Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

// Вот разложил поточнее, что выложил stasik007:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 08364CAFF8EFE8E9A5 84
A512 06 EFDDEDA268B1F15CF705F1F16FFADDE2 7B
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 02129A117169ADE46F 81
A512 06 CEE3A231846B7A3CACC16A81AE99A14F 8A
5A0A 81 08EC25077C96EB55 A8
A50A 06 3D71D0DDA5AC498D C8
5A02 01 A2
A505 06 00C206 87
5A0B 80 0208FA21BD9B0CF433 6A
A512 06 649C9CC965D9AA823804FA537F84ADC7 73
5A0A 81 0A99549CC666111A 30
A50A 06 1DF65042207C3621 B2
00

Включаю приставку:

5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 082ED10418C5A517A7 CF
A512 06 956EC42197FA58395A3D01B7EBB74C36 C5
5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 0265727014369503DA 15
A512 06 D3D208AC828AC4285A1F1BE8389276A2 93
5A0A 81 62861C9CE0618781 31
A50A 06 3E02027DA5B052A3 41
5A02 01 A2
A505 06 00C206 87
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 0104 4B
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 9AFF B7
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 00C206 87
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 81FF D0
5A02 03 A0
A504 06 2C10 14
5A02 01 A2
A505 06 00C106 88
5A02 03 A0
A504 06 2C10 14
5A0B 80 028C1358AFF19A5594 FE
A512 06 903ECAB191ACE9B53336455CD35DC860 BC
5A0A 81 9F3777774C64553C 15
A50A 06 64D75EC38A197E7B 52
5A02 01 A2
A505 06 00C106 88
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
00
*/

Расшифровка кодов

Код   Описание                   Данные  Ответ от батареи     Примечание

0x01  запрос оставшегося заряда   нет    energyleft_mAh:u16                                         
0x02  запрос температуры          нет    temperature:u8       cercius degree, min/max value unknown 
0x03  запрос напряжения           нет    voltage_mV:u16        
0x04  запрос тока                 нет    current_mA:short     positive if charging battery 
0x07  запрос ёмкости              нет    capacity_mAh:u16 
0x09  запрос оставшегося времени  нет    timeleft_min:u16     XMB showing not this value 
0x0c  запрос серийного номера     нет    serialno:u32         suspected 
0x80  запрос аутентификации?      9byte  16byte               encrypted data/reply 
0x81  запрос аутентификации?      8byte  8byte                encrypted data/reply

0x05  ответ от батареи            нет    NAK, BCC error and so on?? 
0x06  ответ от батареи            да     ACK, with reply data

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000


Во вложении:

1. "psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
   • Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
   • "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
2. "Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

EEPROM.png

[stasik007]

старт с нормальной батарейкой серийник 4f20df89:
подключаю батарейку
005A0201A2
A5050610C20677
5A020C97
A50606204F89DF77 - серийник
5A0B8008364CAFF8EFE8E9
A584A51206EFDDEDA268B1F15CF705F1F16FFADDE27B5A0201A2A5050610C206775A020C97A50606 204F89DF77
5A0B8002129A117169ADE46F81A51206CEE3A231846B7A3CACC16A81AE99A14F8A5A0A8108EC2507
7C96EB55A8A50A063D71D0DDA5AC498DC85A0201A2A5050600C206875A0B800208FA21BD9B0CF433
6AA51206649C9CC965D9AA823804FA537F84ADC7735A0A810A99549CC666111A30A50A061DF65042
207C3621B200
включаю приставку
5A0201A2
A5050610C20677
5A0203A0
A5040636100A
5A020C97
A50606204F89DF77 - серийник
5A0B80082ED10418C5A517A7CF
A51206956EC42197FA58395A3D01B7EBB74C36C5
5A0201A2
A5050610C20677 - серийник
5A0203A0
A5040636100A
5A020C97
A50606204F89DF77
5A0B800265727014369503DA15
A51206D3D208AC828AC4285A1F1BE8389276A2935A0A8162861C9CE061878131A50A063E02027DA5 B052A3415A0201A2
A5050600C206875A02079CA504060807415A020B98A504060F00415A02099AA5040601044B5A0202
A1A503061B365A02049FA504069AFFB75A0203A0A5040631100F5A0201A2A5050600C206875A0209
9AA504063603175A0202A1A503061B365A02049FA5040681FFD05A0203A0A504062C10145A0201A2
A5050600C106885A0203A0A504062C10145A0B80028C1358AFF19A5594FEA51206903ECAB191ACE9
B53336455CD35DC860BC5A0A819F3777774C64553C15A50A0664D75EC38A197E7B525A0201A2A505
0600C106885A02099AA504063603175A0202A1A503061B3600

[Ins|der]

Сообщение от stasik007 старт с нормальной батарейкой серийник 4f20df89

Сообщение от stasik007 A50606204F89DF77 - серийник

странно, местами меняет байты

stasik007, это ты 2000ю зызу мучаешь?
и, прости за дилетантство, что такое "режим автозапуска"?

