Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

// Вот разложил поточнее, что выложил stasik007:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 08364CAFF8EFE8E9A5 84
A512 06 EFDDEDA268B1F15CF705F1F16FFADDE2 7B
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 02129A117169ADE46F 81
A512 06 CEE3A231846B7A3CACC16A81AE99A14F 8A
5A0A 81 08EC25077C96EB55 A8
A50A 06 3D71D0DDA5AC498D C8
5A02 01 A2
A505 06 00C206 87
5A0B 80 0208FA21BD9B0CF433 6A
A512 06 649C9CC965D9AA823804FA537F84ADC7 73
5A0A 81 0A99549CC666111A 30
A50A 06 1DF65042207C3621 B2
00

Включаю приставку:

5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 082ED10418C5A517A7 CF
A512 06 956EC42197FA58395A3D01B7EBB74C36 C5
5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 0265727014369503DA 15
A512 06 D3D208AC828AC4285A1F1BE8389276A2 93
5A0A 81 62861C9CE0618781 31
A50A 06 3E02027DA5B052A3 41
5A02 01 A2
A505 06 00C206 87
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 0104 4B
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 9AFF B7
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 00C206 87
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 81FF D0
5A02 03 A0
A504 06 2C10 14
5A02 01 A2
A505 06 00C106 88
5A02 03 A0
A504 06 2C10 14
5A0B 80 028C1358AFF19A5594 FE
A512 06 903ECAB191ACE9B53336455CD35DC860 BC
5A0A 81 9F3777774C64553C 15
A50A 06 64D75EC38A197E7B 52
5A02 01 A2
A505 06 00C106 88
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
00
*/

Расшифровка кодов

Код   Описание                   Данные  Ответ от батареи     Примечание

0x01  запрос оставшегося заряда   нет    energyleft_mAh:u16                                         
0x02  запрос температуры          нет    temperature:u8       cercius degree, min/max value unknown 
0x03  запрос напряжения           нет    voltage_mV:u16        
0x04  запрос тока                 нет    current_mA:short     positive if charging battery 
0x07  запрос ёмкости              нет    capacity_mAh:u16 
0x09  запрос оставшегося времени  нет    timeleft_min:u16     XMB showing not this value 
0x0c  запрос серийного номера     нет    serialno:u32         suspected 
0x80  запрос аутентификации?      9byte  16byte               encrypted data/reply 
0x81  запрос аутентификации?      8byte  8byte                encrypted data/reply

0x05  ответ от батареи            нет    NAK, BCC error and so on?? 
0x06  ответ от батареи            да     ACK, with reply data

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000


Во вложении:

1. "psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
   • Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
   • "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
2. "Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

EEPROM.png

[Boryan]

ну вот логи чередования команд 80 и 81 .....странно всё вроде логично и статично.....а ранее выходит были просто глюки

 5A 0B 80 0A 79 95 FC 73 11 0A F7 39 48
 A5 12 06 C5 39 79 DD 25 FF 8B 27 68 DF 15 7C 92 D0 30 5A 54
 5A 0B 80 0A 79 95 FC 73 11 0A F7 39 48
 A5 12 06 C5 39 79 DD 25 FF 8B 27 68 DF 15 7C 92 D0 30 5A 54
 5A 0B 80 0A 79 95 FC 73 11 0A F7 39 48
 A5 12 06 C5 39 79 DD 25 FF 8B 27 68 DF 15 7C 92 D0 30 5A 54

 5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
 A5 0A 06 90 94 6A D5 58 50 6C 91 42
 5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
 A5 0A 06 90 94 6A D5 58 50 6C 91 42
 5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
 A5 0A 06 90 94 6A D5 58 50 6C 91 42

 5A 0B 80 0A 79 95 FC 73 11 0A F7 39 48
 A5 12 06 C5 39 79 DD 25 FF 8B 27 91 0D 8D B4 28 00 36 E3 F8
 5A 0B 80 0A 79 95 FC 73 11 0A F7 39 48
 A5 12 06 C5 39 79 DD 25 FF 8B 27 91 0D 8D B4 28 00 36 E3 F8
 5A 0B 80 0A 79 95 FC 73 11 0A F7 39 48
 A5 12 06 C5 39 79 DD 25 FF 8B 27 91 0D 8D B4 28 00 36 E3 F8

 5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
 A5 0A 06 D2 35 6C 3D B3 E2 78 EA A3
 5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
 A5 0A 06 D2 35 6C 3D B3 E2 78 EA A3
 5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
 A5 0A 06 D2 35 6C 3D B3 E2 78 EA A3

Boryan добавил 17-05-2010 в 02:23

Сообщение от ErikPshat Boryan, а как насчёт 80-ой команды? А в чём прикол между этими разными запросами и одинаковыми ответами?

