Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

// Вот разложил поточнее, что выложил stasik007:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 08364CAFF8EFE8E9A5 84
A512 06 EFDDEDA268B1F15CF705F1F16FFADDE2 7B
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 02129A117169ADE46F 81
A512 06 CEE3A231846B7A3CACC16A81AE99A14F 8A
5A0A 81 08EC25077C96EB55 A8
A50A 06 3D71D0DDA5AC498D C8
5A02 01 A2
A505 06 00C206 87
5A0B 80 0208FA21BD9B0CF433 6A
A512 06 649C9CC965D9AA823804FA537F84ADC7 73
5A0A 81 0A99549CC666111A 30
A50A 06 1DF65042207C3621 B2
00

Включаю приставку:

5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 082ED10418C5A517A7 CF
A512 06 956EC42197FA58395A3D01B7EBB74C36 C5
5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 0265727014369503DA 15
A512 06 D3D208AC828AC4285A1F1BE8389276A2 93
5A0A 81 62861C9CE0618781 31
A50A 06 3E02027DA5B052A3 41
5A02 01 A2
A505 06 00C206 87
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 0104 4B
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 9AFF B7
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 00C206 87
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 81FF D0
5A02 03 A0
A504 06 2C10 14
5A02 01 A2
A505 06 00C106 88
5A02 03 A0
A504 06 2C10 14
5A0B 80 028C1358AFF19A5594 FE
A512 06 903ECAB191ACE9B53336455CD35DC860 BC
5A0A 81 9F3777774C64553C 15
A50A 06 64D75EC38A197E7B 52
5A02 01 A2
A505 06 00C106 88
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
00
*/

Расшифровка кодов

Код   Описание                   Данные  Ответ от батареи     Примечание

0x01  запрос оставшегося заряда   нет    energyleft_mAh:u16                                         
0x02  запрос температуры          нет    temperature:u8       cercius degree, min/max value unknown 
0x03  запрос напряжения           нет    voltage_mV:u16        
0x04  запрос тока                 нет    current_mA:short     positive if charging battery 
0x07  запрос ёмкости              нет    capacity_mAh:u16 
0x09  запрос оставшегося времени  нет    timeleft_min:u16     XMB showing not this value 
0x0c  запрос серийного номера     нет    serialno:u32         suspected 
0x80  запрос аутентификации?      9byte  16byte               encrypted data/reply 
0x81  запрос аутентификации?      8byte  8byte                encrypted data/reply

0x05  ответ от батареи            нет    NAK, BCC error and so on?? 
0x06  ответ от батареи            да     ACK, with reply data

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000


Во вложении:

1. "psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
   • Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
   • "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
2. "Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

EEPROM.png

[Ins|der]

Сообщение от dn3d добавлен подсчет контрольной суммы

вот это полезная фича, спасибо!
показала ошибки предыдущих логов)

p.s. в последнем их нет, что радует =)

[Boryan]

попробовал залить дамп батарейки от Стаса....один фиг на 3000 на 80 запрос возвращаются нули....Очень мудрые батарейки получаются...Я то думал что во внешнем епроме хранятся ключики от библиотеки ответов на 80 запрос.......а выходит что в самом контроллере во внутреннем епроме хранятся эти библиотеки....в моих батарейках этих библиотек для 3000 вообще нету....в Стасовой они есть но не те что нужны для 3000...Теперь задача получить доступ к епрому контроллера....команда на чтение епрома нам известна ....мож задать смещение на чтение и попробовать таким вытащить содержимое епрома из самого контроллера?
Yoti, ты можешь в проге что дампит епром изменить адреса чтения?

[ANDPSP]

Сообщение от Boryan ANDPSP, Ты провода вообще не туда паяешь Посмотри на фотке где я рисовал...там зелёным отмечены места куда паяться...а красным какие дорожки резать.... ЗЫ сейчас проанализировал логи Стаса и мои с батарейками FFFF на 3000....у меня все 3 шт. батарейки пандора, на запрос зызы 5А0В80.... отвечают тупо 0000000.......а у Стаса всегда разные ответы.... Почему....у кого ошибки при чтении лога?

Не нада ляля :-))) Все припаяно куда нужно и именно туда куда ты отмечал... Вопросы решились сами собой обычной заменой консоли - вставил эту батарейку с проводочками в PSP2000 с TA-088v3 и конечно же она не заработала - консоль не включается вообще, но стоило скрутить зеленый проводок и синий - это как раз разрыв RX и батарейка ожила и консоль включилась и работает отлично...
Итак вывод - PSP1000 для опытов не годится, ей абсолютно пофиг какие в нее вставляют батарейки - такое ощущение что ей нужно только питание и средний контакт она просто игнорирует, а вот старшие модели активно его используют и поэтому все получилось как я и предполагал - с разрывом на линии RX батарейка не стартует и консоль не грузится...

