Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

// Вот разложил поточнее, что выложил stasik007:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 08364CAFF8EFE8E9A5 84
A512 06 EFDDEDA268B1F15CF705F1F16FFADDE2 7B
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 02129A117169ADE46F 81
A512 06 CEE3A231846B7A3CACC16A81AE99A14F 8A
5A0A 81 08EC25077C96EB55 A8
A50A 06 3D71D0DDA5AC498D C8
5A02 01 A2
A505 06 00C206 87
5A0B 80 0208FA21BD9B0CF433 6A
A512 06 649C9CC965D9AA823804FA537F84ADC7 73
5A0A 81 0A99549CC666111A 30
A50A 06 1DF65042207C3621 B2
00

Включаю приставку:

5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 082ED10418C5A517A7 CF
A512 06 956EC42197FA58395A3D01B7EBB74C36 C5
5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 0265727014369503DA 15
A512 06 D3D208AC828AC4285A1F1BE8389276A2 93
5A0A 81 62861C9CE0618781 31
A50A 06 3E02027DA5B052A3 41
5A02 01 A2
A505 06 00C206 87
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 0104 4B
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 9AFF B7
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 00C206 87
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 81FF D0
5A02 03 A0
A504 06 2C10 14
5A02 01 A2
A505 06 00C106 88
5A02 03 A0
A504 06 2C10 14
5A0B 80 028C1358AFF19A5594 FE
A512 06 903ECAB191ACE9B53336455CD35DC860 BC
5A0A 81 9F3777774C64553C 15
A50A 06 64D75EC38A197E7B 52
5A02 01 A2
A505 06 00C106 88
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
00
*/

Расшифровка кодов

Код   Описание                   Данные  Ответ от батареи     Примечание

0x01  запрос оставшегося заряда   нет    energyleft_mAh:u16                                         
0x02  запрос температуры          нет    temperature:u8       cercius degree, min/max value unknown 
0x03  запрос напряжения           нет    voltage_mV:u16        
0x04  запрос тока                 нет    current_mA:short     positive if charging battery 
0x07  запрос ёмкости              нет    capacity_mAh:u16 
0x09  запрос оставшегося времени  нет    timeleft_min:u16     XMB showing not this value 
0x0c  запрос серийного номера     нет    serialno:u32         suspected 
0x80  запрос аутентификации?      9byte  16byte               encrypted data/reply 
0x81  запрос аутентификации?      8byte  8byte                encrypted data/reply

0x05  ответ от батареи            нет    NAK, BCC error and so on?? 
0x06  ответ от батареи            да     ACK, with reply data

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000


Во вложении:

1. "psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
   • Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
   • "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
2. "Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

EEPROM.png

[lupus]

Чтобы посмотреть фотки потрохов батареи от дятлов, достаточно погуглить по теме "lite blue tool". Только проку от этого не много. К тому же после столь громкого анонса были комменты, что в сервис мод она 300х всё таки не вводила.

[hax0r]

lps, если бы не вводила, сони не стали бы судиться просто так из-за этой батарейки, т.к. у дятлов на тот момент была еще одна батарея, которая переключалась из режима пандоры в обычный режим и обратно, но как раз на 3000 не работала(в смысле в сервис не вводила).

[tokarev17]

в топку всё выше !!!!!!!! , шьются псп 3008 и откатываются на 503 и анбрикиваются !!!!( 2008 все !!)!, последние 3008 не шьются так - где на болтах сыкономили(где кнопки R и L крепятся не шурупом через белую) , я знаю токо что таже пандора токо на карте прошивка и чтото там с ипл и она грузится с карты , я не совтовик хз что и как , но чел каторый мне расказал это говорил что ему другой чел расказал вроде с автори центра , он у меня траф на бокс покупал с кокого горада не помню в 3 часа ночи приехал , и там по ремонту консультировался , а с псп забрил гад , аж слюни в ухо мне лители с трубы когда расказывал обещал расказать скинуть совт показать и забрил (( !!! в москву вроде уехал или мож живёт , покрайне звонил от туда глумился по поводу прошивки псп сволоч ))) я статистику люблю логи аси с 2002 года все , птом найду его скину переписку а то я его в игнор занёс. и смысл инфу жать если мать уже обновили ,и эти не прошить , жаба вещ суровая !!!! бородавками не покройтесь !!!! а кто копать умеет копайте обычную пандору и на карту чтото нужное положить нужно стопудова !!!

