Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 13

Boryan · 20.04.2010, 11:38

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли

Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

Расшифровка кодов

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000

Во вложении:

"psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
- Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
- "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
"Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

Yoti · 26.04.2010, 12:21

lport3,
поступил заказ на еепромы - выкладываю =)
---
Собсно, последний архив от меня. Осмелился изменить версию до 0.61, ибо функционал действительно расширен. Но вы помните, что это 0.60 МОД3 =)
http://slil.ru/29034077

lport3 · 26.04.2010, 20:49

Какие настройки порта в терминале вы выставляли?
-------------------------
Все, разобрался..
-------------------------

Пограбил немного rdbli (может кому будет интересно)

Брут одного байта в запросе $8008 ))

Особо впечатлительным лучше не смотреть,
заинтересовавшиеся и желающие помочь, стучитесь в личку.

stasik007 · 26.04.2010, 23:53

наконец-то! оживление!
надо проверить одинаковые запросы по 80D9, 8008, 8004, 8002 - будут ли ответы отличаться?

pronvit · 27.04.2010, 02:01

имхо надо посмотреть, различаются ли ответы на разных батарейках, то есть зависят ли они от данных в еепроме типа

Boryan · 27.04.2010, 02:05

я понял что процент заряда хранится не в епроме. Есть батарейка с дохлым епромом и она прекрасно работает

NutStorm · 27.04.2010, 02:16

Спасибо за инфу. Кстати подтвердила мою теорию.

Может повторюсь (лень читать 7 страниц коментов), не смотря на то, что батарейку нельзя запондорить (и дело тут никак не в мат.плате, хотя и не без этого) Серийный номер можно отдампить и он имеет такую же структуру что и у предшественниц. Другими словами, дело в архитектуре (или же в программном коде) команда нашего сайта (можно найти по нику кому интересно) как раз работает над этим. Есть несколько идей. Могу сказать одно. Мы встали в тупик. Все бояться ломать аккум. Если у кого есть, сфоткайте плату батарейки в хорошем качестве. Это сильно поможет.

Так как номер поменять пока нет возможности, надо смотреть что там внутри.

Boryan · 27.04.2010, 02:47

NutStorm, а чего бояться? я уже 5 штук разобрал

три от слимок и две от фаток

схемы батареек изучил ...так что задавай вопросы что интересует

Boryan добавил 27-04-2010 в 02:47
фотки каких батареек нужно? Есть три вида плат...

кинь ссылку на сайт где вы ковыряете 3000 батарейку

ErikPshat · 27.04.2010, 09:43

Сообщение от NutStorm

команда нашего сайта (можно найти по нику кому интересно) как раз работает над этим

А чё тут стесняться и что там искать?
Все и так знают супер-модератора с детского садика PSPISO.tv

Cайта, прописанного в правилах (пункт7.7), где копипастят чужие факи и статьи, без ссылок на первоисточник. И плюс к каждому такому факу, написанному не ими, прикрепляют свой логотип "PSPISO.TV" на чужие скрины, сделанные не ими, да ещё в конце делают приписку:

"Уф, всю ночь писал, старался чисто для вас, ради PSPISO!!!
Не забудьте все поставить мне спасибки!"

Ну так что ваша команда нарыла-то? Вы людей старше 14-ти в команду берёте?

ErikPshat · 27.04.2010, 09:47

stasik007, а как реагирует батарейка на ТА-088v3 с обычной пандорой?
Какой лог выдаёт?

Я имею ввиду, что раз на PSP-3000 читает номер FFFFFFFF, но обращения к карте не происходит, как вы говорили.
Так-же хочется проверить, на PSP-2000 TA-088v3, ведь тоже подсовывается номер FFFFFFFF и если стоит обычная пандора, то что происходит, ведь тоже вроде реакция, как будто нет обращений к карте. Вот и интересно, обращение к карте идёт или так-же, как на 3000?

Boryan · 27.04.2010, 13:19

ErikPshat, На ТА88V3 обращение к карте идёт после того, как sys con схавает код батарейки FFFFFFFF, и запустит контроллер питания, и подаст все нужные напряжения на консоль, и sys con даст команду ЦП делать загрузку с картридера. Всё зарыто в Sys con, если он подружился с батарейкой, то запускает всю консоль....а если не подружился, то фигу вам.