это ты из какого лога нарыл? очень интересно ...подтверждаются мои догадки что ну не могла соня так сильно замутить батарейку ..да ещё с привязкой ответов по времени....походу это тупо библиотеки...типа с такого диапазона кода по такой то....ответ один на всех...

Boryan добавил 17-05-2010 в 02:26
ErikPshat, лана вот соберу к-лайны вам ....мы сообща покажем батарейкам кузькину мать ))

[ErikPshat]

Сообщение от Boryan это ты из какого лога нарыл?

Boryan, в каждой цитате есть такая ссылка на пост
Она кликабельна =)

[stasik007]

есть идея - назовём Battery-swap сделать две батарейки сервисную и обычную и пусть на вопросы про серийник и состояние отвечает сервисная а на 80 и 81 нормальная - вдруг прокатит?

[Boryan]

ErikPshat, подскажи как делаете раскрывающиеся трейлеры....я чота не разберусь в движке форума...или опера не дат мне это делать...а то я своими логами весь форум загажу

Boryan добавил 17-05-2010 в 02:35
stasik007, ооо превед...тож не спится? а как будешь отвечать на 80D9 ???? какой батарейкой....Ты давай тож подключайся к издевательствам над батарейками ..а то сочковать начал

Boryan добавил 17-05-2010 в 02:38
нужно вычислять алгоритм 80 и 81 команд....и тогда останется только 80D9 ломануть ...правда на чём всё это эмулировать? я про алгоритмы ..

[stasik007]

Сообщение от Boryan Получается ещё одна хитрость батареек? Если он "отдохнули" мальца просто полежали без зызы, то и ответы от них на 81 и 80 адекватные а как с зызой поработают то начинают выкобениваться? очень интересные батарейки ))

может защита от брута?

[Boryan]

Есть мысль что Стасовы самые древние батарейки умеют отвечать на 80D9... но видать соня перестраховалась... во первых вырезала этот ответ полностью у более свежих батареек ...но и за одно изменила на всякий случай алгоритм ответа 80D9 что бы не могли воспользоваться старой батарейкой ..но старая умеет на него отвечать пусть и не правильно. Выходит, что в батарейках они используют свою первую разработку что была сделана на 1000 зызу ...позже они её урезали убрали работу с 14 и 13 командой ...но для 3000 пандоры слегка изменили алгоритм ответа на 80D9...

Boryan добавил 17-05-2010 в 02:57

Сообщение от stasik007 может защита от брута?

Да ладно....мне кажется всё проще гораздо...просто мы пока идём не той тропинкой...ну нету смысла так наворачивать батарейку....невыгодно экономически....

Boryan добавил 17-05-2010 в 03:02
я же говорю что используют старую изначально разработанную программу для контроллера батарейки...только подрихтовали ответ на 80D9 и всё...И я ещё уверен что этот алгоритм ответа на 80D9 можно изменить ...изменив какие то байты во внешнем епроме. Сам пойми ..нужна мобильность и возможность создать пандору 3000 на месте в авторизованных центрах сони...а в СЦ сонях наверняка и используют старые, древние и родные батарейки в которых есть все ранее заложенные функции.....

Boryan добавил 17-05-2010 в 03:06
код FF и 00 они же оставили....это подтверждает мои доводы что всё по старому лишь слегка подрихтованно...Смысла нет делать sys con и батарейку с чистого листа....экономически не выгодно....+ нужно сохранить поддержку старых алгоритмов в новых разработках....а память и у sys con и контроллера батарейки не резиновая...

