Pandora (unbricker/downgrader) для PSP-200X TA-088v3

[ErikPshat]

Сервисный комплект для PSP-200X
(включая TA-088v3)

{ НИЧЕГО НЕ ПРОДАЁМ / NO SALES HERE }

После удачного взлома и последующей длительной заморозки в скрытом разделе темы:
"Размышления о возможностях взлома ТА88v3"
было решено, что настало время её разморозить и отдать "в народ".
Дабы не нарушать хронологию "размышлений по взлому", инструкция выложена в шапке отдельной темой.

Первое видео от Yoti

Новое видео подтверждение работы сервисной карты JigKick на PSP-2006 TA-088v3!

Комплект сервисной карты и MSID Dumper:

• Service_memstick_TA-088v3.zip
  
• MSID Dumper & SRC.zip

Структура папок в архиве:

• Extracted Files Original - все оригинальные извлечённые файлы с образа - по сути комплект сервисной карты (файловая копия карты).
• MSID 512mb Original - это дамп MSPro ID оригинальной сервисной карты, снятый с помощью MSID Dumper (сервисная область).
• Original Dump MS - полный образ сервисной карты в формате IMG. Можно посмотреть через WinHex (raw копия карты).
• Write IPL to MS - утилита записи сервисного IPL-загрузчика в 16-ый сектор карты памяти. Сам IPL уже там тоже лежит: multiloader_ipl.bin.

Изготовление волшебной сервисной карты:

1. Необходима карта MS PRO DUO неоригинал на 512 Мб, 2 Гб или 4 Гб.
2. Оригинал SONY не подходит, т.к. имеет свои чипы нанда и к ним нет спецификаций (даташита) и программаторов.
   
   Такие оригиналы НЕ подходят

   Это MS PRO DUO Mark2.
   Контроллёр, микросхема и плата залиты в один монолитный корпус, даташитов к ним нет и программатор к ним не найдёшь.
   
   1.jpg
   
   2.jpg
3. Скачиваем "MSID Dumper", вставляем карту памяти в PSP и запускаем программу. Видим на экране номер "Серийный номер" и MSProID вашей карточки и записываем, хотя дамп области MSID всё равно сохранится в корне карты памяти и вы можете его потом посмотреть хекс-редактором. Это вам может пригодиться, когда вы будете искать данные MSID в дампе микросхемы.
4. Тонким скальпелем располовиниваем корпус карты памяти пополам. Не поностью, а только заднюю часть и чуть больше половины по краям.
5. Затем пинцетом достаём из корпуса плату, она не приклеена, а просто лежит в пазах.
6. Из платы выпаиваем микросхему памяти (nand), которая самая большая и имеет 48 ножек. Рядом находится небольшой квадратный контроллёр памяти, его не трогаем.
   
   
   Подходящие карты памяти и nand

   3.jpg
   
   4.jpg
   
   5.jpg
   
   6.jpg
7. Вставляем микросхему в программатор с панелькой TSOP-48 под эту микросхему: http://www.soft-center.ru/reader/
8. Нужно учитывать, что с виду карты одинаковые, но внутри могут быть разные нанды, например Hynix или Samsung. Поэтому под вашу микросхему уже потом ищется программатор. Смотрим список поддерживаемых микросхем: http://www.soft-center.ru/reader/NAND_List.php.
   Hynix, насколько я знаю, практически все имеют одинаковый стандарт выводов по даташиту среди TSOP-48, поэтому если буквы или цифры немного отличаются от списка поддерживаемых моделей, то это вряд ли имеет значение.
9. Микросхема вставляется в панельку программатора очень просто. Панелька имеет конструкцию прищепки, нажимаем сверху, контакты отходят, ставится микросхема и отпускаем, контакты прижимаются к ножкам микросхемы.
10. Далее, программатор подключается к компьютеру, с заранее установленной программой и драйверами, поставляемыми с программатором. В программе указывается диапазон страниц, которые нужно сдампить и дампится часть памяти.
11. Сразу дампить 2 Гб всей памяти очень долго, да и не нужно. Сразу скажу, что нужная нам служебная область, где прописан MSID карты находится либо в самом начале, либо в самом конце микросхемы, обычно в 1-ом банке и не далее 3-4 блоков. Рекомендую сдампить сразу 4 блока - это 256 страниц или 0x100 в шестнадцатеричном виде, что и нужно указывать в диапазоне.
12. Открываем файл дампа в хекс-редакторе. Вводим в поиск, что нужно искать, а именно кусок хекс-кода MSID: 4D535053, что в буквенном выражении означает первые четыре аббревиатуры MSPS(NY0/DK0/XX0), то есть, это часть 16-значного ключа MSID, которая у всех карт памяти MS PRO DUO одинаковая.
    
