Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

// Вот разложил поточнее, что выложил stasik007:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 08364CAFF8EFE8E9A5 84
A512 06 EFDDEDA268B1F15CF705F1F16FFADDE2 7B
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 02129A117169ADE46F 81
A512 06 CEE3A231846B7A3CACC16A81AE99A14F 8A
5A0A 81 08EC25077C96EB55 A8
A50A 06 3D71D0DDA5AC498D C8
5A02 01 A2
A505 06 00C206 87
5A0B 80 0208FA21BD9B0CF433 6A
A512 06 649C9CC965D9AA823804FA537F84ADC7 73
5A0A 81 0A99549CC666111A 30
A50A 06 1DF65042207C3621 B2
00

Включаю приставку:

5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 082ED10418C5A517A7 CF
A512 06 956EC42197FA58395A3D01B7EBB74C36 C5
5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 0265727014369503DA 15
A512 06 D3D208AC828AC4285A1F1BE8389276A2 93
5A0A 81 62861C9CE0618781 31
A50A 06 3E02027DA5B052A3 41
5A02 01 A2
A505 06 00C206 87
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 0104 4B
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 9AFF B7
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 00C206 87
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 81FF D0
5A02 03 A0
A504 06 2C10 14
5A02 01 A2
A505 06 00C106 88
5A02 03 A0
A504 06 2C10 14
5A0B 80 028C1358AFF19A5594 FE
A512 06 903ECAB191ACE9B53336455CD35DC860 BC
5A0A 81 9F3777774C64553C 15
A50A 06 64D75EC38A197E7B 52
5A02 01 A2
A505 06 00C106 88
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
00
*/

Расшифровка кодов

Код   Описание                   Данные  Ответ от батареи     Примечание

0x01  запрос оставшегося заряда   нет    energyleft_mAh:u16                                         
0x02  запрос температуры          нет    temperature:u8       cercius degree, min/max value unknown 
0x03  запрос напряжения           нет    voltage_mV:u16        
0x04  запрос тока                 нет    current_mA:short     positive if charging battery 
0x07  запрос ёмкости              нет    capacity_mAh:u16 
0x09  запрос оставшегося времени  нет    timeleft_min:u16     XMB showing not this value 
0x0c  запрос серийного номера     нет    serialno:u32         suspected 
0x80  запрос аутентификации?      9byte  16byte               encrypted data/reply 
0x81  запрос аутентификации?      8byte  8byte                encrypted data/reply

0x05  ответ от батареи            нет    NAK, BCC error and so on?? 
0x06  ответ от батареи            да     ACK, with reply data

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000


Во вложении:

1. "psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
   • Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
   • "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
2. "Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

EEPROM.png

[lport3]

[I]вот накидал программку, будет непонятно,
или надо будет что то поменять, обращайтесь.
----устарело----

lport3 добавил 29-04-2010 в 22:14

Сообщение от Boryan нашёл в своей коллекции батареек интересный экземпляр серийник есть а епрома нету... (не читается псп тулом) будем её изучать. .. Вообще принципиально новая схема контроллера батарейки..

Чтобы псп запустилась и работала достаточно
ответов на лок.идентификаторы. Длинные команды видимо для
каких то расширенных функций. Наверняка этот контроллер не может
обрабатывать длинных команд, что не мешает батарейке работать,
и зарабатывать на хлеб китайсам.

lport3 добавил 29-04-2010 в 22:18

Сообщение от Animeshnik96 Ну что вы придрались к слову "мастер". Ну не дочитал, не увидел настоящих мастеров... может слишком хвастаюсь потому что новички меня так зовут... извините.

Я в псп вообще 0(ноль), и связан с приставкой только потому,
что купил недавно дочери. Тем не менее, стараюсь помочь.. тем
чем могу.

lport3 добавил 29-04-2010 в 22:20
Чтобы перехватывать и подменять некоторые
пакеты нужно 2 ком порта и 2 к-адаптера.

[Boryan]

lport3, Огромное СПАСИБО То что нужно..теперь дело за мной ..нуно батарейку це***** к порту

Boryan добавил 29-04-2010 в 22:25
а тайминги уже в проге заложены те что нужны?

Boryan добавил 29-04-2010 в 22:27
Через виртуальный COM прога будет работать?

Boryan добавил 29-04-2010 в 22:28
А то сейчас живой СОМ трудно найти..только USB с PL2303

[lport3]

Настройки порта все уже выставлены,
только надо будет выбрать нужный порт в установках.
с PL_2x0x будет работать без проблем, на FTDI_23x надо будет
в настройках порта параметр майнделай в 1 выставить.

