Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

// Вот разложил поточнее, что выложил stasik007:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 08364CAFF8EFE8E9A5 84
A512 06 EFDDEDA268B1F15CF705F1F16FFADDE2 7B
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 02129A117169ADE46F 81
A512 06 CEE3A231846B7A3CACC16A81AE99A14F 8A
5A0A 81 08EC25077C96EB55 A8
A50A 06 3D71D0DDA5AC498D C8
5A02 01 A2
A505 06 00C206 87
5A0B 80 0208FA21BD9B0CF433 6A
A512 06 649C9CC965D9AA823804FA537F84ADC7 73
5A0A 81 0A99549CC666111A 30
A50A 06 1DF65042207C3621 B2
00

Включаю приставку:

5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 082ED10418C5A517A7 CF
A512 06 956EC42197FA58395A3D01B7EBB74C36 C5
5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 0265727014369503DA 15
A512 06 D3D208AC828AC4285A1F1BE8389276A2 93
5A0A 81 62861C9CE0618781 31
A50A 06 3E02027DA5B052A3 41
5A02 01 A2
A505 06 00C206 87
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 0104 4B
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 9AFF B7
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 00C206 87
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 81FF D0
5A02 03 A0
A504 06 2C10 14
5A02 01 A2
A505 06 00C106 88
5A02 03 A0
A504 06 2C10 14
5A0B 80 028C1358AFF19A5594 FE
A512 06 903ECAB191ACE9B53336455CD35DC860 BC
5A0A 81 9F3777774C64553C 15
A50A 06 64D75EC38A197E7B 52
5A02 01 A2
A505 06 00C106 88
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
00
*/

Расшифровка кодов

Код   Описание                   Данные  Ответ от батареи     Примечание

0x01  запрос оставшегося заряда   нет    energyleft_mAh:u16                                         
0x02  запрос температуры          нет    temperature:u8       cercius degree, min/max value unknown 
0x03  запрос напряжения           нет    voltage_mV:u16        
0x04  запрос тока                 нет    current_mA:short     positive if charging battery 
0x07  запрос ёмкости              нет    capacity_mAh:u16 
0x09  запрос оставшегося времени  нет    timeleft_min:u16     XMB showing not this value 
0x0c  запрос серийного номера     нет    serialno:u32         suspected 
0x80  запрос аутентификации?      9byte  16byte               encrypted data/reply 
0x81  запрос аутентификации?      8byte  8byte                encrypted data/reply

0x05  ответ от батареи            нет    NAK, BCC error and so on?? 
0x06  ответ от батареи            да     ACK, with reply data

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000


Во вложении:

1. "psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
   • Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
   • "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
2. "Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

EEPROM.png

[Ins|der]

Сообщение от ANDPSP есть небольшая вероятность что и в 3000-й все осталось по прежнему

Как-то не верится, сам посуди: зачем тогда в трешке новый контроллер, новая батарея, которая стандартными способами не пандорится? Наверняка только эта самая батарейка знает правильный ответ на интересующие нас запросы.

Так и не понял, удалось Боряну эту "упрямую" батарею запандорить? Вроде уперлись в то, что вместо сервисного она левый серийник шлёт..

[Alex14435]

Боря подумал, поизучал и решил что все тонкие батареи одинаковые и в упрямой просто отключены некоторые функции...

[sasiska12]

Ins|der,
Почему может стоить пересмотреть целеком цепочку прохождения сигнала от батарейки до контроллера, может там стоит что то вроде инвертора, или просто с помощью резисторов и кондесаторов каким то образом сбивается напряжение с логической 1 на непонятное, поэтому консолька циклится и зависает? Вы же всё мучаете запросы, а может всё проще окажется?

sasiska12 добавил 23-06-2010 в 22:13
кстати, а может кто то проследить, что на выходе батарейки и на входе контроллера, может действительно что то будет отличаться оО?

[syryus]

Народ нужна помощь у меня две брикнутых psp с та 88v3 revision 2 можно ли их восстановить на процессоре последние 2 цифры 88 с аппаратной батареей пандоры стартует но загрузки с карточки нету мож я что не так делаю?

[Boryan]

sasiska12, с прохождением сигнала там всё в норме, и подводных камней я там не нашёл. Так что тут всё в порядке.

syryus, Ты делаешь всё так! но !ТА88V3 прошивается СПЕЦИАЛЬНОЙ сервисной картой, а не обычной пандорой которой прошиваются остальные зызы. А карточка эта есть только у .......читай форум есть тут чел у которого она есть.