[Alex706]

ты сам то понял что написал?

[ErikPshat]

tokarev17, прежде, чем писать, почитай тему LOL.
Ещё раз такой бред - забаню.

По поводу "Lite Blue Tool", действительно Datel на своём сайте вывешивла объявление, что сделали батарейку для 3000 и скоро появится в продаже, типа после рождества. Даже добавили в прайс и написали цену.
Отсюда, эта новость сразу-же облетела все сайты по PSP. Все уже сидели в ожидании и делали заказы.
Но Сони тут-же среагировала и запретила её выпускать к продаже. Поэтому это объявление провисело вроде один день и удалила из прайса. По поводу суда писалось здесь. А здесь по поводу того, что Datel пришлось убрать разблокировку 3000 из батареи:

Datel has officially changed the product specifications on the company website, removing any reference to the ability to unlock the PSP 3000.

И именно поэтому у нас есть надежда, что если это селал Datel, то значит дело действительно в батарейке, а не в USB-донгле, типа JailBreak. Поэтому мы и копаем батарейку 3000 в этой теме.

Да, Datel хоть и выпустила эту чудо-батарейку, но уже не только для 1000/2000 c лампочками-моргалками, которую китайцы тут-же спuздили, но Datel пошла дальше.
Если вы помните, они выпустили программу "Datel Action Replay", которая запускается на официальной прошивке, что в принципе невозможно без подписи Сони.
То есть, они разгадали механизм шифрования файлов и генерации чек-сумм. Таким-же образом, они вполне могут сделать файл обновления прошивки, чтобы PSP считала её оригинальной, например, установщик прошивки 5.00М33-6 или 5.50GEN-D3, и консоль будет считать, что это официальная прошивка, и спокойно устанавливать.

[Alex14435]

ErikPshat, имхо они проделали огромную работу по декапу проца и с помощью электронного микроскопа сдампили KIRK. Таким же образом они сдампили SYSCON, что проще, т.к. в нем лишь одна микросхема.

[hax0r]

Alex14435,они могли и по патентам сони восстановить алгоритм. Ведь, сами посудите, проц в батарейке слабенький, следовательно ничего сложного он сделать не может, а значит делает простые математические операции с числами которые ему дают.

[Boryan]

Alex14435, Да ни чего они не декапили....тут и декапить не нужно. Всё просто как вода Мы сейчас работаем над этим и скоро будет результат. Раз китайцы лепят левые батарейки, то 100% у них есть исходник прошивы контроллера. Как они его достали это их дело. А раз есть исходник, то понятен и алгоритм обработки 80хх команд. Уже известно что в 80хх командах второй байт указывает каким ключиком обрабатывать посланные 8 байт. Имеяя логи и зная алгоритм просчитать новый ключик для 80D9 дело техники. На данный момент мы застряли только потому что не знаем алгоритм. Но сейчас дело уже сдвинулось и мы работаем по нескольким направлениям, скоро у нас будет этот алгоритм ....ну а дальше ... )

[hax0r]

Boryan,а можно поподробнее?)

[Boryan]

поподробнее читай всю ветку ...если лень ..то в последних страницах есть описание того чем мы сейчас занимаемся

[hax0r]

всю ветку я уже читал. а если в последних страницах- то тогда могу сказать, что вы пытаетесь выпросить у китайцев исходник, но они не очень-то хотят его отдавать, так?

[Boryan]

нет мы пытаемся вытащить прошивку из контроллера

[Alex14435]

А как насчет подписи приложений? Тут кроме декапа проца никак не выйдет. Хотя у меня была идея что Сони дала им подзаработать за молчание о батарейке.

