Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

// Вот разложил поточнее, что выложил stasik007:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 08364CAFF8EFE8E9A5 84
A512 06 EFDDEDA268B1F15CF705F1F16FFADDE2 7B
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 02129A117169ADE46F 81
A512 06 CEE3A231846B7A3CACC16A81AE99A14F 8A
5A0A 81 08EC25077C96EB55 A8
A50A 06 3D71D0DDA5AC498D C8
5A02 01 A2
A505 06 00C206 87
5A0B 80 0208FA21BD9B0CF433 6A
A512 06 649C9CC965D9AA823804FA537F84ADC7 73
5A0A 81 0A99549CC666111A 30
A50A 06 1DF65042207C3621 B2
00

Включаю приставку:

5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 082ED10418C5A517A7 CF
A512 06 956EC42197FA58395A3D01B7EBB74C36 C5
5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 0265727014369503DA 15
A512 06 D3D208AC828AC4285A1F1BE8389276A2 93
5A0A 81 62861C9CE0618781 31
A50A 06 3E02027DA5B052A3 41
5A02 01 A2
A505 06 00C206 87
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 0104 4B
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 9AFF B7
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 00C206 87
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 81FF D0
5A02 03 A0
A504 06 2C10 14
5A02 01 A2
A505 06 00C106 88
5A02 03 A0
A504 06 2C10 14
5A0B 80 028C1358AFF19A5594 FE
A512 06 903ECAB191ACE9B53336455CD35DC860 BC
5A0A 81 9F3777774C64553C 15
A50A 06 64D75EC38A197E7B 52
5A02 01 A2
A505 06 00C106 88
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
00
*/

Расшифровка кодов

Код   Описание                   Данные  Ответ от батареи     Примечание

0x01  запрос оставшегося заряда   нет    energyleft_mAh:u16                                         
0x02  запрос температуры          нет    temperature:u8       cercius degree, min/max value unknown 
0x03  запрос напряжения           нет    voltage_mV:u16        
0x04  запрос тока                 нет    current_mA:short     positive if charging battery 
0x07  запрос ёмкости              нет    capacity_mAh:u16 
0x09  запрос оставшегося времени  нет    timeleft_min:u16     XMB showing not this value 
0x0c  запрос серийного номера     нет    serialno:u32         suspected 
0x80  запрос аутентификации?      9byte  16byte               encrypted data/reply 
0x81  запрос аутентификации?      8byte  8byte                encrypted data/reply

0x05  ответ от батареи            нет    NAK, BCC error and so on?? 
0x06  ответ от батареи            да     ACK, with reply data

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000


Во вложении:

1. "psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
   • Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
   • "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
2. "Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

EEPROM.png

[lport3]

Подключался мгтв(30см) от псп к батарейке (+,-),
к-линия на псп. Подкидывал разные ответы для псп,
иногда консоль не загружалась, пару раз с длинными
командами загрузилась. Дальше пытать ее постеснялся,
не хотелось ее брикнуть. С лампочкой не могу точно сказать,
не заметил.

[ANDPSP]

Сообщение от lport3 Удали пожалуйста мою цитату, в ней ошибка кс, да и страница удлиняется сильно. Подключался мгтв(30см) от псп к батарейке (+,-), к-линия на псп. Подкидывал разные ответы для псп, иногда консоль не загружалась, пару раз с длинными командами загрузилась. Дальше пытать ее постеснялся, не хотелось ее брикнуть. С лампочкой не могу точно сказать, не заметил.

Это хорошая новость что удалось таким образом загрузить таки консоль, по идее у тебя должны были остаться логи удачных загрузок... Ты же мог послушать диалог консоли с батарейкой а потом этот же диалог полностью воспроизвести при изолированном среднем контакте батарейки - все должно было бы получиться...
А то что ты выше привел примеры
5A020C97 A50606FFFFFFFF52
5A020C97 A50A06FFFFFFFFFFFFFFFF52
с ними удалось загрузить консоль или нет ? что было после этих команд ? и еще если первый запрос-ответ проходит то второй запрос консоль также 31 раз посылает или снова с первого запроса начинает ?

[lport3]

Полностью воспроизвести не получится,
"длинные" команды постоянно разные.
Логи не сохранял.

lport3 добавил 02-05-2010 в 23:04
А чего такой хипеж? Раньше никто не мог
включить консоль.. ну например на китайской батарейке,
думаю там тоже не сильно мудреный протокол.)

lport3 добавил 02-05-2010 в 23:12

А то что ты выше привел примеры 5A020C97 A50606FFFFFFFF52 5A020C97 A50A06FFFFFFFFFFFFFFFF52 с ними удалось загрузить консоль или нет ?