[Boryan]

Yoti, аууу.... делай в своей проге смещение для чтения епрома из контроллера

Boryan добавил 06-05-2010 в 14:09
ещё лог теперь уже с запросом серийника->дампом епрома->записью епрома обратно

вставили батарейку...включили консоль..запустили ПСПтул


5A0201A2A5050610DD035F5A020C97A50606341278563A5A0B8008B156F2E5ED95063478A5120607
523AC90F6479289E5793F628711B4E525A0A81954616D3BEE039DBA4A50A067B42D77E579DDC9BCD
5A0201A2A5050600DD036F5A0B8008F1093E0450343ACD4BA512065A841667C8DB21A384B663AA2F
53327A0B5A0A8185CAB27522166C9070A50A066C9E52B7C528B9DEB35A0201A2A5050600DD036F5A
0203A0A50406900FB15A0B800864B1E6E0AA69CB64F5A51206533DA96B49E5BC6B7BA6A3AD76B8F0
88325A0A8194C3A7BE0E733B465CA50A0606B5DE98E533225A85005A0201A2A5050610DD035F5A02
079CA50406BA04925A020B98A5040626002A5A02099AA504066501EA5A0202A1A503061B365A0204
9FA504065AFFF75A0203A0A50406770FCA5A0201A2A5050610DD035F5A02099AA5040604014B5A02
02A1A503061B365A02049FA5040631FF205A0201A2A5050610DC03605A02079CA50406BA04925A02
0B98A5040626002A5A02099AA50406FB00555A0202A1A503061B365A02049FA5040614FF3D5A0203
A0A50406690FD85A0201A2A5050610DC03605A0201A2A5050610DC03605A0203A0A50406690FD85A
020C97A50606341278563A5A0B8002B8293B4EF325B7DC03A5121500000000000000000000000000
000000335A0201A2A5050610DC03605A0203A0A50406690FD85A020C97A50606341278563A5A0B80
08205FF8392650787FF5A51206DD2C7EEA331016431B89686DCC19B3C1635A0A81A7E064DA44D166
7466A50A068A82C58503443F95D95A02099AA504061F01305A0202A1A503061B36

запросили серийник

5A03140787A50506073412025A03140985A50506097856785A02049FA504064AFF07

сервисное общение зызы и батарейки

5A0203A0A50406640FDD5A0201A2A5050600DA0372
5A0201A2A5050600DA03725A0203A0A50406640FDD5A0B80087570A0A2614AFCFE46A51206BC4DD5
699C8DC38DC69297EE257D2D83535A0A816490ABA5AE8292DF35A50A06BD682CA8DE2D2327FC

делаем дамп епром
5A0314008EA5050600E204695A0314018DA5050601FFFF505A02099AA504065401FB5A0314028CA5
0506026410D95A0314038BA5050603FFFF4E5A0314048AA50506040A00415A03140589A505060528
00225A03140688A50506064100085A03140787A50506073412025A03140886A5050608FFFF495A03
140985A50506097856785A03140A84A505060AFFFF475A03140B83A505060BFFFF465A03140C82A5
05060CFFFF455A03140D81A505060DFFFF445A03140E80A505060EFFFF435A03140F7FA505060FFF
FF425A0314107EA5050610FA03425A0314117DA50506112600185A0314127CA5050612FFFF3F5A03
14137BA5050613FFFF3E5A0314147AA5050614FFFF3D5A03141579A5050615FFFF3C5A03141678A5
050616FFFF3B5A03141777A5050617FFFF3A5A03141876A5050618FFFF395A03141975A5050619FF
FF385A03141A74A505061AFFFF375A03141B73A505061BFFFF365A03141C72A505061CFFFF355A03
141D71A505061DFFFF345A03141E70A505061EFFFF335A03141F6FA505061FFFFF325A0314206EA5
05062000002F5A0314216DA50506214302E95A0314226CA505062220030A5A0314236BA5050623C9
FF645A0314246AA50506248302A65A03142569A50506258202A65A03142668A5050626FFFF2B5A03
142767A5050627FFFF2A5A03142866A5050628FFFF295A03142965A5050629FFFF285A03142A64A5
05062AFFFF275A03142B63A505062BFFFF265A03142C62A505062CFFFF255A03142D61A505062DFF
FF245A03142E60A505062EFFFF235A03142F5FA505062FFFFF225A0314305EA5050630BA04615A03
14315DA50506316400BA5A0314325CA5050632A0007D5A0314335BA50506331600065A0314345AA5
0506342000FB5A03143559A50506353200E85A03143658A50506363002E75A03143757A50506376A
27875A03143856A5050638D7261A5A03143955A505063975227F5A03143A54A505063A4B1FAB5A03
143B53A505063B3993485A03143C52A505063CFFFF155A03143D51A505063DFFFF145A03143E50A5
05063EFFFF135A03143F4FA505063FFFFF125A0314404EA505064000000F5A0314414DA505064100
000E5A0314424CA5050642FFFF0F5A0314434BA5050643FFFF0E5A0314444AA5050644FFFF0D5A03
144549A5050645FFFF0C5A03144648A5050646FFFF0B5A03144747A5050647FFFF0A5A03144846A5
050648FFFF095A03144945A5050649FFFF085A03144A44A505064AFFFF075A03144B43A505064BFF
FF065A03144C42A505064CFFFF055A03144D41A505064DFFFF045A03144E40A505064EFFFF035A03
144F3FA505064FFFFF025A0314503EA5050650FFFF015A0314513DA5050651FFFF005A0314523CA5
050652FFFFFF5A0314533BA5050653FFFFFE5A0314543AA5050654FFFFFD5A03145539A5050655FF
FFFC5A03145638A5050656FFFFFB5A03145737A5050657FFFFFA5A03145836A5050658FFFFF95A03
145935A5050659FFFFF85A03145A34A505065AFFFFF75A03145B33A505065BFFFFF65A03145C32A5
05065CFFFFF55A03145D31A505065DFFFFF45A03145E30A505065EFFFFF35A03145F2FA505065FFF
FFF25A0314602EA5050660FFFFF15A0314612DA5050661FFFFF05A0314622CA5050662FFFFEF5A03
14632BA5050663FFFFEE5A0314642AA5050664FFFFED5A03146529A5050665FFFFEC5A0202A1A503
061B365A03146628A5050666FFFFEB5A03146727A5050667FFFFEA5A03146826A5050668FFFFE95A
03146925A5050669FFFFE85A03146A24A505066AFFFFE75A03146B23A505066BFFFFE65A03146C22
A505066CFFFFE55A03146D21A505066DFFFFE45A03146E20A505066EFFFFE35A03146F1FA505066F
FFFFE25A0314701EA5050670FFFFE15A0314711DA5050671FFFFE05A0314721CA5050672FFFFDF5A
0314731BA5050673FFFFDE5A0314741AA5050674FFFFDD5A03147519A5050675FFFFDC5A03147618
A5050676FFFFDB5A03147717A5050677FFFFDA5A03147816A5050678FFFFD95A03147915A5050679
53394A5A03147A14A505067A63145E5A03147B13A505067B63145D5A03147C12A505067C0100D25A
03147D11A505067D0200D05A03147E10A505067E0300CE5A03147F0FA505067FEBA045

