Pandora (unbricker/downgrader) для PSP-200X TA-088v3

[ErikPshat]

Сервисный комплект для PSP-200X
(включая TA-088v3)

{ НИЧЕГО НЕ ПРОДАЁМ / NO SALES HERE }

После удачного взлома и последующей длительной заморозки в скрытом разделе темы:
"Размышления о возможностях взлома ТА88v3"
было решено, что настало время её разморозить и отдать "в народ".
Дабы не нарушать хронологию "размышлений по взлому", инструкция выложена в шапке отдельной темой.

Первое видео от Yoti

Новое видео подтверждение работы сервисной карты JigKick на PSP-2006 TA-088v3!

Комплект сервисной карты и MSID Dumper:

• Service_memstick_TA-088v3.zip
  
• MSID Dumper & SRC.zip

Структура папок в архиве:

• Extracted Files Original - все оригинальные извлечённые файлы с образа - по сути комплект сервисной карты (файловая копия карты).
• MSID 512mb Original - это дамп MSPro ID оригинальной сервисной карты, снятый с помощью MSID Dumper (сервисная область).
• Original Dump MS - полный образ сервисной карты в формате IMG. Можно посмотреть через WinHex (raw копия карты).
• Write IPL to MS - утилита записи сервисного IPL-загрузчика в 16-ый сектор карты памяти. Сам IPL уже там тоже лежит: multiloader_ipl.bin.

Изготовление волшебной сервисной карты:

1. Необходима карта MS PRO DUO неоригинал на 512 Мб, 2 Гб или 4 Гб.
2. Оригинал SONY не подходит, т.к. имеет свои чипы нанда и к ним нет спецификаций (даташита) и программаторов.
   
   Такие оригиналы НЕ подходят

   Это MS PRO DUO Mark2.
   Контроллёр, микросхема и плата залиты в один монолитный корпус, даташитов к ним нет и программатор к ним не найдёшь.
   
   1.jpg
   
   2.jpg
3. Скачиваем "MSID Dumper", вставляем карту памяти в PSP и запускаем программу. Видим на экране номер "Серийный номер" и MSProID вашей карточки и записываем, хотя дамп области MSID всё равно сохранится в корне карты памяти и вы можете его потом посмотреть хекс-редактором. Это вам может пригодиться, когда вы будете искать данные MSID в дампе микросхемы.
4. Тонким скальпелем располовиниваем корпус карты памяти пополам. Не поностью, а только заднюю часть и чуть больше половины по краям.
5. Затем пинцетом достаём из корпуса плату, она не приклеена, а просто лежит в пазах.
6. Из платы выпаиваем микросхему памяти (nand), которая самая большая и имеет 48 ножек. Рядом находится небольшой квадратный контроллёр памяти, его не трогаем.
   
   
   Подходящие карты памяти и nand

   3.jpg
   
   4.jpg
   
   5.jpg
   
   6.jpg
7. Вставляем микросхему в программатор с панелькой TSOP-48 под эту микросхему: http://www.soft-center.ru/reader/
8. Нужно учитывать, что с виду карты одинаковые, но внутри могут быть разные нанды, например Hynix или Samsung. Поэтому под вашу микросхему уже потом ищется программатор. Смотрим список поддерживаемых микросхем: http://www.soft-center.ru/reader/NAND_List.php.
   Hynix, насколько я знаю, практически все имеют одинаковый стандарт выводов по даташиту среди TSOP-48, поэтому если буквы или цифры немного отличаются от списка поддерживаемых моделей, то это вряд ли имеет значение.
9. Микросхема вставляется в панельку программатора очень просто. Панелька имеет конструкцию прищепки, нажимаем сверху, контакты отходят, ставится микросхема и отпускаем, контакты прижимаются к ножкам микросхемы.
10. Далее, программатор подключается к компьютеру, с заранее установленной программой и драйверами, поставляемыми с программатором. В программе указывается диапазон страниц, которые нужно сдампить и дампится часть памяти.
11. Сразу дампить 2 Гб всей памяти очень долго, да и не нужно. Сразу скажу, что нужная нам служебная область, где прописан MSID карты находится либо в самом начале, либо в самом конце микросхемы, обычно в 1-ом банке и не далее 3-4 блоков. Рекомендую сдампить сразу 4 блока - это 256 страниц или 0x100 в шестнадцатеричном виде, что и нужно указывать в диапазоне.
12. Открываем файл дампа в хекс-редакторе. Вводим в поиск, что нужно искать, а именно кусок хекс-кода MSID: 4D535053, что в буквенном выражении означает первые четыре аббревиатуры MSPS(NY0/DK0/XX0), то есть, это часть 16-значного ключа MSID, которая у всех карт памяти MS PRO DUO одинаковая.
    