[ErikPshat]

Сообщение от Boryan нет мы пытаемся вытащить прошивку из контроллера

Нужно слоями стачивать чип и вытаскивать по крупицам прошивку )))

Сообщение от Alex14435 А как насчет подписи приложений?

Ну это проще простого. Отдадим в Datel сырьё, а они нам подпишут.
Ну немного капусты отсыпем.

[hax0r]

Сообщение от ErikPshat Отдадим в Datel сырьё, а они нам подпишут.

Это не выход.. Можно попробовать из pre-IPL подпись выцепить, т.к. это самый короткий кусок подписанного кода.

[Boryan]

hax0r, шутниг )) ну вытащи ....а мы посмотрим ))

[ErikPshat]

Сообщение от hax0r Можно попробовать из pre-IPL подпись выцепить, т.к. это самый короткий кусок подписанного кода.

Хех, уже 5 с лишним лет, хакеры со всего мира, пытаются понять механизм генерации этого кусочка кода. А ты говоришь. Давай попробуй...

Декриптуется-то всё легко, средствами самого кирка процессора. А вот обратно собрать и подписать никто, кроме Дятла, пока не научился.
Поэтому все кастомные прошивки не ставятся до сих пор на официальную, а только на кастом.

Да нам это не нужно. Нам надо батарейку распотрошить.

[hax0r]

ну блин) раз уж вы хотите послойно считать контроллер, то, я полагаю, сможете и процессор послойно считать(а может и не послойно) ) хакеры со всего мира хотят это софтовым методом сделать, а не железным.. и у них не получилось до сих пор. И скорей всего не получится...
Дятлы, если честно, тоже не научились шифровать и подписывать. Если вспомнить(или пошарить в инете), то они стырили у сони SDK зайдя на сонивский серв под логином и паролем одного из партнеров сони немного раньше, чем выпустили свою супер-пупер батарейку. по этому делу тоже был судебный процесс.

hax0r добавил 24-10-2010 в 17:07
да и вообще, у меня складывается впечатление, что с уходом Дарк Алекса никто уже ничего не делает, кроме переписывания одного и того же кода. Только вот Тотал Нуб решил новое ядро поковырять..

[Boryan]

lport3, Проверь мыло я тебе логи выслал. Отпишись как дела.

[Boryan]

Отступлю мальца от темы...немножко жести иинфы и фоток про мой отрезанный палец. Пока всё нормуль, палец прирос и работает на 80% ... дальше дело времени и нужно его активно разрабатывать..сухожилия "заржавели" за 2 месяца бездействий. Но сейчас уже могу корявенько писать и самое главное спокойно ковыряться в мелкой электронике. Так что батарейка сломаем один фиг!!
на второй день после травмы ..снимок


так я ходил 2 месяца


в разобранном состоянии


ну и сейчас :



ну вот собственно так ...Только сейчас понимаю что мне очень сильно повезло с хирургом...99% это он сделал...всё остальное делал сам организм...В Москве врачи..хирурги ..траватологи- козлы и уроды! В травмпункте не смогли снять спицу и гипс...у них нету инструмента такого Направили в центральную больницу по травмам кистей..там травматолог козёл запросил 20000 за снятие спицы и реабилитацию. Какая нах реабилитация ..если всё зависит от меня..как я буду палец разрабатывать. В итоге послал всех нах..дома сам снял спицу (отпилил Дремелем) и выдернул её жестоко конечно..но терпеть боль умеем сам снял швы оставшиеся. Короче теперь могу снимать швы и спицы ежели чего Ну вот так короче Пальчик жив и шевелится. К чему эти жестокие кадры я сюда выложил...скорее для предупреждения....Ребята берегите себя..не дай бог! Техника безопасности кровью написанна...соблюдайте её! Когда был в Рязани в травмотологическом отделении ...там из 150 человек ....145 были мужики...и всего 5 женщин...стоит задуматься ...