сервисное общение
5A02049FA504062EFF235A0203A0A50406640FDD5A0201A2A5050600D803745A0201A2A5050600D8
03745A0203A0A504065F0FE25A0B80081F9B0F302E4ADE05BEA51206FA0C3D16CD24922F9DD22160
2FC353C83A5A0A817DB4DD55F8B260B2FBA50A06E49AAE9B0C06BC5461

восстанавливаем епром

5A051300E204A7A50206525A051301FFFF8EA50206525A051302641017A50206525A051303FFFF8C
A50206525A0513040A007FA50206525A051305280060A50206525A051306410046A50206525A0513
07341240A50206525A051308FFFF87A50206525A0513097856B6A50206525A05130AFFFF85A50206
525A05130BFFFF84A50206525A05130CFFFF83A50206525A05130DFFFF82A50206525A05130EFFFF
81A50206525A05130FFFFF80A50206525A051310FA0380A50206525A051311260056A50206525A05
1312FFFF7DA50206525A051313FFFF7CA50206525A051314FFFF7BA50206525A051315FFFF7AA502
06525A051316FFFF79A50206525A051317FFFF78A50206525A051318FFFF77A50206525A051319FF
FF76A50206525A05131AFFFF75A50206525A02099AA5040624012B5A05131BFFFF74A50206525A05
131CFFFF73A50206525A05131DFFFF72A50206525A05131EFFFF71A50206525A05131FFFFF70A502
06525A05132000006DA50206525A051321430227A50206215A051322200348A50206525A051323C9
FFA2A50206525A0513248302E4A50206525A0513258202E4A50206525A051326FFFF69A50206525A
051327FFFF68A50206525A051328FFFF67A50206525A051329FFFF66A50206525A05132AFFFF65A5
0206525A05132BFFFF64A50206525A05132CFFFF63A50206525A05132DFFFF62A50206525A05132E
FFFF61A50206525A05132FFFFF60A50206525A051330BA049FA50206525A0513316400F8A5020652
5A051332A000BBA50206525A051333160044A50206525A051334200039A50206525A051335320026
A50206525A051336300225A50206525A0513376A27C5A50206525A051338D72658A50206525A0513
397522BDA50206525A05133A4B1FE9A50206525A05133B399386A50206525A05133CFFFF53A50206
525A05133DFFFF52A50206525A05133EFFFF51A50206525A05133FFFFF50A50206525A0513400000
4DA50206525A05134100004CA50206525A051342FFFF4DA50206525A051343FFFF4CA50206525A05
1344FFFF4BA50206525A051345FFFF4AA50206525A051346FFFF49A50206525A051347FFFF48A502
06525A051348FFFF47A50206525A051349FFFF46A50206525A05134AFFFF45A50206525A05134BFF
FF44A50206525A05134CFFFF43A50206525A05134DFFFF42A50206525A05134EFFFF41A50206525A
05134FFFFF40A50206525A051350FFFF3FA50206525A051351FFFF3EA50206525A051352FFFF3DA5
0206525A051353FFFF3CA50206525A051354FFFF3BA50206525A051355FFFF3AA50206525A051356
FFFF39A50206525A051357FFFF38A50206525A051358FFFF37A50206525A051359FFFF36A5020652
5A05135AFFFF35A50206525A05135BFFFF34A50206525A05135CFFFF33A50206525A05135DFFFF32
A50206525A05135EFFFF31A50206525A05135FFFFF30A50206525A051360FFFF2FA50206525A0513
61FFFF2EA50206525A051362FFFF2DA50206525A051363FFFF2CA50206525A051364FFFF2BA50206
525A051365FFFF2AA50206525A051366FFFF29A50206525A051367FFFF28A50206525A051368FFFF
27A50206525A051369FFFF26A50206525A05136AFFFF25A50206525A05136BFFFF24A50206525A05
136CFFFF23A50206525A05136DFFFF22A50206525A05136EFFFF21A50206525A05136FFFFF20A502
06525A051370FFFF1FA50206525A051371FFFF1EA50206525A051372FFFF1DA50206525A051373FF
FF1CA50206525A051374FFFF1BA50206525A051375FFFF1AA50206525A051376FFFF19A50206525A
051377FFFF18A50206525A051378FFFF17A50206525A051379533988A50206525A05137A63149CA5
0206525A05137B63149BA50206525A05137C010010A50206525A05137D02000EA50206525A05137E
03000CA50206525A0202A1A503061B365A05137FEBA083A5020652