[Yoti]

syryus,
название темы не читал? Для всего прочего есть ЛС и другие темы форума.

[ANDPSP]

Сообщение от syryus Народ нужна помощь у меня две брикнутых psp с та 88v3 revision 2 можно ли их восстановить на процессоре последние 2 цифры 88 с аппаратной батареей пандоры стартует но загрузки с карточки нету мож я что не так делаю?

О syryus а одолжи брикнутую 88v3 для эксперемента :-)

ANDPSP добавил 24-06-2010 в 13:39

Сообщение от Boryan sasiska12, с прохождением сигнала там всё в норме, и подводных камней я там не нашёл. Так что тут всё в порядке.

Я не знаю что там в порядке, но мой мозг готов взорваться и есть желание расколотить 3000-й брик :-)
моя практика показывает что в 3000-й SYSCON стал гораздо умнее :-) он собака прямо мысли мои угадывает и делает все наоборот, сначала думал что основное отличие от старой реализации - он постоянно опрашивает батарейку и зажигает оранжевый диод в зависимости от данных, пробовал эксперементы простые:
1. запускал прогу, подключал сеть, открывал порт - диод моргал каждые 2 секунды (комп ему ничего не отвечал)
2. дал компу задание отвечать на пару команд (файл var_1.txt) - он вначале моргал, а потом все реже и реже, уж не знаю перестал ли совсем или нет... не дождался...
3. иногда первое включение зажигает диод на 5 сек, иногда только кратковременное моргание, при этом данные отсылаются одни и теже
4. думал что чтобы повторить все эксперементы заново то нужно отключить консоль от сети на несколько минут или часов - типа там все обесточится и сбросится - хрен... оставил на ночь пришел - таже фигня - первое включение и горит диод 5 сек... выключил включил - уже короче, но после того как гаснет уже больше не моргает но ведь сам видел как он каждые 30 сек моргал...
Такое ощущение что он запоминает что с ним творят, потому что если долго мучить консоль ответами с компа на первые команды не отрубая ее от сети то со временем оранжевый диод будет загораться раз в минуту или еще реже, но на фатке даже такого не было - она моргала единожды когда вставлялась батарейка.... я к тому что новый сискон получается умеет зажигать диод периодически без старта консоли... а раз так то может он и еще что то умеет ?

ANDPSP добавил 25-06-2010 в 13:05
Короче снова все встало с ног на голову или наоборот - вчерашний весь день при бруте серийника и просто прогона команд 3000-й брик вел себя как обычная фатка - коротко мигал оранжевым диодом и гас навеки, хотя команды консоль генерила, оставил брут на ночь, утром увидел что консоль отрубилась (появились 00 - типа конец сессии), отключил батарейку и включил снова, спустя минут 5 снова отруб и так раз 5-6 - думаю ну все точно загнал ее в режим обычного сискона и ни видать мне больше оранжевого огонька кроме как при включении батарейки... И вот отойдя по делам возвращаюсь и вижу горящий оранжевый диод и горит непрерывно, потом моргнул и снова горит - короче ситуация развернулась полностью наоборот... опрос идет непрерывно - уже как минут 40 не было разрыва и диод горит постоянно изредка моргая...
Короче Борис нужно вешать осцилограф не знаю на какие контакты сискона и смотреть что там происходит когда идет непрерывный брут серийника, поскольку нужно понять чем обусловлено постоянное горение оранжевого диода, или он реверсит свое поведение в зависимости от длительности работы или я задел какой то серийник...

[ErikPshat]

ANDPSP, ты ставил брут на перебор серийников?
Интересно, а 2 K-Line подцеплял?

Может действительно, поставить перебор всего диапазона серийников или распределить диапазон на всех. По идее после первого запроса серийника цикл повторяется и при каждом новом цикле можно делать перебор.

[ANDPSP]

Сообщение от ErikPshat ANDPSP, ты ставил брут на перебор серийников? Интересно, а 2 K-Line подцеплял? Может действительно, поставить перебор всего диапазона серийников или распределить диапазон на всех. По идее после первого запроса серийника цикл повторяется и при каждом новом цикле можно делать перебор.