Boryan добавил 17-05-2010 в 03:13
Время будет на днях сниму лог с PSP GO и посмотрим на их развитие )) сдаётся мне что там всё осталось по старому ))

[ErikPshat]

Мне вообще кажется, что SysCon и контроллёр батареи - это просто тупые железки.
Для их функционирования должна быть программа.
Допустим, psp убитая, без прошивки в нанде, то получив питание от батарейки syscon запрашивает "ты кто", она отвечает - "это_я_твоя_батарейка". Затем syscon запрашивает "какой у тебя серийник", батарея даёт ему серийник и если серийник сервисный, то дальше должен с карты грузиться драйвер syscon.prx, который берёт управление питанием.

А без драйвера, мне кажется, на большее, на брут или ещё что, сам syscon не способен.
И думаю, что всё-таки при обращени к карте лампочка не моргает, а всё делается в тихом режиме до тех пор, пока не пройдёт правильная инициализация и пока они не подружатся.
Кстати, я проверял, syscon.prx один и тот-же для всех моделей.

[ANDPSP]

Сообщение от ErikPshat Мне вообще кажется, что SysCon и контроллёр батареи - это просто тупые железки. А без драйвера, мне кажется, на большее, на брут или ещё что, сам syscon не способен.

Ну они могли легко в чип включить аппаратный шифратор/дешифратор AES - это же не сложно, а процесс идентификации батарейки улучшит...
Ведь странно что 80 запрос консоли получает строго 16 байт а 81 уже 8 байт...
А потом вспомни поведение консоли когда в нее вставляешь запандоренную батарейку - что происходит если карточка с пандорой не вставлена? Ведь консоль стартует и подает питание на картоприемник, зеленая лампочка горит и в таком состоянии консоль будет находится до того момента пока ты не вставишь карточку с пандорой, тогда консоль запустится, а если вставишь обычную карточку то нет и даже если быстро вытащишь обычную и вставишь пандору то все равно ничего не получится... Значит SYSCON не такой уж и примитивный и после удачной идентификации дает питание на картоприемник, включает лампочку и инициирует старт консоли с карточки и все это без загруженных с карты драйверов...

И еще Boryan ты уверен что когда подключал к консоли батарейку с k-line, то изолировал средний выход батарейки до подпайки k-line, а то может у тя и эмуляция с PC шла и сама батарейка отвечала или ты только батарейку и мучаешь ?

ErikPshat

Провел маленький эксперимент, вставлял в свою фатку запандоренную батарейку и быстро вытаскивал карточку с пандорой - если успевал это сделать до того как загорится зеленый огонек, то консоль оставалась в ожидании карточки, а если после или как сразу зажглась то консоль стартовала ... Значит можно сделать вывод что зажигание зеленого диода совпадает с началом работы картоприемника - но это все после удачной идентификации батарейки...

[stasik007]

Сообщение от ErikPshat Мне вообще кажется, что SysCon и контроллёр батареи - это просто тупые железки. И думаю, что всё-таки при обращени к карте лампочка не моргает, а всё делается в тихом режиме до тех пор, пока не пройдёт правильная инициализация и пока они не подружатся. .

Вынужден огорчить - поскольку лично проверял осцилографом - КАРТРИДЕР МОЛЧИТ!!!

[Boryan]

ErikPshat, забудь про эту мысль. Я уже много раз говорил что пока syscon не договорится с батарейкой ни чего не работает. И даже он сам работает только модулем общения с батарейкой...а модуль ответственный за клоки на ЦП и другие микрухи...МОЛЧИТ!!! Как молчат и модули опроса кнопок , запуска контроллера питания...всё молчит!!!А ЦП без клоков, это просто железяка. А посему ни каких опросов картридера и USB порта быть не может. А вот то, что ты подловил одинаковый ответ на разные 80 запросы ....это очень интересно и наталкивает на мысль что шифрования ключика в батарейке НЕТУ!!!Ведь шифрование разных ключей ни когда не может дать одинаковый ответ...и снова приходит мысль что мы работаем тупо с библиотеками ....которые необходимо просчитать

Boryan добавил 17-05-2010 в 18:22
И ещё

Мне вообще кажется, что SysCon и контроллёр батареи - это просто тупые железки.