сервисное общение

5A02049FA5040635FF1C5A0203A0A504065F0FE25A0201A2A5050600D703755A0201A2A5050600D7
03755A0203A0A504065F0FE25A0B800875C58C06A654B2E2B8A5120620B8E49FA86E76451F2F7573
93650703DE5A0A819191DDAB78AC73C514A50A06C8869D6136A4E25DE5

выключили зызу
5A0201A2A5050600D603765A0B80080BD59BF72DD36074CCA51206ED949D162C811A185923661ACB
4231FAFB5A0A81378815BFEC931DCA21A50A06C4B4FFC11731049A2C
вытащили батарейку

Boryan добавил 06-05-2010 в 14:36
lport3, побруть батарейку 14 командой пусть контроллер выложит свой внутренний епром

[Yoti]

Boryan,
по идее - да. На что менять то? Или наугад?

[Boryan]

попробуй почитай доку на конроллер ссылка на пдф есть вначале ветки..там указана адресация епрома контроллера....правда это для старого контроллера но думаю что адреса остались теже и в новых контроллерах

Boryan добавил 06-05-2010 в 15:21
просто если мы вытащим внутренний епром контроллера то нам откроются новые возможности....первая это 13 командой мы сможем менять серийник в батарейках которые не пандорятся ...ну и т.д.

Boryan добавил 06-05-2010 в 15:22
узнаем что делают команды 8008, 80D9,8002,800А.....

Boryan добавил 06-05-2010 в 15:28

Сообщение от Yoti Boryan, по идее - да. На что менять то? Или наугад?

для начала можно продолжить адреса после 256 байт внешнего епрома

[Yoti]

Boryan,
UPD78F0101_UM - оно? Если да, прочитаю. Если нет - жду ссылку.

[Boryan]

оно

Boryan добавил 06-05-2010 в 15:38
либо тупо измени в проге только конечный адрес и читай весь диапазон от внешнего епрома и до упора...

Boryan добавил 06-05-2010 в 15:39
но упор я не думаю что будет большим сейчас мы 256 байт читаем или точнее 128 запросов по 2 байта...а ты сделай 512

[Yoti]

Boryan,
увеличил буфер и границы цикла чтения. Ничего путного не вышло =) Нужно глубже смотреть, видимо...
http://yoti.wen.su/temp/06-05-2010/ospbt_062.rar

[Boryan]

Yoti, значит глубже нужно копать...либо для чтения внутреннего епрома есть другая команда....но проверить нужно глубже и этой командой а вдруг повезёт

[ANDPSP]

Попробовал повторить опыт Боряна с китайской батарейкой у которой PSPTool не может считать eeprom и серийник, батарейка вставлена в PSP1000, в логе попытки считать серийник и дамп eeprom