[Boryan]

lport3, О.К. понял..супер!!! В новой батарейке в той что фотка выше на платке даже подписано где Rx и Tx )))

Boryan добавил 29-04-2010 в 22:43
Блин.. конкретная кетайская подделка зыза 3000 стартует с неё а 3006 её даже не видит ..вообще молчит...выходит в 3006 другой базар с батарейкой ..более жёсткий контроль аунтефикации.....хотя другие левые хавает ...ппц соня заморочилась с контрафактом....уже и батарейки нафиг посылает Щас разберу 3006 посмотрю какой у неё sys con стоит

[Yoti]

Boryan,
можешь с левой батарейкой этим поиграться -> http://yoti.wen.su/temp/29-04-2010/ospbt_061.rar
Просто отключил выход при ошибке...

Yoti добавил 30-04-2010 в 00:11
lport3,
хотелось бы выравнивание окна программы в центре рабочего стола при запуске.

[Boryan]

Yoti, Толку нету теперь прога просто зациклилась с надписью "ошибка"

[Yoti]

Boryan,
окей, переделаю глубже =)
http://yoti.wen.su/temp/30-04-2010/ospbt_061.rar
---
Пойду-ка я спать, а то код перестаю понимать...
---
Или ещё вариант:
http://yoti.wen.su/temp/30-04-2010/o...n-061-mod4.rar

[ANDPSP]

ну вот :-( как я и говорил - проблема в таймаутах... это я попробовал прогу lport3, правда с изолированным контактом, но все равно запросы должны были идти одиночно по порядку от 1 до 31, а получилось вот что :

запрос : 00 00
запрос : 00 00
запрос : 00 00 00 00 00
запрос : 02 01 A2
запрос : 5A 5A 02 01 A2
запрос : 5A 02 01 A2
запрос : 5A 02 01 A2 5A 02 01 A2
запрос : 5A 02 01 A2 5A 02 01 A2 5A 02 01 A2 5A 02 01 A2
запрос : 5A 02 01 A2 5A 02 01 A2 5A 02 01 A2
запрос : 5A 02 01 A2 5A 02 01 A2 5A 02 01 A2
запрос : 5A 02 01 A2 5A 02 01 A2 5A 02 01 A2
запрос : 5A 02 01 A2 5A 02 01 A2 5A 02 01 A2 5A 02 01 A2
запрос : 5A 02 01 A2 5A 02 01 A2 5A 02 01 A2
запрос : 5A 02 01 A2 5A 02 01 A2 5A 02 01 A2
запрос : 5A 02 01 A2 5A 02 01 A2 5A 02 01 A2
запрос : 00

только одна команда одиночной получилась, а в остальные запросы сразу несколько попадает - итого 11 попыток правильно ответить.... зато ни один запрос не потерялся, а у меня получалось 16 одиночных получить, но остальные терялись...

Boryan, я подумал что нужно все же разрыв делать на RX, но управляемый, т.е. с двух концов вывести провода чтобы можно было их соединить когда потребуется батарейку зарядить, а то разрядим ее экспериментами а в слепую заряжать без среднего контакта вдруг не получится, поскольку при зарядке очень уж активный разговор у них идет...

[lport3]

Вот поправил алго запроса.
----устарело----

[ANDPSP]

Сообщение от lport3 Вот поправил алго запроса. http://narod.ru/disk/20273058000/Bat...j_1_1.rar.html

Супер :-) пока выглядит так как нужно...

запрос : 5A 02 01 A2
Не найдено подходящего ответа.
запрос : 5A 02 01 A2
Не найдено подходящего ответа.
запрос : 5A 02 01 A2
Не найдено подходящего ответа.

и ни один запрос не потерялся.... посмотрим как с ответной частью заработает, а еще вопрос если ответ брутить - то нужно после запроса оставить пробел и все или ты не предусматривал такого усложнения ?

[lport3]

Работает не совсем так как надо,
должно быть 5A0201A2, а у тебя 5A 02 01 A2
так что в мемо с команда-ответ надо писать -
5A 02 01 A2 A5050610C20677
вместо
5A0201A2 A5050610C20677
------
нет, брута в ответах не делал.

[ANDPSP]

Сообщение от lport3 Работает не совсем так как надо, должно быть 5A0201A2, а у тебя 5A 02 01 A2 так что в мемо с команда-ответ надо писать - 5A 02 01 A2 A5050610C20677 вместо 5A0201A2 A5050610C20677 ------ нет, брута в ответах не делал.