Да я постоянно брутю серийники, больше всеравно брутить нечего... второй K-Line тоже цеплял, но с ним не так интересно - нет движения, псп опрашивает определенный цикл команд и получив на них ответы успокаивается и больше не генерит запросы пока не разорвешь питание по батарейке, да и нужный набор команд мы не знаем... я просто пытаюсь понять есть ли еще какие серийники на которые псп пошлет 80D9, но пока таких не нашел только 800A и 8004

я все же склоняюсь к мысли что нужно как то вскрывать микроконтроллер батарейки и дампить прогу - нашел вчера инфу по автомобильным чипам NEC 78.... как народ пытался их считать, есть какая то прога по прошивке нековских чипов, но народ занимающийся этим в псп не играет :-(

Да а оранжевый диод все так и горит моргая :-) и брут идет не прерываясь.... уже пара часов или даже больше разрыва не было.... судорожно ищу на что бы заснять этот процесс...

[Yoti]

В закромах валялось: http://yoti.wen.su/temp/26-06-2010/syscon.rar
Файло древнее, но вдруг...

[Alex14435]

Если уж пошло дело на вскрытие вы лучше SYSCON считайте, если сумеете сдампить то проблема решена. Самое сложное - вскрыть и подключить проводки, а уж сдампит Боря, у него мега программатор

[Boryan]

ANDPSP, Ещё раз повторюсь Оранжевый диод ,к нашим исследованиям не имеет ни какого отношения. Это диод сигнализирует о том что батарейка заряжается, и всё. Это его прямое и единственное назначение. Посему все его там моргания и горение ..не имеют под собой оснований для исследования. Это тупо процесс заряда в связке syscon-контроллер заряда -контроллер на самой батарейке. Эти три микрухи должны работать синхронно в процессе задяда. Ты одну из них, - а точнее контроллер батарейки, заменил ответами с компа. Этим ты нарушил синхронизацию процесса заряда и в ответ получил различные комбинации зажигания оранжевого СД. свидетельствующего о том что нарушена синхронизация процесса зарядки. Так что это к нам отношения не имеет. А вот на счёт перебора серийника ...думаю стоит проверить 256 возможных вариантов. Перебирать весь диапазон нет смысла. Думаю что вариант серийника возможен только если все байты в нём одинаковые. А это 256 вариантов всего то.

[DIIGMO]

Борян, или я ошибаюсь, или имелся ввиду оранжевый диод сигнализирующий об обращении к карте памяти.

[respecteg]

здрасте почитал тут вашу тему и сижу висну)))слушайте в серии 3к стали data code идти 0а их небыло ни на 1к ни на 2к и насчет брута я так понял что вы добиваетесь что бы от usb дать сигнал процу что бы он запустил сервисный режим?мне кажеться что это безпантово...ведь сама батарейка должна дать сигнал не так ли?а почему вы не подумали что она может дает не ключ а просто пониженую или повышиную напрягу?даже если так и получаеться что зыза просто ждет сигнала от usb как допустим любой сотовый брякнутый телефон то там как писал один участник нужно перебрать 4милиарда ключей..а ни кто не думал что ключ может быть FFFFFF0a или 0аFFFFFF.у меня есть зыза 3000 6.20 могу как нить помочь вам?брикнуть псп нехочеться конечно)))

[Yoti]

Для начала, прочитай тему полностью. Все идеи про ключи и напряжение не новы. ЮСБ мы вообще не рассматриваем. Датакод - бред. Хочешь помочь? Скачай архив и сделай к-лайн.

[respecteg]

а клайн делать только из юсб кабеля?и шанс бриунуть акум?

[Yoti]

Пишу же, тему прочти. Качаешь архив со схемой, распаковываешь и смотришь необходимые детали.

[Boryan]

Сообщение от Ditemzy Борян, или я ошибаюсь, или имелся ввиду оранжевый диод сигнализирующий об обращении к карте памяти.

разговор идёт о диоде расположенном около клавиши вкл зызы. Там два диода в одном корпусе: зелёный и оранжевый. зелёный -зыза в работе, оранжевый- идёт зарядка батарейки. Нам нужно зажечь зелёный СД командами с батарейки. Это и будет режим сервиса.

[Alex14435]

О Боря вернулся) Работа должна пойти быстрее. Но всё же я не думаю что сони изменили код старта пандоры. Но, увы, у меня и нет идей как ломануть алгоритм 80D9... А декап сискона фиг выполнишь

[respecteg]

http://www.wasm.ru/forum/viewtopic.php?id=37446&p=1 почитайте вдруг поможет