Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 18

Boryan · 20.04.2010, 11:38

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли

Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

Расшифровка кодов

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000

Во вложении:

"psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
- Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
- "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
"Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

Yoti · 04.05.2010, 01:52

Saros,
сумма, всё-таки, она =)

Boryan · 04.05.2010, 14:16

ANDPSP, Короче батарейку твою не советую РЕЗАТЬ....умрёт

Я со своей подобной китайской поигрался ....даже не резал дорожки, а тупо отпаял один контакт батарейки для изучения схемы. Когда припаял обратно зыза на батарейку перестала реагировать. Такое бывает с другими батарейками....но там всё просто. Оторвав вывод батарейки от контролера и вновь припаяв его, контроллер думает что на его борту сменили батарейку а посему ему нужно просчитать весь полный цикл разряд/заряд и батарейка оживёт. Я тупо разряжаю батарейку лампочкой до нуля, а затем её в зызыу на зарядку и батарейка работает как новая

С голимой китайской этот вариант не прокатил....разрядил в ноль...вставляю в зызу ...подключаю зарядку....вкл зызу...батарейка кажет 100% заряда....отключаю зарядку и зыза вырубается.....батарейка померла

лампочка от неё горит, а зыза с ней не дружит....нах такой гимор вообще городить в батарейках не пойму

(((

Boryan добавил 04-05-2010 в 13:57
lport3,чота я застрял

собрал адаптер к-лайн на двух транзисторах....получаю ответ "Эхо буфера искажено, проверьте подключение.00" что за фигня? Схема такая : база транзистора n-p-n через резистор 10к идёт на Tx PL2303, эммитер на земле, коллектор через 5к подвешен к 3.3в, он же и выход/вход к-лайн, база второго транзистора n-p-n через резистор 10к подключена к коллектору первого транзистора, эммитер на земле, коллектор через 5к к +3.3в., с него идёт сигнал на Rx....Почему не пашет?

Boryan добавил 04-05-2010 в 14:16
вот схема...почему она не работает?

lport3 · 04.05.2010, 15:03

Лог выложи побольше, а то как то не понятно что
ты грабишь, батарейку или псп..
Подтягивать я советую к 5 вольтам. Глянь даташиты на транзисторы
на тему база-коллектор уровня.

Boryan · 04.05.2010, 15:29

я ни чего не граблю ...а тупо к-лайн в воздухе....на закладке Рс-батарейка...я посылаю запрос --5А02.... ответ приходит " 5А 04 01 Эхо буфера искажено, проверьте подключение" Я так понимаю, что послал то и в ответ эхом должен получить? Если вывод к-лайн ни куда не подключен...

lport3 · 04.05.2010, 15:52

Во первых команда там в чистом виде пишется.
Если ты хочешь послать 5a0201a2 надо в эдит писать 01 !
В программе, над эдитом написано специально - чтобы
читали. Символ "--" ставится вместо байта который будет бритится.
Во вторых, я лог из мемо просил выложить, а не своими словами
пересказывать.

Boryan · 04.05.2010, 16:11

lport3, Что тебе понятно и ясно..не значит что и другим это понятно..Мне не понятно, почему два порта СОМ в твоей проге....так же не понятно :

Во первых команда там в чистом виде пишется.
Если ты хочешь послать 5a0201a2 надо в эдит писать 01

Как это, пишется в чистом виде 5a0201a2....но нужно писать 01? В чистом я понимаю так и будет 5a0201a2...Потом, та схема что я нарисовал, правильная...или лучше на логике собрать...где то схему видел на ЛН1..?

lport3 · 04.05.2010, 16:37

Схемка конечно неахти, но работать должна,
главное чтобы транзисторы были маломощные.
Вот програмку подточил под тухленький адаптер,
попробуй.
----устарело----

lport3 добавил 04-05-2010 в 16:37
Команда и полный пакет это разные вещи, я думал
всем понятно..

Boryan · 04.05.2010, 17:13

lport3,

Команда и полный пакет это разные вещи, я думал
всем понятно..