    
    Скриншот MSID

    Это логическая область с MSID, снятая программой MSID Dumper, сохраняющаяся в корне карты памяти в файл. По структуре она не имеет ничего общего с настоящей областью MSID, которая находится в физическом чипе памяти.
    Требуется только для определения номера MSID для поиска в сыром RAW-дампе ципа карты памяти.
    Не путать с оригинальным RAW-дампом(снятым программатором)!
    
    MSID.png
    
    Это предварительная настройка снятия области дампа в программаторе "Тритон"
    
    HY27UY08AG5M.png
    
    Так выглядет оригинальная сервисная область MSID, сдампленная программатором.
    Обратите внимание, что она выглядет совсем иначе, нежели на первом рисунке, снятом программой для PSP - "MSID Dumper".
    
    

    • В стартовом секторе содержится серийный номер и MSID.
    • Далее идут 3 пустых сектора, полностью заполненных FFFFFFFF.
    • Затем идёт сектор, где указывается фрмат и размер карты памяти.

    
    
    HY27UH08AG5M.png
13. Найдя искомое, меняем 16-значный ID данной карты на ID сервисной. Необходимый код ID вы найдёте в папке "MSID 512mb Original" в файле ID.txt.
14. После замены ID, не забудьте сохранить файл. Затем обратно вшиваем этот дамп страницы по тому же адресу, откуда сдампили.
15. Впаиваем микросхему на место.
16. Форматируем изготовленную карту памяти на PSP.
17. Из папки "Write IPL to MS" запускаем "install_psp_ms_multi_loader_ipl.cmd"
18. Только после этого, делаем подключение PSP к компьютеру.
19. В окне консоли видим, как определяется флешка и нажимаем английскую "Y"
20. Видим сообщение "Write MS BOOT CODE" - значит всё отлично.
    • Если выдаётся сообщение "Canceled" - значит не ту букву нажали или не в той раскладке.
    • Если выдаётся сообщение "Check free reserved sector : to small reserved sectors" - значит идём изучать эту тему (Способ №2).
21. Монтируем в Хекс-редактор флешку, как физический диск и удостоверяемся, что в 16-ом секторе присутствует знакомый нам IPL.
22. Из папки "Extracted Files Original" копируем содержимое на флешку и идём прошивать брикнутые ТА-088v3 =)

---

1. 1 сектор = занимает 512 байт + 16 байт избыточного кода данных, позиционирования сектора и контрольная сумма ECC в конце каждого сектора.
2. 1 страница = это 4 сектора, т.е. 2048 байт + 64(16х4) служебных байта = 2112 байт.
3. 1 блок = 64 страницы (256 секторов), конечно же вместе с техническими данными. 131072 + 4096 = 135168 байт или 132 килобайта.

Страница спецификации

[Yokel]

Сообщение от gregorio он как-бы вроде на usb флэхах стоит.. или я ошибаюсь?

Да, но алгоритм вычисления ECC полностью аналогичен нашему (проверено)!

Сергей из soft-center.ru говорит, что если "изменить ECC на один байт (в предалах кооректирующей способности кода), то контроллер возможно пересчитает его на верный", кто первый проверит? gregorio куда то пропал.