На счёт контроллера батарейки ещё можно так сказать, но насчёт syscon у которого 84!!! ноги я бы не стал говорить.....хоть и мал клоп, да вонюч ))

Boryan добавил 17-05-2010 в 18:28
и файл syscon.prx это файл который пришется в syscon только в модуль работы с кнопками...тупо определяя какая кнопка за что будет отвечать..так же в рекавери меню есть доступ в syscon....вспомни пункт в меню где мы можем менять частоту работы процессора....клоки одним словом....и за это всё отвечает syscon....

[ANDPSP]

Интересно а кто нибудь слушал диалог 3000-й консоли и запандоренной батарейки если ее вставить в включенную консоль с подключенным внешним питанием, а потом внешнее питание отключить - просто на забугорном сайте нашел инфу что так народ делал ... Кто нить может повторить эксперимент ?

[Boryan]

ANDPSP, А что это даст? буржуи -дураки!!! Это даст обычный старт зызы. У меня по работе в основном все батарейки пандора и иногда нужно включить для проверки зызу, а как известно зыза с пандоры стартанёт только если шитая и в ней стоит стик пандоровский. Так вот, я тупо стартую с зарядки а потом вставляю батарейку пандору, и отключаю зарядку зыза продолжает работать от батарейки...Код FF в батарейке говорит при старте зызы откуда грузиться.....а коли мы стартанули с зарядки, то зыза уже включилась и загрузилась и ей уже пофигу на все коды батарейки.... Так что пусть буржуи сами делают свои эксперименты.

Boryan добавил 17-05-2010 в 20:01
lport3, Всё же свожусь к мнению...что не статичные ответы батарейки, это не что иное как косяк с таймингами в твоей проге...Если прога работает стабильно то и ответы одинаковые на одинаковые запросы...а если косячит то и ответы разные ....вот сегодня те же условия...те же батарейки...а ответы разные ....

Boryan добавил 17-05-2010 в 20:32
ну вот взял у Стаса батарейку умеющую отвечать на 80D9...оказалось всё банально....галимый кетай ещё из первых подделок который умеет отвечать вообще на все 80хх команды....даже на те которых не существует Кетайсы видать престраховались на всякий случай, сделали ответы на все 80хх и все 81хх.....но они уже тогда знали алгоритм ответа на 80 и 81....