Мы же только учимся ..потому и тупим...и нам не понятно...Я больше по электронике спец....а в этих командах и брутах....лох

Boryan добавил 04-05-2010 в 17:13
lport3, А если по этой схеме собрать? Она стабильнее будет?

lport3 · 04.05.2010, 17:38

Делай, как делал, только трансы подбери
поточней.

Boryan · 04.05.2010, 17:49

с тарнзисторами гимор...

сейчас в наличии только кучка SMD ...хз какие они

сейчас каждый производитель своё название даёт....с SMD попа полная

В принципе разберусь, найду что нужно. Последняя прога заработала нормально...осталось девайс нормально настроить ..Попробую всё же на логике собрать...я ей более доверяю нежели транзисторам

lport3 · 04.05.2010, 17:54

Зачем другой собирать, если как ты говоришь,
прога последняя заработала?
Если на микросхеме будешь собирать, то бери
сразу что нибудь конкретное, например mc33199

Boryan · 05.05.2010, 04:32

интересно про PL2303 в даташите

*1. RS232 pins RXD_I, RI_I, DSR_I, DCD_I, CTS_I are 5V TTL Schmitt Trigger inputs.
*2. RS232 pins TXD, DTR_N, RTS_N are 3.3V tri-state outputs.

Boryan добавил 04-05-2010 в 18:00
mc33199 ..ехать нуно на другой конец города...в таком случае лучше у чип и дип купить готовый

Я хочу сделать из того что есть в данный момент под рукой

Boryan добавил 05-05-2010 в 02:26
Да уж.....много чего я нарыл за сегодняшний день

Во первых, сделал нормальный девайс для работы с зызой и батарейкой. Во вторых, в процессе изготовления девайса была выявлена существенная ошибка....дело в том что терминал на MAX232 по входу Rx очень сильно просаживал сигнал с батарейки и посему все логи ранее снятые Стасом возможно неверны!!! Мною была разработана и испытана простенькая схемка на КМОП логике которая на нагружает линию передачи между батарейкой и приставкой, так же она может и передавать сигналы в эту линию не нагружая её. В итоге были сняты реальные логи общения батарейки с платами TA88V3 и ТА90. Для удобства и стабильности снимал каждый лог три раза. Батарейка в первом случае была с серийником 0хFFFFFFF, во втором 0хВ208137С и в третьем случае была "мудрая батарейка" которая не запускает приставку...при включении рычажка на приставке признаков не каких ...будто в приставке нет батарейки...но при подключении зарядки и включении зызы. Зыза включалась и батарейку видела...видела что она заряжена на 100% и зарядка завершена, ПСП тул исправно читал с неё серийник, но стоило вытащить зарядку, зыза сразу вырубалась. Ну вот с этой батарейки я и снял лог.....оказалось что 32 запроса в TA90 на пандору это не особенность этой версии платы....ТА88V3 на эту батарейку тоже шлёт 32 запроса....Вообщем чего говорить...смотрите сами архив ...http://slil.ru/29082861

Boryan добавил 05-05-2010 в 03:22
А вот и схемка новая....я использовал КМОП логику CD4011...но можно и любую другую главное КМОП..из отечественных лучше серии 561лн2,ла7.
Резисторы по 22ом..

Boryan добавил 05-05-2010 в 03:25
lport3, Прога твоя всё равно чудит

Осциллогафом все сигналы смотрю, всё в норме и соответствует сигналам батарейки и зызы. запросы идут...а ответов нету...хотя схема и на чтение проверенна..логи что выше сняты ей..

Boryan добавил 05-05-2010 в 04:32
Либо PL2303 чудит....Выложи схему своего девайса...можно один выходной каскад...интересно как он работал с батарейкой...ведь у батарейки выход открытый коллектор

Как работает твой девайс, по аппаратному СОМ или виртуальный СОМ?

lport3 · 05.05.2010, 08:53

Эххх, Боря ну почему ты не хочешь собрать
уже известный вариант.. неправильная у тебя схема.
она и Rx то инверсом читает. То что делается 15 минут,
ты уже вторую неделю мучаешь.
Если говорить о кмопе, годится только "не" инвертор.

lport3 добавил 05-05-2010 в 08:53
Сходи сюда
http://chiptuner.ru/content/kline/
обсуждение на форуме
http://forum.chiptuner.ru/showthread.php?t=321
посмотри хотя бы принцип действия.
Ты меня за гиперссылки в бан вгонишь..)
А лучше собери нормальный на мс33199 (как у меня)).

