискон делать дурное дело..шаг шаров маленький очень, да и бред это что бы зызу оживить или даун сделать..сискон на ней менять. Сейчас есть только два варианта ..первый аппаратный перевод и софтовый...софтовый это 80D9...аппаратный, это искать заветный вывод на сисконе который идёт на ЦП и отвечает за перевод его в режим сервиса...ВСё остальное пустая трата времени.

[Alex14435]

А как насчет создания лишь одной платы с пересаженным сисконом? И приделать к ней панельку с штырьками и зажимом типа сокета лга 775?

[Boryan]

Alex14435, а как насчёт взять и вычислить алгоритм ответов на 80хх команды? дятел их просчитал..китайцы просчитали...а мы чем хуже....или кому то хочется с бубном поплясать и сделать переходник? Ты хоть представляешь что такое переходник с BGA на BGA...на очень маленькую BGA....это тебе не ГПУ у 360

[Alex14435]

Насчет китайцев не слышал... Они ж там тупо платы меняли, откуда инфа про то что они вычислили алгоритм? Я думаю что взломать можно лишь составив таблицу запрос-ответ и потом из неё как из базы брать результат... В любом случае чтоб взломать алгоритм нужно хотя бы 10 запросов-ответов кода. Чем больше тем лучше. Но вот где бы эти правильные ответы взять всегда найдутся криптографы которые ломанут алгоритм.

[Boryan]

в этой ветке запросов- ответов тысячи ..бери и анализируй..чего ещё нужно

Boryan добавил 17-09-2010 в 16:25
всё дело в том что это нах ни кому не нужно....всем лень ...только потом ныть начинают что зажали инфу ..что не открываем секрет ...все ждут готового решения? Оно будет и есно и 80D9 будет взломан ...но паблика не будет!

[crashnok]

Мне не лень, но мне интереснее железки.
Кстати не такой уж это нереал сделать такой переходник, на 0.5 я делал. Это же не каждый проводок отдельно паять, есть ведь технология. Сложность не в переходнике, а в разводке- это блин попробуй вызвони. Гады не промаркировали шары на схеме.
Да и не то это, совсем не то, надо что бы просто было.

[ANDPSP]

Сообщение от Alex14435 Насчет китайцев не слышал... Они ж там тупо платы меняли, откуда инфа про то что они вычислили алгоритм? Я думаю что взломать можно лишь составив таблицу запрос-ответ и потом из неё как из базы брать результат... В любом случае чтоб взломать алгоритм нужно хотя бы 10 запросов-ответов кода. Чем больше тем лучше. Но вот где бы эти правильные ответы взять всегда найдутся криптографы которые ломанут алгоритм.

Про китайцев говоря, Boryan имел ввиду что они клепают батарейки которые успешно работают в консолях - значит они знают алгоритм преобразования байт на сложные запросы (80XX и 81), конечно ответа на 80D9 нет в этих батарейках, но Datel тоже создавали батарейки-аналоги и так же знают алгоритм преобразования и поэтому наверняка они смогли просчитать ответ на 80D9 и создать чудо-батарейку - этот свой блютулс, но сони быстренько обломали их душевнй порыв... теперь точно известно что зная алгоритм преобразования байт на запросы типа 8004, 800A и 81 можно просчитать ответ на 80D9....

Просчитывать таблицу нереально - просто физически жизни не хватит, 8 байт, 256 вариантов в одном байте и потом 81 команда - на нее тоже нужно правильно отвечать...

А мы не знаем даже алгоритм преобразования, какие действия выполняются над байтами, и не знаем сколько параметров (один ключ шифрования или еще и дельта (для XTEA)) участвуют в преобразовании, если бы мы знали алгоритм наверняка, то можно было бы пробовать вычислить эти неизвестные параметры. но мы ничего не знаем.

Этот коммуникационный протокол вида A5 - 5A встречается в инете, вчера нашел его свежую реализацию в применении к "умным домам", но там нет никакого шифрования, даже контрольной суммы пакета нету :-(
А сони реализовала все это в 2004 году и фиг знает какой они алгоритм взяли за основу - XTEA или KeeLoq или еще что и модифицировали ли они базовый под себя или оставили как есть. Это можно узнать только вскрыв чип в котором этот алгоритм заложен или же найдя точную инфу про алгоритм идентификации, используемый сони в своих батарейках - может не обязательно псп, может в мобильниках или ноутах тоже есть умные батарейки, которые общаются на одному из контактов. Но эту инфу нужно искать и рыть инет в полную силу, а не ждть пока кто то разжует и принесет все готовое на блюдечке...

Boryan глянь все же эту инфу - может загубим пару батареек, но найдем нековский чип и достанем инфу из него ? crashnok тоже посмотри - ты хотел с железками повозиться и любишь всякие дивайсы мастерить по ходу :-)

ANDPSP добавил 17-09-2010 в 20:48
А да забыл еще один документик - команды микроконтроллера Nec 78K0

думаю сискон никто вскрывать не захочет, да и нековские чипы в батарейках все же попроще и подоступней должны быть... хотя надежда только на Боряна и его большое количество батареек...

ANDPSP добавил 17-09-2010 в 23:09
Вот кстати ссылка на что то похожее про "умный дом" http://www.linuxha.com/USB/cm15a.html, правда вчера было поинтересней но и тут есть инфа что при общении используются пакеты вида
5A <количество байт в пакете> <данные> разве что нет контрольной суммы....

ANDPSP добавил 17-09-2010 в 23:21
Boryan, помнишь ты про ключи Максим говорил, может здесь что то наподобие этого и правда шифрование SHA-1

[crashnok]

А какой толк с контроллера батареи не имеющей нужный алгоритм на создание ответа? Так что если всё же идете в сторону батареи, то вскрывать нужно именно сискон.

Я всё же буду двигаться в сторону - "после сискона"
В понедельник буду пробовать стянуть данные с протоколов I2C между кп-сискон и SPI между сискон- цп.

[Yoti]

Интересно, новая мамка будет, или 093?
http://www.qj.net/qjnet/news/the-mon...ormal-psp.html