    
    Скриншот MSID

    Это логическая область с MSID, снятая программой MSID Dumper, сохраняющаяся в корне карты памяти в файл. По структуре она не имеет ничего общего с настоящей областью MSID, которая находится в физическом чипе памяти.
    Требуется только для определения номера MSID для поиска в сыром RAW-дампе ципа карты памяти.
    Не путать с оригинальным RAW-дампом(снятым программатором)!
    
    MSID.png
    
    Это предварительная настройка снятия области дампа в программаторе "Тритон"
    
    HY27UY08AG5M.png
    
    Так выглядет оригинальная сервисная область MSID, сдампленная программатором.
    Обратите внимание, что она выглядет совсем иначе, нежели на первом рисунке, снятом программой для PSP - "MSID Dumper".
    
    

    • В стартовом секторе содержится серийный номер и MSID.
    • Далее идут 3 пустых сектора, полностью заполненных FFFFFFFF.
    • Затем идёт сектор, где указывается фрмат и размер карты памяти.

    
    
    HY27UH08AG5M.png
13. Найдя искомое, меняем 16-значный ID данной карты на ID сервисной. Необходимый код ID вы найдёте в папке "MSID 512mb Original" в файле ID.txt.
14. После замены ID, не забудьте сохранить файл. Затем обратно вшиваем этот дамп страницы по тому же адресу, откуда сдампили.
15. Впаиваем микросхему на место.
16. Форматируем изготовленную карту памяти на PSP.
17. Из папки "Write IPL to MS" запускаем "install_psp_ms_multi_loader_ipl.cmd"
18. Только после этого, делаем подключение PSP к компьютеру.
19. В окне консоли видим, как определяется флешка и нажимаем английскую "Y"
20. Видим сообщение "Write MS BOOT CODE" - значит всё отлично.
    • Если выдаётся сообщение "Canceled" - значит не ту букву нажали или не в той раскладке.
    • Если выдаётся сообщение "Check free reserved sector : to small reserved sectors" - значит идём изучать эту тему (Способ №2).
21. Монтируем в Хекс-редактор флешку, как физический диск и удостоверяемся, что в 16-ом секторе присутствует знакомый нам IPL.
22. Из папки "Extracted Files Original" копируем содержимое на флешку и идём прошивать брикнутые ТА-088v3 =)

---

1. 1 сектор = занимает 512 байт + 16 байт избыточного кода данных, позиционирования сектора и контрольная сумма ECC в конце каждого сектора.
2. 1 страница = это 4 сектора, т.е. 2048 байт + 64(16х4) служебных байта = 2112 байт.
3. 1 блок = 64 страницы (256 секторов), конечно же вместе с техническими данными. 131072 + 4096 = 135168 байт или 132 килобайта.

Страница спецификации

[gtament]

А что собой представляет ipl в плане структуры? Я считал что загрузчик, как boot.ini в винде. Как понимать: "ipl получает MSID"?
Впрочем, можешь не париться отвечая на эти вопросы, если тебе неугодно. Хотя почитать об этом где-нибудь тоже пригодится. Из твоего сообщения можно сделать вывод, что MSID пересылается лишь однажды. Кстати, я еще додумался как же определить в каком виде у нас MSID! Вот, важный вопрос: механизм, описанный тобой, присущ всем PSP или только этим непрошивайкам?

[frostegater]

хе-хе, а вы знали что в карточке контроллер шифрует информацию? Такчто фиг вы даже осцилографом правильно прослушаете.

[ErikPshat]

Сообщение от gtament Тапками не кидать-это вполне реально

Вот вполне реально вас тапочками закидать.

1. IPL-загрузчик записан в неразмеченной области карты памяти.
2. В сервисном режиме, если это позволит SYSCON (сиськи), происходит загрузка IPL с карты, а не из внутренней памяти PSP.
3. IPL карты считывает MSID этой карты и этим ключом декриптует файлы программы-прошивальщика, лежащего на этой карте, во временную память кэш.
4. После декриптовки/распаковки, файлы становятся работоспособными и запускается программа обновления прошивки.