не пробовал..) ибо сыкотно было брикнуть.

и еще если первый запрос-ответ проходит то второй запрос консоль также 31 раз посылает или снова с первого запроса начинает ?

множественные повторы были когда ответа на команду небыло

[ANDPSP]

Сообщение от lport3 пару раз с длинными командами загрузилась

Уточни... Ты подавал питание от батарейки и сразу эмулировал ответы для консоли с PC и при этом у тебя получилось загрузить консоль ? т.е. рычажок питания на консоли ты не трогал и она сама загружалась ?

[lport3]

нет, сначала подключал к компу, включал
эмуляцию.. и только потом рычажок для включения.

[ANDPSP]

Сообщение от lport3 нет, сначала подключал к компу, включал эмуляцию.. и только потом рычажок для включения.

Ясно, значит обычный режим, а то я уж подумал что те разы когда у тебя консоль не загрузилась - вдруг это был запуск сервисного режима :-) поэтому про зеленую лампочку и спросил - она же горит, а консоль не загружается - хочет стартовать с флешки и не может...

[lport3]

Ну я таких тонкостей не знаю, и с флешки
загружать не умею.. надо чтобы понимающий человек
все это делал. Был бы брик на руках, и флешка загрузочная
можно было б попытать..

[ErikPshat]

lport3, нужно чтобы Boryan подтянулся и провёл эксперименты. У него всё оборудование есть.
И К-линию он вроде собирался спаять.

Вот здесь правда какой-то готовый "Мастер Кит" есть. Вроде похоже подойдёт. Там есть переключатель на 5V.

Я тут подумал, может мне взять в руки паяльник и собрать себе тоже этот адаптер =)
Только по какой схеме его делать? Дайте мне схему и инструкцию по изготовлению. Я так понял, что вот здесь в конце подойдёт схема от Hass-а на DS275 и MC33199.

[lport3]

К-лайн подойдет любой. Даже на 2х транзисторах,
нужна скорость 19200, совсем не критичная по железу.
5в режим не нужен, это просто внутренняя подтяжка к
напряжению питания. У меня адаптер питается с 6.5 вольт
хотя работает от 4х до 7 вольт нормально.
Мастеркит "выше" пойдет отлично, у мастеркита есть адаптер
юсб-к-линия на фтди, так и он тоже нормально пойдет.

[ErikPshat]

Вот здесь ещё куча барахла есть. Просто хочется самому собрать, т.е. схема от Hass-а значит пойдёт. Мне просто Борян говорил что-то про 12V, что не подойдёт.

Особо понравилась такая фигулинка

P.S. Немного оффтопа.

[Boryan]

lport3, напиши мне в личку где живёшь ...если рядом и есть возможность встретиться дам брик 3000...для опытов...у самого пока чота завал на работе...не могу уделить время для 3000.

Блин только глянул твой профиль....Омск....в Томске я служил....мля почти рядом с Москвой ))Придётся самому ковырять

Boryan добавил 03-05-2010 в 01:59
ErikPshat, Не парься нужен самый простой проводок USB ( Дата кабель) для прошивки любого сотового телефона..Продаётся в салонах сотовой связи стоит приблизительно 250руб вот такой Завтра я скажу как подключить его к батарейке.

Boryan добавил 03-05-2010 в 02:09

Сообщение от lport3 Подправил еще программку, отладил немного связь, подкинул к своей псп.. светодиоды маргают, псп загружается, по нормальному надо на брике пробовать..

И на нормальной это можно проверить...не баись по питанию зызу не брикнешь....если зыза загружается и горит зелёная лампочка ,значит это обычный режим....а вот если зелёная лампочка горит и зыза ни чего не делает это сервисный режим...В сервисном режиме зызы грузится только с картридера, а раз там нет ничего она тупо будет ждать с чёрным дисплеем и с зелёным огоньком

[lport3]

ErikPshat, можно и у Маслова взять,.. но вот, для сравнения
цены и качества, готовый девайс мастеркитовский
http://www.masterkit.ru/main/set.php?code_id=215984

Не парься нужен самый простой проводок USB ( Дата кабель) для прошивки любого сотового телефона..Продаётся в салонах сотовой связи

В этих проводках почти всех (кроме м.юсб) используется rx-tx-cts,
хотя конечно можно подпаяться к плате, но это изврат..

И на нормальной это можно проверить...не баись

[Boryan]

lport3, Как нормальная зажжёт зелёный светодиод без рычажка включения ...тупо с команд РС, то ты почти у цели ...

Boryan добавил 03-05-2010 в 09:40
Прикольный девайс...но будет ли работать выходной каскад от 3.3в...ведь насколько я понимаю эти адаптеры питание выходного каскада берут с бортсети авто 12В....судя по фотке там для согласования уровней используется микруха....она будет стабильно работать от 3.3в?