Брут Стасовой по 80хх1111111111111111

 5A 0B 80 00 11 11 11 11 11 11 11 11 92
 A5 12 06 0E D6 36 AF D4 99 5E 74 EA 47 55 3E 54 33 C4 7C AF
 5A 0B 80 01 11 11 11 11 11 11 11 11 91
 A5 12 06 BB C2 05 DA BA 3F C6 4E 4F B7 F6 DC 31 C5 AF B6 A6
 5A 0B 80 02 11 11 11 11 11 11 11 11 90
 A5 12 06 9C 48 BF 23 A4 C6 CF B2 D4 40 ED E0 50 41 16 81 88
 5A 0B 80 03 11 11 11 11 11 11 11 11 8F
 A5 12 06 91 4A 1B D5 46 B6 A0 C0 7A D8 41 19 06 98 CA 71 96
 5A 0B 80 04 11 11 11 11 11 11 11 11 8E
 A5 12 06 57 62 B2 46 A7 94 B4 78 6A 62 2D 80 20 37 DF 1D 5E
 5A 0B 80 05 11 11 11 11 11 11 11 11 8D
 A5 12 06 81 81 4B 78 E3 25 93 0B B7 B7 F7 E6 7E D2 6D 31 9E
 5A 0B 80 06 11 11 11 11 11 11 11 11 8C
 A5 12 06 BE 3D CC 77 57 23 5B CF 97 35 F4 CC 0C BC DB 36 FB
 5A 0B 80 07 11 11 11 11 11 11 11 11 8B
 A5 12 06 79 F0 B9 4C F5 E8 2B 5D 9B 9A FC 98 8D 17 EB 40 D7
 5A 0B 80 08 11 11 11 11 11 11 11 11 8A
 A5 12 06 35 51 DE 57 59 B0 2F EF FA AA 34 77 D3 16 6D 65 56
 5A 0B 80 09 11 11 11 11 11 11 11 11 89
 A5 12 06 B0 39 33 91 8F 72 43 40 19 44 C0 48 60 07 98 F6 B7
 5A 0B 80 0A 11 11 11 11 11 11 11 11 88
 A5 12 06 D1 F1 12 9B 0F 44 5E 7C 72 BC B4 23 6D 5E 8B ED 5E
 5A 0B 80 0B 11 11 11 11 11 11 11 11 87
 A5 12 06 8E 97 71 F6 0A AA 8B C1 73 4C F0 7B 26 8C 34 2B 7B
 5A 0B 80 0C 11 11 11 11 11 11 11 11 86
 A5 12 06 1E D8 D4 80 BE 8A DE EC 48 EC F3 87 F5 A6 4A 09 4A
 5A 0B 80 0D 11 11 11 11 11 11 11 11 85
 A5 12 06 57 51 F6 C3 A4 BC FA 61 49 BC 60 16 82 0F D4 46 00
 5A 0B 80 0E 11 11 11 11 11 11 11 11 84
 A5 12 06 37 FC 76 57 39 D6 6D 8A DC 8C CA 54 5B 85 39 26 77
 5A 0B 80 0F 11 11 11 11 11 11 11 11 83
 A5 12 06 DD 32 7E E1 A8 8A B5 54 57 A0 0D DB 58 0C D2 21 63
 5A 0B 80 10 11 11 11 11 11 11 11 11 82
 A5 12 06 3C 68 3C D6 09 68 71 FE 4A 57 6B 03 31 21 CD 8B F3
 5A 0B 80 11 11 11 11 11 11 11 11 11 81
 A5 12 06 A1 5F 64 3C C4 19 7E FE 80 3C F0 43 3E DF 7A 49 7A
 5A 0B 80 12 11 11 11 11 11 11 11 11 80
 A5 12 06 45 3B 28 56 C8 BF 96 D6 31 8E 3F D3 A9 23 61 31 22
 5A 0B 80 13 11 11 11 11 11 11 11 11 7F
 A5 12 06 A7 DD DC 43 9C 83 7D 41 D5 F1 F5 B1 AE 4E 47 92 81
 5A 0B 80 14 11 11 11 11 11 11 11 11 7E
 A5 12 06 0B 84 2E CB 15 4C DF 6F D3 DE 38 08 B2 C6 02 75 2B
 5A 0B 80 15 11 11 11 11 11 11 11 11 7D
 A5 12 06 E1 28 CD 3B 2B 50 16 4E 08 94 89 0E 90 7F 3E A8 2A
 5A 0B 80 16 11 11 11 11 11 11 11 11 7C
 A5 12 06 BC 3D 5E 53 B3 21 98 CE F5 A4 FC EA 78 84 4B 36 62
 5A 0B 80 17 11 11 11 11 11 11 11 11 7B
 A5 12 06 4F EA CE 99 1A 2B 5A ED BD 59 B3 E3 47 E2 ED D1 83
 5A 0B 80 18 11 11 11 11 11 11 11 11 7A
 A5 12 06 E9 98 B0 F5 21 FD FA 43 81 43 AA F9 79 CB D2 6F D5
 5A 0B 80 19 11 11 11 11 11 11 11 11 79
 A5 12 06 AE 8C 5F B8 3F 35 FC 01 0E 1C FF 5D 1E DB 42 FF C0
 5A 0B 80 1A 11 11 11 11 11 11 11 11 78
 A5 12 06 32 5B 4C CC 48 C4 F0 F5 09 6E 78 1E A3 A0 AC 01 AF
 5A 0B 80 1B 11 11 11 11 11 11 11 11 77
 A5 12 06 07 5F A9 63 88 4C 0F E5 78 78 F3 03 19 12 85 EE 84
 5A 0B 80 1C 11 11 11 11 11 11 11 11 76
 A5 12 06 1D 97 1E 18 ED A2 90 83 1E 6B 70 23 17 AD 33 B7 EC
 5A 0B 80 1D 11 11 11 11 11 11 11 11 75
 A5 12 06 6A 39 F2 B7 C2 3D B3 A4 49 8B BA 15 C6 50 E9 E5 19
 5A 0B 80 1E 11 11 11 11 11 11 11 11 74
 A5 12 06 B2 2A BD 32 FF E0 3E DD FE E8 9D 94 36 5D B5 83 9B
 5A 0B 80 1F 11 11 11 11 11 11 11 11 73
 A5 12 06 7E D6 55 03 74 1E EF 88 D6 D7 07 74 8D 36 99 52 B7
 5A 0B 80 20 11 11 11 11 11 11 11 11 72
 A5 12 06 D8 FE 31 FB 10 88 80 41 70 72 8F 39 1A BA B8 49 68
 5A 0B 80 21 11 11 11 11 11 11 11 11 71
 A5 12 06 91 19 22 34 11 34 0E 11 7E 60 D5 C6 BC D4 C1 6C A8
 5A 0B 80 22 11 11 11 11 11 11 11 11 70
 A5 12 06 7F E9 3E 00 D6 0B 08 C7 E4 F2 90 DA EF 77 DC EB 7F
 5A 0B 80 23 11 11 11 11 11 11 11 11 6F
 A5 12 06 C5 82 FA C3 B0 14 6D DE 15 45 9B 92 56 EB B8 8B 24
 5A 0B 80 24 11 11 11 11 11 11 11 11 6E
 A5 12 06 30 45 25 92 29 D0 4D CE E9 6D B6 9D 95 37 A5 C2 26
 5A 0B 80 25 11 11 11 11 11 11 11 11 6D
 A5 12 06 47 C5 F8 EF A5 D9 5F 54 39 30 A1 C1 1E FE 21 D8 3E