[Yoti]

Сообщение от gtament А что собой представляет ipl в плане структуры?

Микропрограмма, написанная на языке процессора (mips asm).

Сообщение от gtament Из твоего сообщения можно сделать вывод, что MSID пересылается лишь однажды.

Если найду логи общения, проверю.

---

Логи в аттаче, копайтесь.
Пароль к архиву - pspx.ru_logs

[gtament]

Смотрите, вот что мне пришло в голову недавно. Основная задача подменить MSID на пути считывания с карточки. Пусть даже этот MSID зашифрованный-неважно, главное, если мои догадки верны, мы можем точно узнать как выглядит MSID, потому что у нас есть программка-Dumper, которая, как раз, посылает запрос на MSID и соответственно его получает. Так мы можем точно узнать, что все это собой представляет в двоичном виде, включая вид команды запроса. Остается только считать эту последовательность с помощью спец. оборудования. Но у меня нет ни нужной PSP, ни чудо-карточки, хотя я бы с радостью продолжил эксперимент. Плюс вы еще не ответили: присущ ли этот механизм только вышеописанным моделям или всем PSP?

[ErikPshat]

Сообщение от Yoti Логи в аттаче, копайтесь.

Первое, что пришло в голову )))

00
80 42 01 08 81
49 40 49 48 81
04 40 20 40 09 48 81
49 89 01 08 01 06 48 49 48 81
04 40 20 40 09 08 81
49 40 49 48 89 04 00 20 80 16 89 01 04 C0 40 09 22 46 01 08 01 0C 02 41 08 81
04 40 20 44 01 08 81
49 40 49 48 81
04 40 20 40 09 04 48 62 41
04 40 49 40 49 48 81
04 40 20 40 09 48 81
49 89 01 08 01 06 48 41 48 81
04 40 20 40 09 08 81
49 40 49 48 81
04 40 20 80 2C 01 C8 91 8A 20 C0 22 46 01 08 01 0C 02 41 08 81
49 04 20 44 01 08 81
49 40 49 48 81
04 40 20 40 09 04 48 C4 C0 20 41 06 0A 01 08 01 0C 01 24 88 44 09 08 81
49 40
04 40 49 42 41 48 81
04 40 20 44 09 08 81
49 40 49 48 81
04 40 20 80 2C 01 C8 81 8A 20 C0 89 04 88 0B 48 20 02 41 08 81
49 04 20 44 01 08 81
49 40 49 48 81
04 40 20 40 09 08 81
49 40 49 48 89 04 80 24 01 0C 01 88 91 8A 20 80 22 44 01 08 01 06 48 41 48 81
04 40 20 44 09 08 81
49 40 49 48 81
04 40 20 80 2C C9 41 04 0A 20 C4 89 04 80 24 01 0C 11 24 88 40 49 C9 01 04 81
04 40 49 40 49 48 81
04 40 20 40 09 08 81
49 40 49 48 89 04 80 24 41 0C 01 88 91 8A 20 80 22 44 01 08 01 06 48 41 48 81
49 C9 01 04 20 80 40 49 40 49 48 81
04 40 20 80 2C C9 41 04 0A 20 44 89 04 80 24 01 0C 02 01 08 81
49 90 89 0A 20 C0 22 01 88 0B 01 0C 01 24 88 40 09 08 81
49 40 04 42 49 42 49 48 81
04 40 20 40 09 08 81
49 40 49 48 89 04 40 24 80 16 C9 01 04 C0 40 08 20 06 01 8C 08 40 01 C0
00
04 07 04 04 00 00 00 00 00 00 00 00 B1 00 10 12 09 00 23 00 20 08 10
00 3A 01 88 00 B0 00 73 5E 00 04 03 11 01 09 00 32 04 2A 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 07 12 2E 00 02 00 F0 00 00
07 E8 2F F2 C0 CA 60 D0 7C B7 7F 0F BE 42 FE DA 31 A7 94 FF 7D CE 3F E3
19 CB 73 FE 7C 70 9F 6F A3 7F E6 8D 9F CD FB D4 56 C7 67 F1 D6 8D AB FE
F3 C5 E4 E3 3F 4D FE 7E 7B EC E3 43 77 3F 7F F7 7F FF FD FF 63 7F 69 CE
9B F4 DF BF FD FE EE FF 7F E2 71 F3 DE FF EC DF E6 FF E3 7F FD FF EF F7
9F 7F EE 13 9A FF 4F 3D 0A 7F DF FF AB CF FF BB FE E0 BF FD FF FF 6F FA
F0 F7 FD FF F0