Boryan добавил 03-05-2010 в 09:43

В этих проводках почти всех (кроме м.юсб) используется rx-tx-cts,хотя конечно можно подпаяться к плате, но это изврат..

Так я и хочу взять Rx и Tx с этого проводка и подключить их к выходному каскаду батарейки оторвав его от контроллера батарейки, тем самым мы получим 100% согласование уровней..

Boryan добавил 03-05-2010 в 09:44
Хотя так и батарейку ковырять нужно и паять...

[lport3]

Еще 2 дня псп у меня не будет, так что с опытами не получится.
Сразу поправлю, это не каскад а сведенный ттл. Подключать ттл
напрямую не рекомендую, в хучшем случае засадишь юсарт на
контроллере. Для согласования уровней есть готовые решения
si94334, mc33199.., уверяю тебя, лучше решения ты не найдешь.

.судя по фотке там для согласования уровней используется микруха....она будет стабильно работать от 3.3в?

Ты немного перепутал "светлое" с "мягким", для примера посмотри на операционный усилитель
с узолированным управлением.

выходному каскаду батарейки оторвав его от контроллера батарейки, тем самым мы получим 100% согласование уровней..

Если его оторвать, юсарт не услышит эха.

[ANDPSP]

Не хватило терпения дождаться Boryan'а, тоже расковырял аккум...

Фотка

Boryan, не подскажешь что это могут быть за контактные площадки ABC в левом нижнем углу платы и TC сразу по ходу центрального контакта ( ровненькая такая круглая площадочка) ? И епром по ходу тоже отсутствует... и RX с TX не подписаны...

[Yoti]

Boryan,
телефонный шнурочек на фото на ПЛ-2303? =)

[Boryan]

Boryan, не подскажешь что это могут быть за контактные площадки ABC в левом нижнем углу платы и TC сразу по ходу центрального контакта ( ровненькая такая круглая площадочка) ? И епром по ходу тоже отсутствует... и RX с TX не подписаны...

А фиг их знает что это за контакты....это ещё один вид галимой китайской батарейки rx и tx там точно есть ..но вот где нужно изучить этот китайский проц...вечерком вплотную засяду и всё выясним.

Boryan добавил 03-05-2010 в 14:29

Сообщение от Yoti Boryan, телефонный шнурочек на фото на ПЛ-2303? =)

Он самый

[Saros]

2 Boryan
Как подключить кабель на PL2303 к батарейке? У меня валяется такой от сименса, раскуроченный уже. Подключал его к телескопу =)

[Boryan]

ANDPSP Вот на твоей батарейке Rx и Tx красным где разать зелёным куда паять

Boryan добавил 03-05-2010 в 23:32
вот ещё вариант на другой плате


Boryan добавил 03-05-2010 в 23:53
Прежде чем резать дорожки нужно обязательно отпаять один из выводов батарейки от платы контроллера. Но всё же самый лучший вариант будет это не потрошить батарейку , а воспользоваться способом который советует lport3. Так и батарейка жива и гимора меньше. Я пока не пробовал подсоединять PL2303 к батарейке. Занимался изучением батареек, кое что понял. Интересно себя ведут современные родные батарейки...при любых попытках сделать из них аппаратно или программно пандору ...контроллер отрубается от флешки намертво...и серийник становится нулевым...вроде как батарейкой с автобутом, но она работает как обычная....автобута нету. В самом начале думал что контроллер тупо затирает флешку..оказалось что нет пробовал ставить флеху на другую (которая пандорится программно) батарейку флеха живая и читается. Короче соня выпендрилась новым способом защиты батареек от пандоривания...контроллер на всю оставшуюся жизнь перестаёт видеть на своём борту флеху...но при этом батарейка продолжает нормально функционировать. Есть правда идея взять такую новую батарейку раскурочить, отключить батарейку от платы контроллера и на программаторе или на другой нормальной батарейке перешить её флеху на пандору и запустить. Очень интересно как она себя поведёт? Обнаружит контроллер подмену и уйдёт в блокировку флешки или проглотит серийник FFFFFFFF ? А что если проглотит? И эта батарейка сработает на 3000? Тут ведь явно новый контроллер с новым набором команд....хотя мож я и ошибаюсь....содержиммое флехи очень похоже на старые батарейки. Так и не понял нафига вообще флешка в батарейке ..ну кроме как серийник в ней...ведь батарейка полноценно работает и без неё....тогда нафига там какие то данные помимо серийника?

[Saros]

Ну коли контроллер себя ведет таким образом, напрашивается один момент - чексум флэша. А вот где он. В самом флэше или...