Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

// Вот разложил поточнее, что выложил stasik007:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 08364CAFF8EFE8E9A5 84
A512 06 EFDDEDA268B1F15CF705F1F16FFADDE2 7B
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 02129A117169ADE46F 81
A512 06 CEE3A231846B7A3CACC16A81AE99A14F 8A
5A0A 81 08EC25077C96EB55 A8
A50A 06 3D71D0DDA5AC498D C8
5A02 01 A2
A505 06 00C206 87
5A0B 80 0208FA21BD9B0CF433 6A
A512 06 649C9CC965D9AA823804FA537F84ADC7 73
5A0A 81 0A99549CC666111A 30
A50A 06 1DF65042207C3621 B2
00

Включаю приставку:

5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 082ED10418C5A517A7 CF
A512 06 956EC42197FA58395A3D01B7EBB74C36 C5
5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 0265727014369503DA 15
A512 06 D3D208AC828AC4285A1F1BE8389276A2 93
5A0A 81 62861C9CE0618781 31
A50A 06 3E02027DA5B052A3 41
5A02 01 A2
A505 06 00C206 87
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 0104 4B
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 9AFF B7
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 00C206 87
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 81FF D0
5A02 03 A0
A504 06 2C10 14
5A02 01 A2
A505 06 00C106 88
5A02 03 A0
A504 06 2C10 14
5A0B 80 028C1358AFF19A5594 FE
A512 06 903ECAB191ACE9B53336455CD35DC860 BC
5A0A 81 9F3777774C64553C 15
A50A 06 64D75EC38A197E7B 52
5A02 01 A2
A505 06 00C106 88
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
00
*/

Расшифровка кодов

Код   Описание                   Данные  Ответ от батареи     Примечание

0x01  запрос оставшегося заряда   нет    energyleft_mAh:u16                                         
0x02  запрос температуры          нет    temperature:u8       cercius degree, min/max value unknown 
0x03  запрос напряжения           нет    voltage_mV:u16        
0x04  запрос тока                 нет    current_mA:short     positive if charging battery 
0x07  запрос ёмкости              нет    capacity_mAh:u16 
0x09  запрос оставшегося времени  нет    timeleft_min:u16     XMB showing not this value 
0x0c  запрос серийного номера     нет    serialno:u32         suspected 
0x80  запрос аутентификации?      9byte  16byte               encrypted data/reply 
0x81  запрос аутентификации?      8byte  8byte                encrypted data/reply

0x05  ответ от батареи            нет    NAK, BCC error and so on?? 
0x06  ответ от батареи            да     ACK, with reply data

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000


Во вложении:

1. "psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
   • Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
   • "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
2. "Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

EEPROM.png

[Yoti]

crashnok,
интересно, что за "экраны удачного решения" такие?

[crashnok]

Yoti, я имел ввиду принт скрин реальной проги которой подобрали пароль. И фотографии псп 3008 у которой на экране результат всей этой темы.
Блин, какая тут ругань. Я ничего плохого сказать и уж тем более конфликтовать не хочу, сорри если что.

[Boryan]

Сообщение от crashnok Yoti, я имел ввиду принт скрин реальной проги которой подобрали пароль. И фотографии псп 3008 у которой на экране результат всей этой темы. Блин, какая тут ругань. Я ничего плохого сказать и уж тем более конфликтовать не хочу, сорри если что.

Зачем принт скрин? Приноси брикнутую 3ххх или с прошей выше 5.03 и вернём тебе её живую с 5.03 это ли не доказательство? Но пока это делается очень и очень сложно....

[chel12]

Сообщение от Boryan Приноси брикнутую 3ххх или с прошей выше 5.03 и вернём тебе её живую с 5.03 Но пока это делается очень и очень сложно....

Эээ...означает ли ваша фраза то, что вы нашли серийный номер сервисной батареи к psp 300x(или что-то другое), позволяющий запустить пандору карточку(которую вы тоже взломали(нашли)?) и делать анбрик, даунгрейд непрошиваемых консолей? Я не прошу рассказывать, как сделать такой комплект. Просто, если это возможно, пусть и трудно и может быть в какой-то степени затратно, то можно поделиться с народом? (ведь же для ps3 в паблике уже есть информация по взлому)
(если что, сразу извиняюсь, давно не был и тему всю прочитать сложно).

[sasiska12]

Boryan,
а сложно это как?

sasiska12 добавил 12-09-2010 в 23:03
или это какой то метод про диск с (кажется) с грантуризмо и потом через интернет?

sasiska12 добавил 12-09-2010 в 23:04
так вот да?
ПРОШИВКА PSP - 3000
Даунгрейд прошивок 2.81-5.01 можно сделать с помощью диска GTA: Liberty City Stories
( диск нужен старый тоесть первое издания, с которого можно сделать апдейт Sony до прошивки 2.00 )

Что понадобится:

1) Консоль с официальной прошивкой, любого региона и с любой материнской платой да даже PSP - 3000.
2) Диск с игрой GTA: Liberty City Stories, содержащий обновление до 2.0 .
Другие игры и диск с обновлением до 2.6 или более не подходят !!!
3) Исправно работающая карта памяти .

[Boryan]

нет серийник не нашли и карточку не взломали но делать что я сообщал чуток выше ...могём Просто есть способ.... но он не для паблика....и ни когда не при каких обстоятельствах он в паблик не выйдет..и пример с PS3 тут неуместен...очень разные ситуации.