**Ins|der** · 05.05.2010, 10:28

Сообщение от Boryan

терминал на MAX232 по входу Rx очень сильно просаживал сигнал с батарейки и посему все логи ранее снятые Стасом возможно неверны

на корректность логи можно проверить прогой psp_bat
в паре случаев она действительно выдавала ошибку, но большая часть верна)

Ins|der добавил 05-05-2010 в 10:28

Сообщение от Boryan

Интересно себя ведут современные родные батарейки...при любых попытках сделать из них аппаратно или программно пандору ...контроллер отрубается от флешки намертво...и серийник становится нулевым...
Есть правда идея взять такую новую батарейку раскурочить, отключить батарейку от платы контроллера и на программаторе или на другой нормальной батарейке перешить её флеху на пандору и запустить. Очень интересно как она себя поведёт?

Boryan, логи ты с такой батареи снимал?

если у 3000й зызы новый системный контроллер и у современных аккумов контроллер модифицированный, можно предположить что 3000я захочет переходить в сервисный режим только с такой батареей, которая не хочет пандориться ни программно ни аппаратно...

Boryan · 05.05.2010, 10:51

lport3,Ну и что, что инвертор? ты не обратил внимание что стоят в каждом каскаде по два инвертора.

По осциллограммам сигналы один в один с сигналами зызы.

**Ins|der** · 05.05.2010, 10:55

Сообщение от Boryan

в третьем случае была "мудрая батарейка"

и правда, удивительные ответы на 80 запрос выдает:

5A 0B 80 0A5B3CD46338B8FE15                       3F
A5 12 15 0A5B3CD46338B8FE153F000000000000         19

5A 0B 80 08F550D14F1A7B5979                       46
A5 12 15 08F550D14F1A7B597946000000000000         19

первые 9 байт полностью повторяют код запроса, в динамической части 6 байт нули,
третий байт 15, хотя должен быть 06 при нормальном ответе)
а флеш у этой батарейки цел? мож контроллер чудит

Boryan · 05.05.2010, 10:57

Ins|der, Логи FFFFFFFF сняты батарейкой которая пандорится программно

lport3 · 05.05.2010, 11:01

Сообщение от Boryan

lport3,Ну и что, что инвертор? ты не обратил внимание что стоят в каждом каскаде по два инвертора.

По осциллограммам сигналы один в один с сигналами зызы.

Смотри даташит и учебники кмоп.

Boryan · 05.05.2010, 11:16

Ins|der, фотка внутренностей этой батарейки есть в этой ветке. Это дешёвая китайская батарейка на паре микрух...одна из них защитный ключ, а вторая,- всё в одном

батарейка умерла после того как я отпаял вывод аккумулятора от платы контроллера и припаял его обратно. С платой контроллера больше ни каких операций не делал. Обычно многие батарейки после этого не стартуют сразу, но как только вставишь её в зызу и подключишь зарядку на минуту, то они запускаются....с этой такой вариант не проканал...

Boryan добавил 05-05-2010 в 11:16

Сообщение от lport3

Смотри даташит и учебники кмоп.

блин ты меня в сомнения вводишь

Какая разница в двух инверторах и одном не инверторе....не инвертор вх=0 вых=0 ....инвертор №1 вх=0 выход=1-> инвертор №2 вход=1, выход=0 .....и в чём проблема? затем CD4011 КМОП прекрасно согласуется с ТТЛ входом Rx....эта микруха и разработана на работу с ТТЛ....не путай КМОП 176 серии с КМОП 561 серии

**Ins|der** · 05.05.2010, 11:16

Boryan, а можешь дамп EEPROM выложить?

ответ на запрос заряда:

5A 02 01               A2
A5 05 06 3022F7     06

4й байт 30 вместо 10, заряд вообще нереальный показывает 63 266 mAh

наверное это все же контроллер спятил)