[Yoti]

Сообщение от Yokel Сергей из soft-center.ru говорит

в качестве поддержки продукта или по доброте душевной?

[Yokel]

Сообщение от Yoti в качестве поддержки продукта или по доброте душевной?

по доброте душевной, потому как за утилиту по расчету он просит 10000руб, либо за расчет одного блока 4000руб!

[Gregorio]

пробовал менять целиком, карта работать перестаёт.
на один байт менять не пробовал, сегодня займусь

[frostegater]

Yokel, будут гарантии, скинемся, говновопрос.

[Gregorio]

Yokel, ну это ведь только для одной карты по сути.. ибо на всех он в разных местах лежит

gregorio добавил 24.11.2011 в 16:31
поменял один байт в ecc, интересно себя ведёт. возможно из-за непропая, щас проверю еще

gregorio добавил 24.11.2011 в 16:42
мило. после изменения одного байта ecc заработала(правда потребовалал себя форматнуть)

gregorio добавил 24.11.2011 в 16:51
но увы, на особой карте, файлы которой очень привередливы к карте памяти она в очередной раз выдала NG((((

[Yokel]

что выдала, какой NG? Выпаяй микруху посмотри что с блоком!

[Gregorio]

Yokel, байт как был изменён, так и остался)

[Yokel]

gregorio, карта перестала работать или, что с ней случилось?

[Gregorio]

Yokel, карта как карта работает, мсид правильный выдаёт, но как сервисная не работает(ошибку выдаёт)

gregorio добавил 24.11.2011 в 19:47
почти полностью уверен что с известным всем значением msid она всё-равно будет работать, и прошивать консоль. но для моих целей вариант не подходит.

[ErikPshat]

Я думаю, что смена ECC ни к чему не приведёт. Это равнозначно, что смена MSID, как и смена ECC.
И в том и в другом случае ECC будет неадекватна.
Поэтому контроллёр занесёт такой блок в bad-block.

Я считаю, что ECC должен подсчитать сам контроллёр или научиться подсчитывать его самостоятельно.
А чтобы контроллёр подсчитывал ECC, нужно логически через него записывать этот блок/сектор. Тогда контроллёр сам подсчитает контролку всем переданным через него секторам.

Это можно сделать, только если ему разрешить запись в защищённую сервисную область.
Но, как мы знаем, эта область защищена от перезаписи.
Чтобы разрешить запись, нужно замкнуть ножку протектора на землю.

[Gregorio]

ErikPshat, правильно мыслите товарищ)
а по теме, щас займусь поиском. после ремонта своей приставки, убил тестами этих карт ей картридер.(

[Yokel]

Кто в Си шарит? Вот исходники Рида-Соломона http://www.schifra.com/downloads/schifra.zip надо их курить! По екзамплу получается для 249 байт данных рассчитать 6 байт ECC, по котором можно потом опять данные восстановить!

[frostegater]

Yokel, так... там каличный оутпут получается... Вылетает тот-жэ файл с 6-тибайтным смещением, походу и есть ващ ЕСС. Щас попробую сделать почеловечески, если нет, то научу патологоанатомии)

Ммм... карочи нет тайма жевать... Вот енкодер, как я сказал ужё, каличный (атач).
Как его кушать разобраться несложно. Прикол в другом. В оутпутном файле выдаётся тот же инпут, но со смещением в 6-байт: с 0x9F по 0xFE - сместитель (сместитель = ваш ЕСС). Тот файл, что я кинул для теста в инпут, мне первым подруку попался, заменяйте на свои... удачной паталогоанатомии... надеюсь - это то что вы хотели. Если то, то скажите я сделаю нормальный енкодер... а так, нет времени.