[stasik007]

что такое "режим автозапуска"? - Autoboot mode - это когда серийник 00000000 - приставка включается как только вставлена батарейка (удобно при ремонте)

[ErikPshat]

Ничё себе вы навычисляли.
Получается 5А - это запрос, А5 - это ответ. Следующий байт действительно длина.
Теперь нужно сами команды побайтно разложить =)
Я в шоке!

Ins|der, серийник записан в микрухе не сплошным текстом, а тоже кусками.

00000000 - режим автозапуска при вставке батареи.
FFFFFFFF - сервисный режим в предыдущих пандорах.

[dn3d]

у меня есть догадка, что 3-ий байт в сообщении - это команда...
Например: сообщение зызы 5A 02 0С A2 - вернуть серийник батарейки
сообщение батарейки A5 06 06 204F89DF 77
P.S. у батарейки этот 3-ий байт всегда равен 06. Скорее всего это команда, что дальше будут данные

[Yoti]

Ins|der,
серийник так хранится:
12345678
0x0e : 34
0x0f : 12
0x12 : 78
0x13 : 56

[stasik007]

мысль:
серийник выдаётся коммандой A50606 а вот после серийника код очень интересный - похоже инструкция к загрузке (опробовал с разными флешками - везде тоже)
A50606000000004E - автозапуск -- 4E
A50606FFFFFFFF52 - сервис ------ 52
A50606204F89DF77 - нормальный --77

[ANDPSP]

Да уж .... нет слов просто...тут кажись Стасик опечатался

Сообщение от stasik007 старт с нормальной батарейкой серийник 4f20df89: A5050610C20677 - серийник 5A0203A0 A5040636100A 5A020C97 A50606204F89DF77

серийник должен быть в последней строчке куска... а вообще количество вхождений серийника в обычном, сервисном и режиме автозапуска всегда совпадает ? И написал бы как железячно проделываешь опыт - как и чем консоль к компу подключаешь для анализа - если это доступно для простых обывателей то мы попробовали бы тоже самое со своими батарейками и разными кончолями - может вырисовалась бы общая картинка...
И самое интересное - прослушать это же общение на 3000 консоли хотя бы и с обычной батарейкой, да и с сервисной тоже интересно - может быть индикатор и не загорается зеленым а общение идет - ведь не зря Борян писал что консоль несколько раз опрашивает серийник...

[lport3]

Контрольная сумма еще проще
FF=A5+5A
---------
$A5(1й байт)=$FF - сумма следующих байт пакета (8бит).
контрольный байт для коррекции кс - явно последний в пакете.

[ErikPshat]

lport3, а можно пример на длинной строке, а то что-то не совсем понятно.

Нужен опрос от 3000 модели, кто может сделать?

[Ins|der]

Сообщение от stasik007 A50606000000004E - автозапуск -- 4E A50606FFFFFFFF52 - сервис ------ 52 A50606204F89DF77 - нормальный --77

нет, выяснили уже, что последний байт добавочный, вроде контрольной суммы, а второй - длина, просто команда длиной 6 байт у нас одна - выдать серийник батареи)

[lport3]

A51206956EC42197FA58395A3D01B7EBB74C36C5

A5 = FF - (12+06+95+6E+C4+21+97+FA+58+39+5A+3D+01+B7+
EB+B7+4C+36+C5 = 085A (8bit = 5A) )

[stasik007]

слушаю простой фигнёй - собирал давно на 1 транзисторе для пс2 - по терминалке лог диагностики смотрел
отсюда схему брал
http://nnoble.nerim.net/ee-sio/ps2-ee-sio.html -
надобы всё переделать на максе - времени нет..

а свою схему не могу найти - хард накрылся давно где это было - погуглить надо мож где есть - 1 транзистор и 2 сопротивления - но это только слушать а на максе можно и туда и обратно!

stasik007 добавил 22-04-2010 в 17:42

Сообщение от Ins|der нет, выяснили уже, что последний байт добавочный, вроде контрольной суммы, а второй - длина, просто команда длиной 6 байт у нас одна - выдать серийник батареи)

нет! тут последний байт не добавочный и меняется он только если перешить режим работы батарейки - на 3 батарейках экспериментировал.

завтра утром у меня будет 3000 - сравним , обдумаем

[ANDPSP]

Хм если я правильно понял то 5A020C97 - это команда консоли на запрос серийника батарейки ?

[lport3]

завтра тоже возьму свою 3000,
прочитаю нормально и выложу логи.
stasik007 - последний байт это кс,
поверь мне, я делаю приборы и программы для
диагностики автомобилей.

[stasik007]

Сообщение от ANDPSP Хм если я правильно понял то 5A020C97 - это команда консоли на запрос серийника батарейки ?

да

[Ins|der]

stasik007, разве?
06+06+20+4F+89+DF+77=5A
06+06+00+00+00+00+4E=5A
06+06+FF+FF+FF+FF+52=5A

вроде бы все органично вписывается в алгоритм)
хотя может чего не понимаю..