лог

запрос серийника
5A 03 14 07 87 A5 02 15 43 5A 02 03 A0 A5 04 06 DE 0E 64

снова запрос серийника
5A 03 14 07 87 A5 02 15 43 5A 02 09 9A A5 04 06 5A 01 F5

считываем eeprom - в результате 128 ошибок чтения и пустой файл
5A 03 14 00 8E A5 02 15 43 5A 03 14 01 8D A5 02 15 43 5A 03 14 02 8C A5
02 15 43 5A 03 14 03 8B A5 02 15 43 5A 03 14 04 8A A5 02 15 43 5A 03 14
05 89 A5 02 15 43 5A 03 14 06 88 A5 02 15 43 5A 03 14 07 87 A5 02 15 43
5A 03 14 08 86 A5 02 15 43 5A 03 14 09 85 A5 02 15 43 5A 03 14 0A 84 A5
02 15 43 5A 03 14 0B 83 A5 02 15 43 5A 03 14 0C 82 A5 02 15 43 5A 03 14
0D 81 A5 02 15 43 5A 03 14 0E 80 A5 02 15 43 5A 03 14 0F 7F A5 02 15 43
5A 03 14 10 7E A5 02 15 43 5A 03 14 11 7D A5 02 15 43 5A 03 14 12 7C A5
02 15 43 5A 03 14 13 7B A5 02 15 43 5A 03 14 14 7A A5 02 15 43 5A 03 14
15 79 A5 02 15 43 5A 03 14 16 78 A5 02 15 43 5A 03 14 17 77 A5 02 15 43
5A 03 14 18 76 A5 02 15 43 5A 03 14 19 75 A5 02 15 43 5A 03 14 1A 74 A5
02 15 43 5A 03 14 1B 73 A5 02 15 43 5A 03 14 1C 72 A5 02 15 43 5A 03 14
1D 71 A5 02 15 43 5A 03 14 1E 70 A5 02 15 43 5A 02 03 A0 A5 04 06 D8 0E
6A 5A 03 14 1F 6F A5 02 15 43 5A 03 14 20 6E A5 02 15 43 5A 03 14 21 6D
A5 02 15 43 5A 03 14 22 6C A5 02 15 43 5A 03 14 23 6B A5 02 15 43 5A 03
14 24 6A A5 02 15 43 5A 03 14 25 69 A5 02 15 43 5A 03 14 26 68 A5 02 15
43 5A 03 14 27 67 A5 02 15 43 5A 03 14 28 66 A5 02 15 43 5A 03 14 29 65
A5 02 15 43 5A 03 14 2A 64 A5 02 15 43 5A 03 14 2B 63 A5 02 15 43 5A 03
14 2C 62 A5 02 15 43 5A 03 14 2D 61 A5 02 15 43 5A 03 14 2E 60 A5 02 15
43 5A 03 14 2F 5F A5 02 15 43 5A 03 14 30 5E A5 02 15 43 5A 03 14 31 5D
A5 02 15 43 5A 03 14 32 5C A5 02 15 43 5A 03 14 33 5B A5 02 15 43 5A 03
14 34 5A A5 02 15 43 5A 03 14 35 59 A5 02 15 43 5A 03 14 36 58 A5 02 15
43 5A 03 14 37 57 A5 02 15 43 5A 03 14 38 56 A5 02 15 43 5A 03 14 39 55
A5 02 15 43 5A 03 14 3A 54 A5 02 15 43 5A 03 14 3B 53 A5 02 15 43 5A 03
14 3C 52 A5 02 15 43 5A 03 14 3D 51 A5 02 15 43 5A 03 14 3E 50 A5 02 15
43 5A 03 14 3F 4F A5 02 15 43 5A 03 14 40 4E A5 02 15 43 5A 03 14 41 4D
A5 02 15 43 5A 03 14 42 4C A5 02 15 43 5A 03 14 43 4B A5 02 15 43 5A 03
14 44 4A A5 02 15 43 5A 03 14 45 49 A5 02 15 43 5A 03 14 46 48 A5 02 15
43 5A 03 14 47 47 A5 02 15 43 5A 03 14 48 46 A5 02 15 43 5A 03 14 49 45
A5 02 15 43 5A 03 14 4A 44 A5 02 15 43 5A 03 14 4B 43 A5 02 15 43 5A 03
14 4C 42 A5 02 15 43 5A 03 14 4D 41 A5 02 15 43 5A 03 14 4E 40 A5 02 15
43 5A 03 14 4F 3F A5 02 15 43 5A 03 14 50 3E A5 02 15 43 5A 03 14 51 3D
A5 02 15 43 5A 03 14 52 3C A5 02 15 43 5A 03 14 53 3B A5 02 15 43 5A 03
14 54 3A A5 02 15 43 5A 03 14 55 39 A5 02 15 43 5A 03 14 56 38 A5 02 15
43 5A 03 14 57 37 A5 02 15 43 5A 03 14 58 36 A5 02 15 43 5A 03 14 59 35
A5 02 15 43 5A 03 14 5A 34 A5 02 15 43 5A 03 14 5B 33 A5 02 15 43 5A 03
14 5C 32 A5 02 15 43 5A 03 14 5D 31 A5 02 15 43 5A 03 14 5E 30 A5 02 15
43 5A 03 14 5F 2F A5 02 15 43 5A 03 14 60 2E A5 02 15 43 5A 03 14 61 2D
A5 02 15 43 5A 03 14 62 2C A5 02 15 43 5A 03 14 63 2B A5 02 15 43 5A 03
14 64 2A A5 02 15 43 5A 03 14 65 29 A5 02 15 43 5A 03 14 66 28 A5 02 15
43 5A 03 14 67 27 A5 02 15 43 5A 03 14 68 26 A5 02 15 43 5A 03 14 69 25
A5 02 15 43 5A 03 14 6A 24 A5 02 15 43 5A 03 14 6B 23 A5 02 15 43 5A 03
14 6C 22 A5 02 15 43 5A 03 14 6D 21 A5 02 15 43 5A 03 14 6E 20 A5 02 15
43 5A 03 14 6F 1F A5 02 15 43 5A 03 14 70 1E A5 02 15 43 5A 03 14 71 1D
A5 02 15 43 5A 03 14 72 1C A5 02 15 43 5A 03 14 73 1B A5 02 15 43 5A 03
14 74 1A A5 02 15 43 5A 03 14 75 19 A5 02 15 43 5A 03 14 76 18 A5 02 15
43 5A 03 14 77 17 A5 02 15 43 5A 03 14 78 16 A5 02 15 43 5A 03 14 79 15
A5 02 15 43 5A 03 14 7A 14 A5 02 15 43 5A 03 14 7B 13 A5 02 15 43 5A 03
14 7C 12 A5 02 15 43 5A 03 14 7D 11 A5 02 15 43 5A 03 14 7E 10 A5 02 15
43 5A 03 14 7F 0F A5 02 15 43