Ушёл смотреть футбол =>>>

Сообщение от gtament Пусть даже этот MSID зашифрованный-неважно, главное, если мои догадки верны, мы можем точно узнать как выглядит MSID

Собственно мы и так знаем, как он выглядет. Смотрели через микроскоп прямо на MSID в разобранной микросхеме.
Он не зашифрован и лежит так, как уже 100 раз в этой теме показывали.

[gtament]

Не-не, я не совсем это имел в виду. frostegater сказал, что контроллер карты шифрует данные. Даже если это так задача состоит в том, чтобы отловить MSID уже, так сказать, на контактах карты памяти в разъеме PSP, неважно будет ли он зашифрован, или нет. "Подгадав" момент, остается только подменить MSID на нужный, а чтобы узнать как же выглядит "нужный", надо повесить на контакты сервисной карты памяти некое спец. устройство(осциллограф цифровой например) и заставить Dumper считать MSID. Тем самым на этом спец. устройстве отразятся команда и MSID в таком виде, в котором мы должны будем его подменить. Блин, ребят, я знаю, рассуждать легко, но у меня нет ни карты памяти, ни тем более нужной PSP. Я не говорю, что это окажется очень просто, все это только теория, и, если бы я мог, я бы действовал методом научного тыка, но опять же, у меня просто нет такой возможности(

[ErikPshat]

gtament, не пойму, что ты с ним хочешь делать?

На матплатах ТА-088v3 и выше, в процессор встроен железно модуль PRE-IPL, который проверяет валидность IPL, собсно почему до сих пор на непрошивайках используют виртуальные прошивки.

При загрузке с карты памяти, IPL на карте так же проверяется на валидность. И из этого IPL происходит загрузка драйверов оборудования, в первую очередь чтения карты памяти, с которой считывается MSID для декриптовки зашифрованных файлов, контрольная сумма которых и подпись так же проверяется через PRE-IPL.

Как ты хочешь подсунуть, подловить, подменить считывание MSID, если пока не прогрузятся файлы Анбрикера, ты не можешь контролировать систему.

А когда система прогрузится, это значит, что MSID уже не нужен, т.к. система прогрузилась, потому что файлы декриптовались с помощью MSID.

Подменить IPL и шифрованные файлы невозможно, т.к. они проходят проверку из PRE-IPL. Расшифровать-то мы все файлы и сами можем, но вот способ обратной криптовки кирком мы пока не знаем.

Сообщение от gtament "Подгадав" момент, остается только подменить MSID на нужный

Я так понял, появился опытный профессор, защитивший докторскую диссертацию по асму и осциллограммам. И он считает, что хакеры всего мира, для которых этот орешек оказался не по зубам, сможет решить такую задачку

Ну-ну, давай, флаг те в руки, а я лучше пару минут погрею микросхему феном, запишу туда нужный MSID и пойду прошивать непрошивайки дальше...

[Yoti]

Сообщение от gtament Плюс вы еще не ответили: присущ ли этот механизм только вышеописанным моделям или всем PSP?

Прочти название моего первого видео.

---

Сообщение от ErikPshat Как ты хочешь подсунуть, подловить, подменить считывание MSID, если пока не прогрузятся файлы Анбрикера, ты не можешь контролировать систему.

Хардово же. Как сняты логи, только со спуфом.

[gtament]

Вы не оставили мне выбора: попробую показать на пальцах)) Вот именно так мы будем считывать то, что нам нужно, не вскрывая PSP. Все идеи я расписывал выше. Вы не представляете как бы я хотел этим заняться сам, но у меня нет нужной приставки!

[KirJan-DeSign]

Сообщение от gtament у меня нет нужной приставки!

так купи и не морочь людям голову!!!
https://www.pspx.ru/forum/forumdisplay.php?f=74

Сообщение от gtament мы будем считывать то, что нам нужно, не вскрывая PSP

я уточню : прямо с контактов карты памяти?