Брут новой батарейки

 5A 0B 80 00 11 11 11 11 11 11 11 11 92
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 01 11 11 11 11 11 11 11 11 91
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 02 11 11 11 11 11 11 11 11 90
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 03 11 11 11 11 11 11 11 11 8F
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 04 11 11 11 11 11 11 11 11 8E
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 05 11 11 11 11 11 11 11 11 8D
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 06 11 11 11 11 11 11 11 11 8C
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 07 11 11 11 11 11 11 11 11 8B
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 08 11 11 11 11 11 11 11 11 8A
 A5 12 06 67 A3 DD CB F5 54 68 0E 35 D4 23 1E DD C1 C0 0C 1D
 5A 0B 80 09 11 11 11 11 11 11 11 11 89
 A5 12 06 8E CC 1D 40 A8 0E 22 DF 4F F4 F2 ED A8 F0 7F 5A 41
 5A 0B 80 0A 11 11 11 11 11 11 11 11 88
 A5 12 06 DB 00 17 5B 7F 41 96 F9 5B DD 28 94 EF 7E 37 F0 1E
 5A 0B 80 0B 11 11 11 11 11 11 11 11 87
 A5 12 06 CA D9 D5 73 FF 87 31 FF 98 E8 77 6E 5F 6A 30 3A 09
 5A 0B 80 0C 11 11 11 11 11 11 11 11 86
 A5 12 06 CB FB 10 51 A9 F3 F0 BF 7B 17 A8 F4 64 C1 7F 19 E5
 5A 0B 80 0D 11 11 11 11 11 11 11 11 85
 A5 12 06 97 75 40 AB 80 47 02 C6 EC 9F F7 17 41 50 17 9F DC
 5A 0B 80 0E 11 11 11 11 11 11 11 11 84
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 0F 11 11 11 11 11 11 11 11 83
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 10 11 11 11 11 11 11 11 11 82
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 11 11 11 11 11 11 11 11 11 81
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 12 11 11 11 11 11 11 11 11 80
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 13 11 11 11 11 11 11 11 11 7F
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 14 11 11 11 11 11 11 11 11 7E
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 15 11 11 11 11 11 11 11 11 7D
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 16 11 11 11 11 11 11 11 11 7C
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 17 11 11 11 11 11 11 11 11 7B
 A5 12 15 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 33
 5A 0B 80 18 11 11 11 11 11 11 11 11 7A

[lport3]

это китайский фуфел
5A 0B 80 09 11 11 11 11 11 11 11 11 89
A5 12 06 B0 39 33 91 8F 72 43 40 19 44 C0 48 60 07 98 F6 B7