[lport3]

Я вообще то 14ю команду нашел неделю назад, когда
просил присутствующих скинуть лог при чтении еепрома.
Я вам программу нарисовал, в шапке валяется, в ней введите
14-- , и будет вам полный дамп. Только что вам даст дамп
еепрома вхлам крипченый.?
Как то у вас дело идет криво, эдак далеко не уедете..

[Boryan]

lport3, без тебя дела ни как не идут....только у тебя есть девайс позволяющий читать/писать в зызу и батарейку...вся надежда на тебя....твоя прога с моим девайсом дружит очень криво..так что пока один ты в поле воин...
Либо давай выкладывай все доки на твой девайс...ты так и не ответил по виртуальному СОМ с применением пэлки работаешь, либо по аппаратному СОМ порту.....Просто твоя прога работает только у тебя и с твоим девайсом.....

Boryan добавил 06-05-2010 в 20:34
интересен твой брут 3000 ..ты проговорился что удалось компом эмулировать ответ батарейки и зыза включалась с рычажка включения....тогда не понятка как проходила идентификация по 80-й команде...Пусть ты использовал ранее снятый лог и по нему эмулировал....но как 80 пролетала? Ведь там на 80 запрос пусть даже и повторяющийся ...всегда разный ответ...и вероятность того что эмулируя компом батарейку ....зыза пошлёт 80 запрос с ключиком который ранее уже пролетал и он прописан в твоём логе....ничтожно мала как и ответ который устроит зызу....чота не сходится...а потом для идентификации батарейки нужно ответить правильно на два 80 запроса....и уж тут совпадение с твоим логом вообще не возможно....Так как тебе удалось включить зызу эмулируя батарейку? Говори честно Или зызе с нормальным серийником пофиг что шлёт батарейка на 80 запрос? Она придирается к ответам на 80 запрос только когда серийник ff....?

Boryan добавил 07-05-2010 в 03:33
Продолжаю издеваться на оригинальной батарейкой взятой у зызы 3008...Как ранее я писал что изначально Псп тул читал с неё срийник, но как только я перерезал дорожку идущую к флешке на CS, то контроллер батарейки ушёл в глу*** защиту. Псп тул стал считывать нулевой серийник, но батарейка автобутом не срабатывала. Не помогло и восстановление дорожки....так Псп тут и считывал нули. Меня это не остановило и я поставил в батарейку епром с серийником FFFFFFFF от другой батарейки, результат так и остался нулевой серийник. Но когда я начал снимать логи общения этой батарейки с зызой, то удивился....батарейка давала серийник 686F7565.....откуда он взялся? Вернул ей родной епром и серийник стал Е6231089!!!! Значит контроллер читает всё таки епром....это он на команды Псп тула забил....интересное решение от Сони )) Снова отрезал у родного епрома CS и серийник стал
686F7565!!!! Решил пойти на хитрость, будучи уверенным в том, что контроллер проверяет чек сумму флешки...и изменил серийник на FFFFFFFF......но для выравнивания чек суммы родной серийник записал в пустое место флехи вместо FF.....не прокатило....686F7565!!! Вопрос к знатокам...как обмануть контроллер так что бы он прочитал серийник пандоровский? Мож где в епроме хранится чек сумма серийника...и контроллер по ней ориентируется а не по всей чек сумме флехи?

Boryan добавил 07-05-2010 в 03:38
Да уж....Соня явно трёхнулась на защитах....такое нагородить....зачем...где рентабельность этого?
Ну и в итоге выкладываю логи и дампы флех.....