Аналогично происходит если батарейка перезаряжена....то зыза не запустится. В 3000 sys con ни как не может подружиться с батарейкой.....вот и не запускает зызу....

Boryan добавил 27-04-2010 в 12:39
Вывод.....их нужно подружить

)))))принудительно

)))

Boryan добавил 27-04-2010 в 13:08
очень интересная батарейка

у обычной батарейки с обычным серийником, отрываем 1-ю ногу епрома (Chip Select Input) и батарейка превращается в пандору

Boryan добавил 27-04-2010 в 13:12
ErikPshat, Понятно про NutStorm.....детский садик решил показать себя крутыми перцами по взлому батарейки 3000.....но они упёрлись в тупик....и батарейки им жалко ломать

А нам чота не жалко...я уже 7 штук распотрошил

Boryan добавил 27-04-2010 в 13:14

Так как номер поменять пока нет возможности, надо смотреть что там внутри.

))))) пацтулом

а вот мы можем менять и не только номер....

итам внутри всё уже знаем и посмотрели....

Boryan добавил 27-04-2010 в 13:19
а внутри там ППЦ

))

**Ins|der** · 27.04.2010, 13:32

Сообщение от pronvit

имхо надо посмотреть, различаются ли ответы на разных батарейках, то есть зависят ли они от данных в еепроме типа

кстати, хорошая мысль!

Сообщение от Boryan

На ТА88V3 обращение к карте идёт

то есть на этой плате реально залить с карты офиц. прошивку и восстановить брик/задаунгрейдить?

ребят, не нужно сориться, в конце концов над одним делом работаем, любая помощь не помешает

Ins|der добавил 27-04-2010 в 13:32
lport3, это ты батарею от слимки брутил?

какая-то странная у неё ёмкость D804 (1240 mAh)..

Boryan · 27.04.2010, 14:07

Ins|der, мы не соримся..но понтовщиков ненавижу...что сделал этот малец? пришёл понтанулся и отметился в ветке и всё? что реально дельного предложил? ...номер он оказывается поменять не может

А по делу про ТА88V3 ....там стоит новый проц CXD2988 и он проверяет всё что ему предлагают на цифровую подпись от Сони. Для загрузки с карты нужен IPL подписанный сонями для стика....а его нету. Ну и есно с карты ты фиг чего сделаешь. В 3000 зызах стоит тот же ЦП CXD2988...

Boryan добавил 27-04-2010 в 14:07
lport3, давай всем миром будем брутить батарейку...опиши процесс технологический что и как и куда

**Ins|der** · 27.04.2010, 17:30

Сообщение от Boryan

Для загрузки с карты нужен IPL подписанный сонями для стика....а его нету

понятно, то есть для стика нужен спец. лоадер, отличный от лоадера в нанд, и, насколько я помню, он каким-то образом привязан к серийнику карты, так? (заранее извиняюсь за глупые вопросы, приходится на ходу в теме разбираться)
хотел почитать прошлую тему "Размышления о взломе TA-88v3", память освежить, но так и не нашел её(

ANDPSP · 27.04.2010, 17:47

Сообщение от lport3

Какие настройки порта в терминале вы выставляли?
-------------------------
Все, разобрался..
-------------------------
Особо впечатлительным лучше не смотреть,
заинтересовавшиеся и желающие помочь, стучитесь в личку.