Сообщение от gtament я хотел этим заняться сам

кхм....ЭТИМ??? =)

[frostegater]

Сообщение от gtament Вот именно так мы будем считывать то, что нам нужно, не вскрывая PSP.

Я уже говорил что шифрованые данные тебе ничего не дадут, msid'а не найдёшь.

Сообщение от gtament Вы не представляете как бы я хотел этим заняться сам, но у меня нет нужной приставки!

Займись на обычной. Хотя бы msid считай и найди в дампе. В принципе, если алгорим линейный, то можно менять уже шифрованые данные. Я сам особо не сталкивался с шифрацией, но если алгоритм линейный, то идея имеет право на существование.

P.S. Изучи AES, там он.

[gtament]

Да! Прямо с контактов. Что в этом такого? Я не могу купить, я не зарабатываю столько, чтобы еще на одну приставку тратить.
frostegater, неважно в каком оно виде, надо просто подменить. Не нужно ничего изучать, надо проэмулировать двоичной код, который является MSID`ом, подменить уже шифрованные данные прямо на контактах карточки. Сделать "инъекцию". Моя PSP уже который год в состоянии комы(пандора не помогает), если у кого-нибудь появится желание помочь мне с этим то напишите в ЛС и я подробно опишу симптомы.

[frostegater]

Сообщение от gtament Я не могу купить, я не зарабатываю столько, чтобы еще на одну приставку тратить.

Делай на своей, разницы нет.

Сообщение от gtament если у кого-нибудь появится желание помочь мне с этим то напишите в ЛС и я подробно опишу симптомы.

https://www.pspx.ru/forum/forumdisplay.php?f=87

P.S. У меня появлялись аналогичные идеи когда я только начинал заниматься этим. Позже подобные стали отпадать, ибо пахнет нереалом или костылявостью. Наиболее реально и практично найти метод криптовки.

[cadeomec]

Сообщение от pannys http://www.chinabuye.com/ - и отсель то же все исчезло. Видать кто-то взялся за это ...

У вас есть ссылка на конкретный продукт? В http://www.chinabuye.com я не нашел, чтобы продать ...Спасибо за ваше внимание

[ErikPshat]

Сообщение от cadeomec У вас есть ссылка на конкретный продукт? В http://www.chinabuye.com я не нашел, чтобы продать ...Спасибо за ваше внимание

Ну вы и некропостер, подняли пост с первой страницы. А сейчас знаете какая страница уже?

Не понял, что вы "не нашли, чтобы продать"? Вы продаёте батарейки-Пандоры?

[cadeomec]

Сообщение от ErikPshat Ну вы и некропостер, подняли пост с первой страницы. А сейчас знаете какая страница уже? Не понял, что вы "не нашли, чтобы продать"? Вы продаёте батарейки-Пандоры?

Видя, ничего! Я хочу купить эту карту подходит! Извините мою ошибку в написании, потому что я в Бразилии. Эрик, я послал вам сообщение на facebook, потому что у меня есть несколько на PSP с этой проблемой, чтобы исправить ...

[ErikPshat]

cadeomec, понял. Там речь шла о том, что сервисные батареи убрали с продажи на http://www.chinabuye.com/
Карты памяти сервисные никто не продаёт. Так что зря вы просите и ищите, чтобы кто-нибудь продал.

У вас есть только возможность отправить PSP почтой, чтобы здесь их восстановили, больше никак.

[cadeomec]

Хорошо, спасибо за информацию Erik, я прошу прощения за доставленные неудобства я вызвал ... Но в любом случае, я мог бы просто купить карту готовы в случае, если кто-то готов продать мне одну! Мне понравилось здесь все! Привет из Бразилии!

Просто, чтобы закончить, если кто-то готов продать меня карта готова, мое письмо: cadeomec@hotmail.com Спасибо!

[frostegater]

Сообщение от cadeomec Хорошо, спасибо за информацию Erik, я прошу прощения за доставленные неудобства я вызвал ... Но в любом случае, я мог бы просто купить карту готовы в случае, если кто-то готов продать мне одну! Мне понравилось здесь все! Привет из Бразилии! Просто, чтобы закончить, если кто-то готов продать меня карта готова, мое письмо: cadeomec@hotmail.com Спасибо!

Please use English. The Google translator is horrible.

Nobody will sell you a card. If someone offers you this, you can be sure that this is a fraud and please let us know about this incident.