вот такой первый кусок должен быть
5A 0B 80 09 11 11 11 11 11 11 11 11 89
A5 12 06 8E CC 1D 40 A8 0E 22 DF 4F F4 F2 ED A8 F0 7F 5A 41

https://www.pspx.ru/forum/showthread....257#post884257
--------------------
вторые 8 байт в ответе, это синхра по времени,
именно из за них нельзя "перехватывать и подменять",
задержка по моим подсчетам 25-50мс.
--------------------

Всё же свожусь к мнению...что не статичные ответы батарейки, это не что иное как косяк с таймингами в твоей проге...Если прога работает стабильно то и ответы одинаковые на одинаковые запросы...а если косячит то и ответы разные ....вот сегодня те же условия...те же батарейки...а ответы разные ....

Я уже говорил тебе, что временные 8 байт у тебя были одинаковые из за
сброса одного из счетчиков, но этот счетчик не один..
-------------------

Да ладно....мне кажется всё проще гораздо...просто мы пока идём не той тропинкой...ну нету смысла так наворачивать батарейку....невыгодно экономически....

блажен неведающий..))
Разница между 4 байтами и 16 знаешь какая?.. 16-4=.. нет..))
-------------------

lport3, а что ответишь на мой вопрос по поводу кривых нестатичных ответов на 80 команды? Что косячит в итоге связка PL2303 или твоя прога? Или нужно делать К-лайн который без МАХа работает от настоящего СОМ порта, и работать по реальному СОм порту только на транзисторах....походу МАХ свои косяки добавляет.... и только тогда мы избавимся от мусора...Сдаётся мне что мы тупо в мусоре сейчас ковыряемся ....я про ответы на 80 ....а таким образом алгоритма нам не просчитать...

))может микрухи взять не наши а японские, глядишь
и выровняется все..
-------------------

ты всё же утверждаешь что есть временная привязка? Тогда как китайцы раскусили и повторили алгоритм ответа но 80?

ты выпивший что ль ?
самая первая мысль в этом посте..читай внимательнее.

[Boryan]

lport3, а что ответишь на мой вопрос по поводу кривых нестатичных ответов на 80 команды? Что косячит в итоге связка PL2303 или твоя прога? Или нужно делать К-лайн который без МАХа работает от настоящего СОМ порта, и работать по реальному СОм порту только на транзисторах....походу МАХ свои косяки добавляет.... и только тогда мы избавимся от мусора...Сдаётся мне что мы тупо в мусоре сейчас ковыряемся ....я про ответы на 80 ....а таким образом алгоритма нам не просчитать...

Boryan добавил 17-05-2010 в 21:18
ты всё же утверждаешь что есть временная привязка? Тогда как китайцы раскусили и повторили алгоритм ответа но 80?

Boryan добавил 17-05-2010 в 21:23
ты меня не понял про наворачивать батарейку разницу между 4 и 16 байтами знаю Я в смысле истории создания ПСП ...получается что создавая первую ПСП разработчики в ней сделали защиту только от не родного софта....но не сделали НИКАКОЙ защиты при загрузке с стика...и заливай что хочешь....таким образом и взломали ПСП....но при этом они в то время положили все свои силы на защиту копеечной батарейки....и такого там накрутили что и по сей день батарейку не ломанули....Смысл в этом каков?

[lport3]

Сообщение от Boryan получается что создавая первую ПСП разработчики в ней сделали защиту только от не родного софта....но не сделали НИКАКОЙ защиты при загрузке с стика...и заливай что хочешь....таким образом и взломали ПСП....но при этом они в то время положили все свои силы на защиту копеечной батарейки....и такого там накрутили что и по сей день батарейку не ломанули....Смысл в этом каков?

Могу еще штуки 3 поста своих по этой теме нарыть здесь, но
лень, так что повторюсь..
Слом эфками в серийнике это дыра, которую прохлопали разработчики.
Интересно, сколько япошек по этому поводу сделали харакири..))
Сейчас все функционирует в штатном, как и задумывалось, режиме.
Батарейка изначально задумывалась как ключ от сервисного режима.

[Boryan]

Я уже говорил тебе, что временные 8 байт у тебя были одинаковые из за сброса одного из счетчиков, но этот счетчик не один..