А все же, расскажите поподробней куда подключаться все же нужно, я собрал кабель на базе PL2303HX - RX прицепил на средний контакт, GND прицепил на минус - он левее, если консоль лежит на экране шифтами вверх - в настройках порта скорость - 9600, четность - None, дата бит - 8, стоп бит - 1 - вроде бы все правильно , но я не получаю тех байтов что описывались тут - у меня совсем все по другому :-( вот вставляю запандоренную батарейку в фатку и получаю какую то хрень

хрень

тут два прогона, начало вроде похоже друг на друга, но все равно хрень - почему так ? Или нельзя напрямую подключаться к среднему контакту поскольку он объединяет RX и TX сигналы в один контакт ? Тогда куда нужно подключаться ?

stasik007 · 27.04.2010, 17:53

Народ! - давайте о деле..

stasik007 добавил 27-04-2010 в 17:53
настройки гипертерминалки 19200 8E2 None
у кого виста или семёрка

RealTerm: Serial Terminal Program
For up to date infomation, and downloads
http://realterm.sourceforge.net
Latest Development versions may be available from:
http://www.i2cchip.com/realterm

**Ins|der** · 27.04.2010, 17:55

чтобы как-то систематизировать, предлагаю на рассмотрение след. план действий:

при наличии одной батареи
1.

Сообщение от stasik007

проверить одинаковые запросы по 80D9, 8008, 8004, 8002 - будут ли ответы отличаться?

2. проверить одинаковые запросы по 8002/8008 на батарее с оригинальным, измененным, 00000000, ffffffff серийником, чтобы выяснить его роль в формировании ответа;

3. если SN не влияет на ответ, последовательно изменять участки кода EEPROM батареи с выдачей одного и того же запроса, чтобы вычислить области, критичные для формирования ответа

как-то так)

ANDPSP · 27.04.2010, 18:12

Сообщение от stasik007

stasik007 добавил 27-04-2010 в 17:53
настройки гипертерминалки 19200 8E2 None
у кого виста или семёрка

Так не заработало тоже, но вот с параметрами 19200 8E1 None стало то что нужно :-) теперь и эмулятор опробовать можно :-)

stasik007 · 27.04.2010, 18:27

Сообщение от ANDPSP

Так не заработало тоже, но вот с параметрами 19200 8E1 None стало то что нужно :-) теперь и эмулятор опробовать можно :-)

у меня с 1 стоп-битом error проскакивает а с 2 идеально и по дкументации 2 надо

stasik007 добавил 27-04-2010 в 18:27

Сообщение от Ins|der

так вот похоже в том и проблема, что даже на ta-88v3 так до сих пор ничего не подписали)

просьба тему в сторону не уводить - если интересен ipl - то и обсуждайте его в ipl-ном месте!
он тут потоптался, поистерил и дальше пошёл на другой форум ipl обсуждать и говорить им что батарейки у них нету и ничего не получится

lport3 · 27.04.2010, 19:06

Немного работал, не мог дальше грабить,
сегодня вечер посвящу батарейке.
Сегодня попробую поподкидывать команды из ваших
логов, но уверен, что они совпадут. Кстати, если сразу
спрашивать $8002 батарейка не отвечает. Все таки не так просто
будет понять длинные команды (возможно вообще не получится).
Хотел считать еепром в батарейке, но логов вы не сделали, а жаль
по известному методу считывания можно было бы попробовать считать
озу (тут ведь неизвестно где можно нарыть дыру ).
Батарейку читаю через к-адаптер (автомобильный стандарт к-линия,
питание адаптера 7в), програмку сварганил сам.
Сегодня если ничего не получится по раскрипту длинных команд,
то мысли у меня кончились.

lport3 добавил 27-04-2010 в 19:06
Ins|der

при наличии одной батареи
1.
Цитата:
Сообщение от stasik007

проверить одинаковые запросы по 80D9, 8008, 8004, 8002 - будут ли ответы отличаться?

Попробовать надо, но даже судя по командам разным, отличия будут.
А разглядывать крипт в нескольких командах, только путатся, и
увеличивать объем работы.

2. проверить одинаковые запросы по 8002/8008 на батарее с оригинальным, измененным, 00000000, ffffffff серийником, чтобы выяснить его роль в формировании ответа;

Для этого надо, вам делать адаптеры, поскольку у меня только одна
батарейка (3.6,1200,брайт,ориг.)

3. если SN не влияет на ответ, последовательно изменять участки кода EEPROM батареи с выдачей одного и того же запроса, чтобы вычислить области, критичные для формирования ответа

Пальцем в небо, совершенно не реально. Тут уж точно запутатся можно
Только если с нулевым еепромом батарейка запускается, имеет смысл.