Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .
Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?
Код Описание Данные Ответ от батареи Примечание
0x01 запрос оставшегося заряда нет energyleft_mAh:u16
0x02 запрос температуры нет temperature:u8 cercius degree, min/max value unknown
0x03 запрос напряжения нет voltage_mV:u16
0x04 запрос тока нет current_mA:short positive if charging battery
0x07 запрос ёмкости нет capacity_mAh:u16
0x09 запрос оставшегося времени нет timeleft_min:u16 XMB showing not this value
0x0c запрос серийного номера нет serialno:u32 suspected
0x80 запрос аутентификации? 9byte 16byte encrypted data/reply
0x81 запрос аутентификации? 8byte 8byte encrypted data/reply
0x05 ответ от батареи нет NAK, BCC error and so on??
0x06 ответ от батареи да ACK, with reply data
vit9696, есно идёт...но чипы NEC оказались самые крепкие на взлом...вот потому и процесс медленный...но надеюсь на положительный результат. Трудности будут потом...оказалось что спецов по контроллерам NEC у нас в росссии нету ....А нам нужно будет сделать реверсинг снятного дампа...раздербанить его и понять где есть алгоритм обработки ключиков....реализовать этот алгоритм на компе с возможностью реверса ..и на основе снятых логов просчитать нужные ключики. Далее нужно отедактировать прошивку внеся в неё обработку новых команд и новые ключики. Ну и есно залить новую прошивку в контроллер и будет у нас пандора 3000!!!. Вот только кто этим будет заниматься..вот в чём вопрос. Хотелось бы найти реальную помощь здесь..а не на стороне. Могу и сам в этом разобраться...но увы последний раз с асм на начальном уровне ( писал для пиков небольшие проги) занимался лет 5 назад. Да и пик это далеко не NEC....так что если придётся самому всё дербанить...это будет очень долго...
Это тебе полюбому на забугорные форумы. Одно дело раздербанить прошу в асме другое дело работа с алгоритмом(он не зашифрован?). У производителей китай пандор не спрашивал? Я думаю они тоже заинтересованы. Или вообще чисто для своих?
китайцы что смогли, это стырить алгоритм старой батарейки вот его и пихают везде ...на предмет дать его мне с возвратом им прошивки для пандоры 3000..включают тупость и забывают свой родной язык ну не хотят они давть старую прошивку..грят у них её нет...а батарейки за них комп прошивает и прогу с компа дать не могут тупят конкретно..Забил я на них...легче со стеной договориться На забугорных форумах тоже NEC не знают..как оказалось NEC это промышленный контроллер ...а посему простые радиолюбители всего мира с ним не связываются ..по причине неимоверно дорогих средств разработки и отладки...это не авэр или пик... Так что всё делаем своими силами и ручками..
Boryan добавил 29.11.2010 в 03:48
А как алгоритм может быть зашифрован в прошивке контроллера? Это просто прога делающаяя математические операции..тем более в NEС этой математики как грязи в отличии от других контроллеров...Но самое хорошее в этом, что вся эта математика в доках на NEC описанна и разжёванна донельзя Так что думаю с алгоритмом проблем не должно быть..главное дизасм сделать и раздербанить код...
Последний раз редактировалось Boryan; 29.11.2010 в 03:48.
Причина: добавил, подумав
Weekend, мдаа....народец сегоня понимаешь..другой пошёл...денег хотят сразу и много .....был я там ...запросили за раздербанивание кода минимум 20000 руб...и сроку месяц...нах мне это нужно...за месяц я и сам и раздербаню...
maxibon4ik, хрень какая то...во первых приставки на видео все 2000!!! И ЦП в них 88....а вот когда на 3000 да ещё с 93 процем запустят...а то с этим патапуном уже почти год..а толку....только пятнашки. Но бум подождать...авось и правда найдётся светлая голова...но мало верится в уязвимость 93 ЦП...уж больно сильно ипошки постарались защитить эту консоль со всех сторон.
ЗЫ не забываем что в 3000 есть и 88 процы а в новых 93 ..а это несколько разные вещи.
Последний раз редактировалось Boryan; 02.12.2010 в 00:18.
maxibon4ik, хрень какая то...во первых приставки на видео все 2000!!! И ЦП в них 88....а вот когда на 3000 да ещё с 93 процем запустят...а то с этим патапуном уже почти год..а толку....только пятнашки. Но бум подождать...авось и правда найдётся светлая голова...но мало верится в уязвимость 93 ЦП...уж больно сильно ипошки постарались защитить эту консоль со всех сторон.
ЗЫ не забываем что в 3000 есть и 88 процы а в новых 93 ..а это несколько разные вещи.
платы получили свои названия от версий процессоров установленных на них) существуют платы ta-088, ta-085 и т.д. следовательно на плате ta-091 стоит 91-ый проц.
Всем привет может эта информация вам поможет. сегодня заметил что psp 3000 с дата кодом 9д вообще не включаются с китайскими акб, а с кодом неже безпроблем например с 8д. Видимо в этой плате ключиков больше надо или они поменялись.
xmumik, СПАСИБО! ха ..это мы уже давно знали..это и есть защита от китайских подделок Смысл в том что все левые китайские батарейки содранны с батарейки от фатки ..а она работала внижнем диапазоне 80хх команд...а точнее от 8000-8006.. а новые и родные батарейки слимки работают с 8008-800D.....и китайцы не умеют далать эти батарейки...но ПСП 3000 с платами ТА90 и ТА92 работают в диапазоне от 8000-800D и первый запрос шлют 8008... в случае с китайской бат она не отвечает на 8008 и тогда ПСП опускает запрос на 8004 и китайка знает как на него ответить....а вот в ТА93 убрали нижний диапазон ....и она работает только с 8008-800D...и запрос начинает с 8008...нет ответа... и посылает китайку нафиг...
ЗЫ в свете последних исследований....на ТА93 вернули нижний диапазон но ужесточили проверку по 81 запросу....и многие китайцы не проходят его...но вчера ковырял новую китайку бат которая проходит все проверки ТА93....
Последний раз редактировалось Boryan; 11.12.2010 в 12:16.
20.04.2010, 11:38
Обсуждение взлома батарейки Пандоры PSP-3000...
Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .
(30)
....А нам нужно будет сделать реверсинг снятного дампа...раздербанить его и понять где есть алгоритм обработки ключиков....реализовать этот алгоритм на компе с возможностью реверса ..и на основе снятых логов просчитать нужные ключики. Далее нужно отедактировать прошивку внеся в неё обработку новых команд и новые ключики. Ну и есно залить новую прошивку в контроллер и будет у нас пандора 3000!!!. Вот только кто этим будет заниматься..вот в чём вопрос. Хотелось бы найти реальную помощь здесь..а не на стороне. Могу и сам в этом разобраться...но увы последний раз с асм на начальном уровне ( писал для пиков небольшие проги) занимался лет 5 назад. Да и пик это далеко не NEC....так что если придётся самому всё дербанить...это будет очень долго...
? Это уже пройденный этап и там всё уже сломано более полгода назад 
Линейный вид
![C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы](../forum/images/panel_start.png "C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы")