Не находишь ли странным что этот счётчик вчера одновременно сбросился на 12 штуках батарейках? Вчера все батарейки давали стабильные статические ответы на 80хх команду....почему интересно? И в зызы я их вставлял....ответ конечно был другой но он был одинаковый!!! Или в батарейке есть календарь и по чётным дням она выдаёт стабильные ответы? ))

Boryan добавил 17-05-2010 в 21:40
lport3, Слома по FF батарейки не было !!! Просто в сервисном центре забыли вытащить такую батарейку и она попала в руки умельцам...ну а далее дело техники и продолжение истории

[lport3]

Сообщение от Boryan Не находишь ли странным что этот счётчик вчера одновременно сбросился на 12 штуках батарейках? Вчера все батарейки давали стабильные статические ответы на 80хх команду....почему интересно? И в зызы я их вставлял....ответ конечно был другой но он был одинаковый!!! Или в батарейке есть календарь и по чётным дням она выдаёт стабильные ответы? ))

А у меня сейчас псп временами виснет, и перегружается,
почему?...а еще в протоколе псп запрашивает у батарейки
дополнительные длинные пакеты, на которые батарейка отвечает
негативно.. Защиты для того и делают, чтобы не допустить основного
"защищаемого" события.. и как не огорчительно всеми способами.

lport3 добавил 17-05-2010 в 21:44

lport3, Слома по FF батарейки не было !!! Просто в сервисном центре забыли вытащить такую батарейку и она попала в руки умельцам...ну а далее дело техники и продолжение истории

а вот это важно.. это точная информация?

[Boryan]

lport3,

а вот это важно.. это точная информация?

Да, это было имеено так ....Взлом ПСП был сделан только потому что в СЦ Сони забыли вытащить из зызы мемори стик сервисный с пандорой и батарейку с кодом FF ....так и отдали клиенту полный комплект....а клиент не дурак оказался

Boryan добавил 17-05-2010 в 21:54
Думаю после этого и начали ковырять батарейку на предмет смены в ней серийника на FF....

Boryan добавил 17-05-2010 в 21:59
Но опять же странно выглядит это...значит батарейку сони защищает выше крыши ....а с картридера грузи что хочешь в зызу ....любую прошивку....или они думали что защита с той стороны не нужна раз есть мощная защита в батарейке? Которая в итоге оказалась для любого пионера лёгкой

[ANDPSP]

Сообщение от Boryan ANDPSP, А что это даст? буржуи -дураки!!! Это даст обычный старт зызы.

Хех, если это действительно работает - тогда прослушав диалог 3000-й консоли и запандоренной батарейки (FFFFFFFF) мы можем узнать что она отвечает на 80 и 81 запросы, они же и при включенной консоли сыпятся....

Да и не дураки они совсем - все чем мы занимаемся - они начали в далеком 2005 году, здесь уже упоминали инфу из этого топика, но может кому интересно полностью почитать будет
http://forums.ps2dev.org/viewtopic.p...er=asc&start=0 и кстати контроллер батарейки, чей PDF изучали тоже отсюда - он здесь и упоминается и сфоткан великолепно....

ANDPSP добавил 17-05-2010 в 22:30

Сообщение от lport3 это китайский фуфел 5A 0B 80 09 11 11 11 11 11 11 11 11 89 A5 12 06 B0 39 33 91 8F 72 43 40 19 44 C0 48 60 07 98 F6 B7 вот такой первый кусок должен быть 5A 0B 80 09 11 11 11 11 11 11 11 11 89 A5 12 06 8E CC 1D 40 A8 0E 22 DF 4F F4 F2 ED A8 F0 7F 5A 41 https://www.pspx.ru/forum/showthread....257#post884257

Что то я не догнал... lport3 а объясни популярно почему

Сообщение от lport3 вот такой первый кусок должен быть 5A 0B 80 09 11 11 11 11 11 11 11 11 89 A5 12 06 8E CC 1D 40 A8 0E 22 DF 4F F4 F2 ED A8 F0 7F 5A 41

[Boryan]

ANDPSP, а что это даст? Ты просто увидишь разницу в организации команд при прямом включении батарейки и при включении батарейки с включенным зарядником....Я чота не понимаю чего ты хочешь там увидеть?