[ErikPshat]

// Вот разложил поточнее, что выложил Стасик:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A 02 01 A2
A5 05 06 10 C2 06 77
5A 02 0C 97
A5 06 06 20 4F 89 DF 77 - серийник
5A 0B 80 08 36 4C AF F8 EF E8 E9 A5 84
A5 12 06 EF DD ED A2 68 B1 F1 5C F7 05 F1 F1 6F FA DD E2 7B
5A 02 01 A2
A5 05 06 10 C2 06 77
5A 02 0C 97
A5 06 06 20 4F 89 DF 77 - серийник
5A 0B 80 02 12 9A 11 71 69 AD E4 6F 81
A5 12 06 CE E3 A2 31 84 6B 7A 3C AC C1 6A 81 AE 99 A1 4F 8A
5A 0A 81 08 EC 25 07 7C 96 EB 55 A8
A5 0A 06 3D 71 D0 DD A5 AC 49 8D C8
5A 02 01 A2
A5 05 06 00 C2 06 87
5A 0B 80 02 08 FA 21 BD 9B 0C F4 33 6A
A5 12 06 64 9C 9C C9 65 D9 AA 82 38 04 FA 53 7F 84 AD C7 73
5A 0A 81 0A 99 54 9C C6 66 11 1A 30
A5 0A 06 1D F6 50 42 20 7C 36 21 B2
00

Включаю приставку:

5A 02 01 A2
A5 05 06 10 C2 06 77
5A 02 03 A0
A5 04 06 36 10 0A
5A 02 0C 97
A5 06 06 20 4F 89 DF 77 - серийник
5A 0B 80 08 2E D1 04 18 C5 A5 17 A7 CF
A5 12 06 95 6E C4 21 97 FA 58 39 5A 3D 01 B7 EB B7 4C 36 C5
5A 02 01 A2
A5 05 06 10 C2 06 77
5A 02 03 A0
A5 04 06 36 10 0A
5A 02 0C 97
A5 06 06 20 4F 89 DF 77 - серийник
5A 0B 80 02 65 72 70 14 36 95 03 DA 15
A5 12 06 D3 D2 08 AC 82 8A C4 28 5A 1F 1B E8 38 92 76 A2 93
5A 0A 81 62 86 1C 9C E0 61 87 81 31
A5 0A 06 3E 02 02 7D A5 B0 52 A3 41
5A 02 01 A2
A5 05 06 00 C2 06 87
5A 02 07 9C
A5 04 06 08 07 41
5A 02 0B 98
A5 04 06 0F 00 41
5A 02 09 9A
A5 04 06 01 04 4B
5A 02 02 A1
A5 03 06 1B 36
5A 02 04 9F
A5 04 06 9A FF B7
5A 02 03 A0
A5 04 06 31 10 0F
5A 02 01 A2
A5 05 06 00 C2 06 87
5A 02 09 9A
A5 04 06 36 03 17
5A 02 02 A1
A5 03 06 1B 36
5A 02 04 9F
A5 04 06 81 FF D0
5A 02 03 A0
A5 04 06 2C 10 14
5A 02 01 A2
A5 05 06 00 C1 06 88
5A 02 03 A0
A5 04 06 2C 10 14
5A 0B 80 02 8C 13 58 AF F1 9A 55 94 FE
A5 12 06 90 3E CA B1 91 AC E9 B5 33 36 45 5C D3 5D C8 60 BC
5A 0A 81 9F 37 77 77 4C 64 55 3C 15
A5 0A 06 64 D7 5E C3 8A 19 7E 7B 52
5A 02 01 A2
A5 05 06 00 C1 06 88
5A 02 09 9A
A5 04 06 36 03 17
5A 02 02 A1
A5 03 06 1B 36
00
*/

[ANDPSP]

Сообщение от stasik007 слушаю простой фигнёй - собирал давно на 1 транзисторе для пс2 - по терминалке лог диагностики смотрел отсюда схему брал http://nnoble.nerim.net/ee-sio/ps2-ee-sio.html - надобы всё переделать на максе - времени нет..

Так а если у меня есть кабель на базе PL2303 - когда то на мобиле прошивку менял - пришлось паять мини-USB - я могу эту хрень использовать ? Что мне нужно сделать для этого - зацепить TX и RX на цетральный контакт разъема для батарейки ? а питание будет с батарейки ведь браться - так ?
И еще отвлеченный вопрос - на 3000 миниUSB односторонний или двусторонний - сколько в нем контактов никто не озадачивался ? Просто чтобы получить доступ к мобиле нужна была обратная сторона миниUSB...

[lport3]

запрос 01 это проверка заряда,
в логе даже видно как напряжение меняется
вначале и в конце
вначале с201(49665) потом с100(49408)
можно было бы вычислить множитель,
но я не знаю нормальный заряд батарейки в псп)

--------
00 в начале и конце это брэйки порта для открытия сессии