епром от другой
5A0201A2A50506108603B65A020C97A50606686F7065A25A0B800840728666B67DB8D9B0A5120698
87030B923E71A5FA855AB346923EADE05A0A812AE83A776454B5DD0DA50A069B256035CA4869106A
5A0201A2A50506008603C65A0B800859E3BC3911E7570D85A5120694E641FEF0C2EDB246C3DAF748
80B711CE5A0A8134DBEF002F1B006969A50A06C7341C53E7EBF326F5

родной епром
5A0201A2A5050610FE033E5A020C97A50606E6231089AC5A0B80080EE3892C75EC6F5A42A51206CC
2E563750E41A6CE027C09A9580AAD50C5A0A81E2932C6588152E4702A50A06F316A0A66E35300D1B
5A0201A2A5050600FE034E5A0B80081CCF4290D57E753954A51206FC2215288AC44FF76C50D1658F
BD78F1AC5A0A8119339DF1EC3C43AE27A50A066F9ECDBA64D11ACD9A

родной епром отрезана нога CS
5A0201A2A5050610FA03425A020C97A50606686F7065A25A0B80081934ADE305C6132334A5120668
B2FF217386FAD9F125C3B7380885B6315A0A81025F9E7D2949AB6021A50A065A080871A49EDE84CB
5A0201A2A5050600FA03525A0B8008488D16ECFADDAC5464A5120613EAFAAC4E4F5BCD7E7EB746C0
30B7E6545A0A81C4D96DDC72AD5E189FA50A06E3CBA965C056F74D34

рподной епром но с серийником FFFFFFFF
5A0201A2A50506100C042F5A020C97A50606686F7065A25A0B8008DA7DA9373A05DFB20BA5120615
ECA3649E0B5687FB95AFC6879F1562125A0A817972811D434DF229E6A50A065BC4AC8B0A476BC870
5A0201A2A50506000C043F5A0B80080B36BAB86D5D936A98A51206E17EF9A965E0FA23B8537F9974
21AC88F35A0A81852EF97ADE2BA9F64CA50A06D6235773E8936F3964

родной епром

E2 04 FF FF 47 11 FF FF 14 00 28 00 41 00 E6 23
FF FF 10 89 FF FF FF FF FF FF FF FF FF FF FF FF
00 00 00 00 FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
06 00 45 02 20 03 C9 FF 84 02 83 02 FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
D8 04 64 00 AA 00 16 00 20 00 32 00 30 02 6A 27
D7 26 75 22 4B 1F 43 93 FF FF FF FF FF FF FF FF
00 00 00 00 FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
FF FF 43 39 81 14 38 15 01 00 02 00 03 00 61 9D

изменён серийник на FFFFFFFF, но для выравнивания чек суммы прописан
на свободном месте родной серийник


E2 04 FF FF 47 11 FF FF 14 00 28 00 41 00 FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
00 00 00 00 FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
06 00 45 02 20 03 C9 FF 84 02 83 02 FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
D8 04 64 00 AA 00 16 00 20 00 32 00 30 02 6A 27
D7 26 75 22 4B 1F 43 93 FF FF FF FF FF FF FF FF
00 00 00 00 FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
E6 23 10 89 FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
FF FF 43 39 81 14 38 15 01 00 02 00 03 00 61 9D

Boryan добавил 07-05-2010 в 03:44
Я офигеваю...от Соней....ну ладно, просёк контроллер что к епрому лезет псп тул...ну и игнорируй его команды....но что бы запомнить это и на всё оставшуюся жизнь и посылать Псп тул нафиг.....давая ему нули...это жесть!! Так мало того, ещё и в заначке иметь дополнительный серийник, и в случае чего рапартовать им .....нет слов....

[ErikPshat]

Кстати, djmorgan тут полезную ссылку кинул:

Сообщение от djmorgan Хватит мучать батарейку))) Юзаем Com порты 1)http://webcache.googleusercontent.co...a&client=opera 2)http://nil.rpc1.org/psp/files/PSP%20...0Converter.pdf

Вот эта ссылка: http://nil.rpc1.org/psp/remote.html
Вот перевод.

+

Самая элементарная схема на MAX3232CPE:





Делается из переходника DB9<->RJ45 (COM<->LAN).
Список компонентов:

• 5 х 0,1 мкФ керамические конденсаторы
• 1 х MAX3232CPE

И там даже программка есть, чтобы посылать и принимать команды, под линукс:

[Boryan]

ErikPshat, Это всё годится только для 1000 фатки. там всё открыто....а мы с 3000 колупаемся...и уж коли в ней такого накрутили...то про этот метод можно и не думать..

[ErikPshat]

Boryan, я имею ввиду не метод подключения, а просто саму схемку K-Line.

Родной серийник у тебя был Е6231089 (23Е68910).
Когда ты делал выравнивание чексуммы или отрезал ножку, то серийник передавался 686F7065 (6F686570).

То есть, получается контроллёр выдаёт такую прибавку, если серийник нулевой или отрицательный.
Попробуй подсунуть серийник 97908F9A (90979A8F), чтобы с учётом этой прибавки, был результат FFFFFFFF.

Есть ещё вариант, что серийник прописан в контроллёре. И в случае, если в EEPROM записан FFFFFFFF или отрезана ножка, то контроллёр выдаёт свой серийник. Значит нужно серийник прописать в контроллёр. Думаю на этом построена новая защита.

[Alex14435]

OSPBT то зачем? PSPTool тоже норм еепром дампит) кто знает, Дател раскрывал секрет своей батареи?