[Korugo]

Простите, что вмешиваюсь.
Вот еще занятная штука, хотя может уже видели.
http://www.elnec.com/sw/an_elnec_nand_flash.pdf
http://www.elnec.com/sw/samsung_ecc_...m_for_512b.pdf
В последнем документе расписывается структура 16-байтного ECC для 512-байт блоков.
1,2,3 байты - номер блока
4, 5 - зарезервировано
6 - метка бэд-блока
7,8,9 - ECC code for Main area data, алгоритм вычисления тоже описан
10, 11 - ECC code for LSN data (ECC для номера блока) - заметьте, вычисляется отдельно и независимо от основных данных. Здесь уже предлагалось записать на карточку блок с нужными данными и подсмотреть его ECC, не прокатило - но что если здесь так же, то есть надо заменять не весь ECC а часть отвечающую за именно данные в блоке?
12-16 - зарезервировано.
с другой стороны, это только пример, и то от самсунга. Еще там написано что это для 64м-1гб нандов, для 2гб алгоритм может быть другим.

[Yokel]

Сообщение от Korugo Простите, что вмешиваюсь. Вот еще занятная штука, хотя может уже видели. http://www.elnec.com/sw/an_elnec_nand_flash.pdf http://www.elnec.com/sw/samsung_ecc_...m_for_512b.pdf В последнем документе расписывается структура 16-байтного ECC для 512-байт блоков. 1,2,3 байты - номер блока 4, 5 - зарезервировано 6 - метка бэд-блока 7,8,9 - ECC code for Main area data, алгоритм вычисления тоже описан 10, 11 - ECC code for LSN data (ECC для номера блока) - заметьте, вычисляется отдельно и независимо от основных данных. Здесь уже предлагалось записать на карточку блок с нужными данными и подсмотреть его ECC, не прокатило - но что если здесь так же, то есть надо заменять не весь ECC а часть отвечающую за именно данные в блоке? 12-16 - зарезервировано. с другой стороны, это только пример, и то от самсунга. Еще там написано что это для 64м-1гб нандов, для 2гб алгоритм может быть другим.

это не наш формат!

Yokel добавил 25.11.2011 в 18:16

Сообщение от Frostegater Yokel, так... там каличный оутпут получается... Вылетает тот-жэ файл с 6-тибайтным смещением, походу и есть ващ ЕСС. Щас попробую сделать почеловечески, если нет, то научу патологоанатомии) Ммм... карочи нет тайма жевать... Вот енкодер, как я сказал ужё, каличный (атач). Как его кушать разобраться несложно. Прикол в другом. В оутпутном файле выдаётся тот же инпут, но со смещением в 6-байт: с 0x9F по 0xFE - сместитель (сместитель = ваш ЕСС). Тот файл, что я кинул для теста в инпут, мне первым подруку попался, заменяйте на свои... удачной паталогоанатомии... надеюсь - это то что вы хотели. Если то, то скажите я сделаю нормальный енкодер... а так, нет времени.

Ты просто откомпилил что было. в примере он обрабатывает 255 байт данных а нам надо 518, и ECC нам надо не 6 байт, а 10!

[ErikPshat]

Сообщение от Yokel Ты просто откомпилил что было. в примере он обрабатывает 255 байт данных а нам надо 518, и ECC нам надо не 6 байт, а 10!

Ага, на выходе получается белиберда, даже не учитывая сместившихся 6-ти байт.

Вот чем Samsung пользуется: Hamming code ECC is recommended to recover the error.

Источник

[ErikPshat]

Карта 2 Гига имеет 2 банка по 1 Гигу.

1 Гб = 1073741824 байт.
Значит 2097152 секторов.
Получается 524288 страницы.
А это всего лишь 8192 блоков.
Значит в двух банках 16384 блоков или 0х4000.

[frostegater]

Сообщение от Yokel Ты просто откомпилил что было. в примере он обрабатывает 255 байт данных а нам надо 518, и ECC нам надо не 6 байт, а 10!

Нудя.. понял, поработаю.

[ErikPshat]

Frostegater, вот здесь какой-то пак:

http://rscode.sourceforge.net/
http://sourceforge.net/projects/rscode/