Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 78

Boryan · 20.04.2010, 11:38

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли

Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

Расшифровка кодов

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000

Во вложении:

"psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
- Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
- "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
"Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

Saros · 26.01.2011, 12:06

Сообщение от Boryan

hax0r, на ренесансе весь софт бесплатный ..нужно просто зарегится на реальное мыло туда ид прог будут приходить....см внимательнее их сайт ...не я один качал ..там всё бесплатно поверь

подтверждаю. зарегался и скачал cc78k0s и ra78k0s нахаляву, Product ID пришли на почту

Вот только их софт с Win7 x64 не дружит =((

Boryan · 26.01.2011, 12:12

Saros, делай тогда виртуалку ХР на компе качай отсюда https://www.vmware.com тока регится нуно..качай VMware-player-3.1.3-324285 далее всё по инструкции....нужен будет ещё образ XP.
Кста очень полезная вещь от вирусни и атак..если нужно гдето в опасных местах пошарится...если чего и схватишь то только в виртуалку...грохнул её и сделал новую ежели чего

Saros · 26.01.2011, 13:13

Boryan, я уже выкрутился. компилю на своем медиацентре, там win7 x32.
Судя по всему, предоставленный бинарник писался на асме, не совсем понятны танцы с бубном в функции loop, это что-то типа слипа? )
Ну вобщем получилось что-то вроде того, могу ошибиться с портами:

unsigned char b;

unsigned char temp;
unsigned char temp2;

void loop(unsigned char aa)
{
	temp = aa;
	aa = 0x5F;
	
	temp2 = aa;
	aa=temp;
	temp=temp2;
	for(temp;temp>0;temp--)
	{
	}
	return;
}

void print1(unsigned char aa)
{
	int i = 0;
	for(i=0;i<8;i++)
	{
		P2.3=aa;
		loop(aa);
		P2.2=aa;
		loop(aa);

	}
}

void RESET(void)
{
	unsigned short addr = 0x0000;
	P2 = 0x00;
	PM2 = 0xF3;
	P2.2=0;
	P2.3=0;
	print1(0x55);
	print1(0x55);
	print1(0x67);
	print1(0x77);
	
	while(1==1)
	{
		b = *(unsigned char*)addr;
		print1(b);
		addr++;
		if(*(unsigned char*)addr==0x60)
			break;
	}
	return;
}

ErikPshat · 26.01.2011, 14:55

Сообщение от Saros

loop

По ходу функция зацикливания по кругу. Начать с начала и переход по следующему адресу.

hax0r · 26.01.2011, 17:05

Сообщение от Boryan

hax0r, на ренесансе весь софт бесплатный ..нужно просто зарегится на реальное мыло туда ид прог будут приходить....см внимательнее их сайт ...не я один качал ..там всё бесплатно поверь

я там зареган, только вот скачать мне там ничего не дают.. говорят, что софт для незареганых продуктов качать нельзя..

Saros · 26.01.2011, 17:20

я качал и с ренесанса и с http://www.eltech.spb.ru/nec_mk.html?id=40 . разницы в софте нет, все байт в байт. http://www.eltech.spb.ru/nec_mk/file...0ID%20code.txt вот Product ID

Boryan, ну как, похоже мое произведение на что-то?

В принципе, реверсить может и не понадобится. главное найти нужный кусок и чистым асмом(с доработками) в компиль. Асм после дезассемблирования вполне читаемый, с логикой проблем не должно возникнуть.

Boryan · 26.01.2011, 19:11

Saros,
алгоритм работы проги :
порты Р22 -строб, Р23-данные..крутимся в цикле читаем всё ..это сделано чтобы прога, которая принимает данные могла зацепится в любой момент к чипу. Засинхронизироваться и принимать данные например 6 раз по 4 к ...в бинарнике снятом 100% будут 4 целых блока по 4 к, а 1 и 6 будут кусками в зависимости от старта проги. По 4 целым блокам можно методом сравнения их проверить на ошибки чтения...

hax0r · 26.01.2011, 22:11

вот что получается в ida после беглого дизасма..

Boryan · 27.01.2011, 12:51

сорри ребят

описал не тот алгоритм....и кинул не тот бинарик...это был тестовый отладочный который в цикле выплёвывает один и тот же ключик...Но не суть...главное теперь вижу что настоящий код раздербаним...это радует

Ждите настоящего кода...на данный момент уже третий день не могу отладить коррекцию ошибок....постоянно читается с ошибками

**Alex14435** · 27.01.2011, 13:23

Да напишите прогу наконец, которая из 10 файлов 1 создает, сравнивая байты на одинаковых местах в них и выбирая наиболее часто попадающиеся

я давно хотел такую прогу, kv.bin часто плохо снимается

Boryan · 27.01.2011, 13:47

Alex14435, Для того что бы написать эту прогу нужно изначально принимать данные с минимумом ошибок. А у меня прут ошибки 90% ...и непонятно в чём дело...предаю с паузой одну и ту же последовательность байт в цикле ...и всегда читаются по разному..

**Alex14435** · 27.01.2011, 13:58

Мда... 90% эт нехорошо. Тогда придется 100 дампов минимум снять чтоб прога норм подействовала

Boryan · 27.01.2011, 14:01

Alex14435, Не нужно 100 дампов снимать, а нужно найти где ошибки лезут и исправить это и всё...

**Alex14435** · 27.01.2011, 14:46

Ну а если не найдёте?

пойду прогу писать, мож получится

Boryan · 27.01.2011, 14:57

Alex14435, Почему же не найдём? Всё дело времени...с нека по осцилу всё идёт стабильно 100% ...ошибки в обработке принятых данных по СОМ порту ...сейчас перескочили на ЛПТ...ошибки те же ..значит железо работает без ошибок 100%. дело в алгоритме проги что данные с портов читает...

**Alex14435** · 27.01.2011, 15:48

Всё таки написал прогу

если хочешь, кинь пару сотен ошибочных дампов

Boryan · 27.01.2011, 15:56

бред твоя прога

прикинь у меня первый байт читается 50% ошибок....2-30%...3-100%...4-77%...5-90% ...6-99% и чего ты выловишь своей прогой..и какой от неё толк ? извени ..но тебе ещё

нужно ..учиться, учиться и ещё раз учиться (ЛЕНИН)

**Alex14435** · 27.01.2011, 16:04

Ну а откуда ты знаешь, какой именно должен быть 3 байт что прям 100% ошибок

то значение которое чаще попадается, то и скорей всего верное. А так, учусь конечно. Сессия прошла уж

Saros · 27.01.2011, 16:31

А вот и оно http://www.3dnews.ru/news/sony-anons...strechaem-ngp/ =) щас тренируемся на 1-й, потом ломаем вторую

Интересно что ж они там с защитой наворотят...

Boryan · 27.01.2011, 16:38

Alex14435, если бы не знал не писал бы...сейчас я в тестовом режиме читаю всё и есно знаю что предаю и принимаю...а если интересно то поизучай..синхронную передачу данных по портам лпт и сом ....и что есть стробирование по переднему и заднему фронту...

Boryan добавил 27.01.2011 в 16:38
Saros,

Игры для NGP будут основаны на специальном собственном формате карт памяти. Благодаря использованию флеш-памяти на карте смогут сохраняться игры, обновления для них, дополнительный контент и сохранения. В будущем объём карт Sony планирует постепенно увеличивать, что даст разработчикам новые возможности.

хаа...денди..сега..нинтендо...КАРТРИДЖИ...вот что будет в новой пихе

..ну это уж китайцы точняк ломанут

..и мы попробуем..благо опыт есть