Ты уверен ? может быть ты при выводе лога парсишь байты пробелами ? а получаешь их все же слитно ? и надеюсь ты не побайтно (по 1 байту) считываешь с линии ком-порта, а то может там уже очередь из всех запросов стоит и поздно будет отвечать уже... Ладно подождем Боряна с его умной железякой и проверим как консоль эмулированные ответы хавает, если схавает и следующий запрос так же придет 31 раз, то это не плохо, а вот если ей что то не понравится и она опять начнет с первого тогда не представляю что делать... но надеюсь что все получится...

[ivy]

ANDPSP, С ком порта читаю и отправляют по одному биту за раз. На то он и последовательный. А гугл не помог? Или вы не пробовали. Просто я процентов на 500 уверен что есть софт который позволяет общаться через ком порт по произвольному протоколу. Я бы с радостью помог, тем более под виндовсом читать и писать в ком порт очень просто, но у меня нет ком порта, нет юсб-ком адаптера, и нет возможности подключить псп чтобы проверить программу.

[Yoti]

Кстати, попалось на глаза https://www.pspx.ru/forum/showpost.ph...1&postcount=10

[Boryan]

Батарейки меня достали..ещё одну ковырнул Взял нулёвую запакованную зызу 3008 официальной поставки в россию. Вытащил у неё батарейку и начал её пытать В начале прога Псп тул показывала нормальный серийник....затем я вскрыл батарейку и отрезал дорожку от еепрома которая отвечает за чипселект....Псп тул показал серийник 0х00000000.....а по идее должен показать ffff ...таким образом делают аппаратную пандору. Псп тул кажет что батарейка автобут...но пофигу что серийник нулевой....автобута нету!!! Так мало того восстановил дорожку в надежде что всё вернётся на круги своя....но увы...серийник так и остался 00000. Сделал дамп епрома там одни нули....попробовал залить другой дамп ...Псп туо отрапартовал что всё ок дамп залит без ошибок...проверил, а там 00000 Короче сволочная батарейка с защитой от сони...которая при любой попытке сделать из неё пандору, обнуляет всю свою память в ноль и не даёт ни чего туда записать. Но работать продолжает исправно...Задолбали эти сони своими защитами от всего чего нужно и не нужно...

[ErikPshat]

Первый запрос идёт 01 на статус и заряд батареи.
В ответ от батареи идёт код 10 и заряд батареи.

Думаю, что на основе этих чисел генерируется запрос 80, так как больше других данных не поступает в сервисном режиме.

Но вроде тут уже научились посылать нужный ответ от батарейки, значит можно каждый раз отсылать ответ не о рандомном заряде батареи, а постоянное значение.
Отсюда, по ходу, должен генерироваться код 80 одинаковый.
И получать ответ одинаковый и т.д.

[Boryan]

ErikPshat, Нужно у Стаса спросить делал ли он так. Но думаю на днях как запущу зызу с батарейкой подключенной к компу.. всё станет ясно.

[stasik007]

Есть идея -снять лог зыз с батарейкой во время дампа еепром - тогда будут извесны комманды записи и чтения в еепром
затем почитать доки по контроллеру и попытаться этими коммандами извлечь из него содержимое внутренней памяти - поменяв адреса.
это - как минимум - должно дать возможность восстанавливать непандорящиеся батарейки после неудачной прошивки! А максимум извлечь библиотеку кодов на основании которых генерятся ответы на 80 и 81 вопросы.
Может - возможно будет подправить battery tool, в нашу пользу - чтоб не потрошить батарейки.

[lport3]

Подправил еще программку, отладил немного
связь, подкинул к своей псп.. светодиоды маргают,
псп загружается, по нормальному надо на брике пробовать..
----устарело----

lport3 добавил 02-05-2010 в 22:35
Примеры строк запрос-ответов:

5A0201A2 A5050610C20677
5A0201A2 A5050600C20687
5A0201A2 A50506FFC20678

5A0203A0 A5040636100A
5A02099A A5040601044B

5A020C97 A50606FFFFFFFF52
5A020C97 A50A06FFFFFFFFFFFFFFFF52

5A0B8008 A51206EFDDEDA268B1F15CF705F1F16FFADDE27B
5A0B8008 A51206FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF52

5A0A810A A50A06FFFFFFFFFFFFFFFF52
5A0B8002 A51206FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF52

[ANDPSP]

Сообщение от lport3 Подправил еще программку, отладил немного связь, подкинул к своей псп.. светодиоды маргают, псп загружается, по нормальному надо на брике пробовать.. http://narod.ru/disk/20334093000/Bat...j_1_2.rar.html

Т.е. тебе удалось подрубиться к консоли с изолированным средним контактом батарейки и загрузить консоль ??? Не заметил после какого запроса-ответа загорается зеленая лампочка ? И если ты подключался внутри батарейки то может выложишь фотку ? А сорри, забыл что ты через K-Line работаешь....