[ErikPshat]

Alex14435, ну вот только почистил тему от ламерских вопросов, понабежавших сюда с детсадов и яслей, грудных детей с возвышенной самооценкой, так опять начинается.

Прекращайте превращать тему в "Горячую линию".
Все вопросы по поводу "Как прошить PSP", "Как запандорить батарейку", "Как запустить ChickHEN" и т.п. ->>> пожалуйста в соответствующий раздел, указанный по ссылке выше.

По поводу Дятла почитай пару статей:

1. http://pspfaqs.ru/news/384-datel-fail.html
2. http://pspfaqs.ru/newsiki/392-novost...nam_sudom.html

P.S. На это сообщение отвечать не надо.

[Boryan]

Сообщение от ErikPshat Boryan, я имею ввиду не метод подключения, а просто саму схемку K-Line. Родной серийник у тебя был Е6231089 (23Е68910). Когда ты делал выравнивание чексуммы или отрезал ножку, то серийник передавался 686F7065 (6F686570). То есть, получается контроллёр выдаёт такую прибавку, если серийник нулевой или отрицательный. Попробуй подсунуть серийник 97908F9A (90979A8F), чтобы с учётом этой прибавки, был результат FFFFFFFF. Есть ещё вариант, что серийник прописан в контроллёре. И в случае, если в EEPROM записан FFFFFFFF или отрезана ножка, то контроллёр выдаёт свой серийник. Значит нужно серийник прописать в контроллёр. Думаю на этом построена новая защита.

Или я не понял или ты ошибся...серийник в случаях неправильного епрома был 686F7565....а ты пишешь 686F7065.... так какой серийник писать и куда на место старого серийника? ведь контрольная сумма не совпадёт епрома....объясни как правильно ?

Boryan добавил 07-05-2010 в 13:44
да уж.....если серийник в контроллере..то мы его не пропишем туда..

Boryan добавил 07-05-2010 в 13:46
пересчитай правильно поправку ....я попробую записать в епром новый ключик....хотя думаю не проканает...до сих пор не понимаю каким образом контроллер узнаёт что что то с флехой не то...только ли по чек сумме...

Boryan добавил 07-05-2010 в 13:53
Боюсь что запасной серийник не строится на прибавке....он жёстко прописан в контроллере на случай если будет сбой во внешнем епроме...3000 зызы ещё хавают китайские батарейки, а вот 3008 уже нет..посылают китайские подделки далеко..и если вдруг будет сбой в епроме родная батарейка будет работать с серийником из заначки...а с другой стороны непонятка ...зачем в таком случае внешний епром?

[ErikPshat]

Boryan
Серийник, судя по логам - 686F7065
Воспользуйся прогой "psp_bat_1_1" и посмотри =)

Сообщение от Boryan родной епром отрезана нога CS 5A0201A2A5050610FA03425A020C97A50606686F7065A25A0B 80081934ADE305C6132334A5120668 B2FF217386FAD9F125C3B7380885B6315A0A81025F9E7D2949 AB6021A50A065A080871A49EDE84CB 5A0201A2A5050600FA03525A0B8008488D16ECFADDAC5464A5 120613EAFAAC4E4F5BCD7E7EB746C0 30B7E6545A0A81C4D96DDC72AD5E189FA50A06E3CBA965C056 F74D34 рподной епром но с серийником FFFFFFFF 5A0201A2A50506100C042F5A020C97A50606686F7065A25A0B 8008DA7DA9373A05DFB20BA5120615 ECA3649E0B5687FB95AFC6879F1562125A0A817972811D434D F229E6A50A065BC4AC8B0A476BC870 5A0201A2A50506000C043F5A0B80080B36BAB86D5D936A98A5 1206E17EF9A965E0FA23B8537F9974 21AC88F35A0A81852EF97ADE2BA9F64CA50A06D6235773E893 6F3964

Да, писать нужно на место оригинального серийника. Как записывается задом наперёд ты знаешь.

"Серийник контроллёра 686F7065" + "корректирующий серийник 97908F9A" = FFFFFFFF.

Правда думаю, что просто выдаст корректирующий серийник в ответ, а может свершится чудо и эта прибавка даст результат =).
Насчёт контрольной суммы не уверен, что есть проверка, т.к. мы-же меняем серийники на FFFFFFFF и другие, вроде с батареей ничего не случается, хотя на 3000 может это есть, я так и не понял.

Тогда нужно выровнять контрольную сумму на основе оригинального серийника Е6231089 (23Е68910) - в скобках указан логический серийник, не так, как записан в хексе, а как выводят проги его на экран.

Контрольную сумму тогда выравнивать по формуле:

1. "Родной серийник - "Корректирующий" = "Недостающая разница".
2. Вместо FFFFFFFF - "Недостающая разница" = "Корректирующая сумма"

Рассчёт:

1. Е6231089 - 97908F9A = 4E9280EF
2. FFFFFFFF - 4E9280EF = B16D7F10

Вроде нигде не ошибся.

Твой родной серийник

Вообще нужно ещё снять дамп контроллёра и убедиться, что этот серийник там лежит. Найти соответствующий программатор...