[sasiska12]

Boryan, http://www.youtube.com/watch?v=P-DhN5-me2A и даже не так?

ну не для паблика так нет, всё таки вы же так деньги заробатоваете, и просить я более не могу

[Boryan]

sasiska12, сложно-это СЛОЖНО, очень сложно!!! Способ не повторим в домашних условиях даже очень продвинутому челу и спецу по зызам как аппаратно так и софтово. Мало того очень затратный финансово. Так что это не для паблика. Но мы ищем способы упростить процесс....вот может когда добьёмся этого, то возможно и будет общедоступно...а пока извеняйте ....схему и принципы работы "адронного коллайдера" я описывать не берусь...да и вопросами школота достанет. Вот сегодняшний пример с клайном.......очень наглядный. Я в этой ветке всё разжевал по поводу клайна, и способ его изготовления дал даже для чела, кто первый раз взял паяльник в руки....результат все видели....плюс в личку частенько подобные сообщения приходят....Представляю что будет если сделать сейчас паблик...выложить схемы сложных девайсов ...список спецоборудывания и не маленький...я просто этого не хочу. И в личку мне подобные вопросы не задавать.

Boryan добавил 12-09-2010 в 23:26
sasiska12, а ты лучше посмотри ролики про пандору 3000 их на ютюбе куча.....и главно что всё это чистая правда ))))

Boryan добавил 12-09-2010 в 23:31
В паблик выкладывают халявные способы....а тут ооочень не халявный способ...и дорогостоящий ...выложить инфу как зарабатывать деньги в наше время на прошивке 3000 зызок ...нужно быть идиотом. Кому нужно прошить милости просим

[crashnok]

Я себе уже сделал, купил плату убитую после воды, заменил пару, получил рабочую 5.03.
А вообще я буду пробовать даунгрейд сделать на родном процессоре и памяти. Завтра вычитаю фулл на программаторе с пары на 5.03 и с пары на 5.50- буду смотреть. Если ничего не выйдет обновлю пару с 5.03 на например 6.20 и буду смотреть где и какие ключи и прочее изменилось. Сомневаюсь конечно что разберусь, но хотя бы попробую.

[Yoti]

crashnok,
какой ещё пароль? Что тебе даст фото 3000? Делаем фото + фотошопом "включаем" диод + фотошопом монтируем на экране консоли фото интерфейса сервисной карты + чистим файл от ненужных упоминаний о фотошопе. Всё.

[crashnok]

Да ладно вам, это переливание с пустого в порожнее. Делайте себе там что хотите))

[chel12]

Boryan, Неужели все настолько сложно? То есть найденный вами метод не тот, что используется в сервис центрах Sony?
Хорошо, тогда вопрос на случай, если у меня брикнется psp или случайно обновится: сколько будет стоить у вас даунгрейд psp 3008 до прошивки 5.03?

[Fejwin]

Сдается мне, что эти господа там проц перепаивают чтоб сдаунгрейдить. =)))
Потому и муторно и дорого итп.

[Yoti]

chel12,
в личку ему напиши.

[Boryan]

Fejwin, Типа того Были в своё время 3000 с ТА90....они стартовали с батарейки пандора...это тут обсуждалось...там syscon от 2000 находим такую консоль, сдираем ЦП делаем переходник ( иначе плата умрёт после нескольких паек) и на него проц с клиентской 3000 ....прошиваем и проц обратно. Но нужно помнить что проц 88 с обычной карты пандора он не прошивается. На 2000 этот способ не канает...там другой контроллер дисплея..и это тут обсуждалось..
Кто готов это повторить?
А вообще интересно если туда 75 проц поставить прошить его и в 3000 всунуть....то она должна стать полностью прошивайкой

[crashnok]

Я готов. Ик станция есть. Переходники на прижимных иглах для северных мостов г-форс делал(для проверки не припаивая, что бы брак можно было вернуть)
Только где взять плату на старом сисконе не знаю.

[Boryan]

crashnok, это страшный дефицит...в это всё и упирается. Не все ТА90 были такими..была не большая партия...просто соня поспешила выпустить на рынок 3000 но с syscon от 2000 ..потом быстро подправила это дело. Слышал что попадались версии с 75 процем который как известно полностью прошиваем..видать у них тогда напряг был с 88 процами и syscon новы ещё не разработали....вот и поспешили...и насмешили

[crashnok]

По поводу пайки и что плата умрет. Вот вам дельный совет: когда снимаете клиентский процессор шары остаются с двух сторон (если снять нормально). Далее на плате со старым сискон также остались шары. Берем клиентский процессор и собираем аккуратно шары, потом залуживаем контактные площадки сплавом Розе или сплавом Вуда. Это припой который плавится при температуре 80-120гр. Но они очень хрупкие и не годятся для стабильного крепления микросхем. Короче достаточно поставить и обычной воздушной паялкой подуть- плата не деформируется и уж тем более пятаки не поплывут с текстолита даже за 300 раз. Потом так же легко отпаиваем. И теперь залуживаем нормальным не хрупким припоем, и ставим на остаточные шары- их вполне достаточно по высоте, даже накатывать не надо. Всё.

[Boryan]

crashnok, Пасиб ..действительно способ интересный и заслуживает внимания.

[crashnok]

Есть и другие способы быстрой подмены микросхем. Этот лично мой, работает отлично. Если мне будет нехватать какой то информации, могу поменяться совет на совет.