Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 42

Boryan · 20.04.2010, 11:38

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли

Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

Расшифровка кодов

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000

Во вложении:

"psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
- Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
- "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
"Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

**Alex14435** · 18.09.2010, 11:00

Сообщение от crashnok

А какой толк с контроллера батареи не имеющей нужный алгоритм на создание ответа?

Узнаем алгоритм ответа на 8002 и 8008, тогда можно будет поразмышлять насчет 80D9

lport3 · 18.09.2010, 12:48

Эрик выше скидывал сорцы сисконовские, вы гляните их..
гляньте и заплачьте..)), там куча алгов.
С чего вы взяли что 800х будет такой же как и 80д9 ?.. Ну а не имея
рабочих пар ничего вы не сделаете..

crashnok · 18.09.2010, 13:33

Согласен.

**Alex14435** · 18.09.2010, 17:09

Дамп сискона ещё никто не делал... (может китайцы разве что)

Boryan · 18.09.2010, 19:29

lport3, рабочие пары можно нарыть...Но пока дело в другом...я не могу добиться одинаковых ответов на один и тот же запрос на родной батарейке. Вроде на одинаковые запросы должны быть одинаковые ответы...Походу прогу твою нужно подкорректировать. Мож пошаманишь мальца? Вот пример:
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 75 EE 3A F6 CA 30 12 01 31
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E CD 24 04 5B 1D AF 01 77 3D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 3A 6C 0B E0 1C 22 B0 1D 35
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
Boryan добавил 18-09-2010 в 19:29
ЗЫ И ещё ..вся эта защита батарейки сделана не ради ПСП ...а для защиты Инфолитиум соневских...Соня первая кто придумал батарейки которые знают время работы...вот и защитили их по максимуму. Думаю что алгоритм авторизации батарейки в ПСП, схож со всеми соневскими девайсами..видеокамеры...фотики..и т.д.

ANDPSP · 18.09.2010, 20:15

Сообщение от Boryan

lport3, рабочие пары можно нарыть...Но пока дело в другом...я не могу добиться одинаковых ответов на один и тот же запрос на родной батарейке. Вроде на одинаковые запросы должны быть одинаковые ответы...Походу прогу твою нужно подкорректировать. Мож пошаманишь мальца? Вот пример:
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 75 EE 3A F6 CA 30 12 01 31
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E CD 24 04 5B 1D AF 01 77 3D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 3A 6C 0B E0 1C 22 B0 1D 35
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
Boryan добавил 18-09-2010 в 19:29
ЗЫ И ещё ..вся эта защита батарейки сделана не ради ПСП ...а для защиты Инфолитиум соневских...Соня первая кто придумал батарейки которые знают время работы...вот и защитили их по максимуму. Думаю что алгоритм авторизации батарейки в ПСП, схож со всеми соневскими девайсами..видеокамеры...фотики..и т.д.

Boryan а тут все правильно у lport3, ведь сразу заметили что на сложные запросы, когда возвращается 16 байт ВСЕГДА совпадают лишь левые 8 байт ответа, это сверено с ответами аж 4-летней давности, с той темы с psp2dev ... а вот правая част имеет несколько вариантов - тоже не понятно что это за довесок и почему при запросе 80XX и 8 байт данных возвращается 16 байт в ответе, а при 81 запросе на 8 байт возвращается так же 8 байт, а простые команды вообще ничего не преобразовывают... значит минимум 3 вида алгоритма или же один но с хитрым преобразованием ?

Yoti · 18.09.2010, 21:11

5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 75 EE 3A F6 CA 30 12 01 31
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E CD 24 04 5B 1D AF 01 77 3D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 3A 6C 0B E0 1C 22 B0 1D 35
5A 0B 80 08 11 11 11 11 11 11 11 11 8A

Однако, однако...

Boryan · 18.09.2010, 22:08

Yoti, ни чего особенного....ответы повторяются и чередуются как им вздумется. Я делал 300 запросов этой командой с этим же ключём...в 300 ответах нарыл 20 разных ключей которые повторялись как им вздумается..
вот они :
первые 8 байт ответа во всех случаях были
67 A3 DD CB F5 54 68 0E
а вторые 8 байт вот:
4C 42 A6 4C F3 41 7C 0E 93
75 EE 3A F6 CA 30 12 01 31
CD 24 04 5B 1D AF 01 77 3D
C6 AB 27 63 13 7A 72 10 C7
3A 6C 0B E0 1C 22 B0 1D 35
80 65 C6 96 19 9D 11 71 58
36 B2 47 DD AC 29 62 EA A4
76 73 20 20 13 B5 82 9E C0
4B 61 C5 CA 74 8E 40 B7 9D
2E 4D B3 FC 31 9F 68 51 1E
FA DC 28 0C 00 FE F2 3E 99
DB 41 D8 7D EC 52 A0 2D 55
AD 01 3E B4 F7 51 2F 08 B2
D0 B5 F9 72 A8 8A 86 55 D4
0B 22 FA 56 5E 34 F8 5D 6D
26 16 12 F9 CD F9 94 B8 78
92 0E 41 FF 0B 17 D6 04 F5
A3 0C DB C1 D4 11 84 C6 57
3F 37 23 A9 2C 66 4F EE C0
C4 B9 FC F6 1C 3E F4 7F 95

Boryan добавил 18-09-2010 в 22:05
сдаётся мне что мы находимся на краю диапазона характеристик сигнала который зыза подаёт батарейке, потому и разные ответы на одинаковые запросы. Короткие команды проходят нормально...а вот с длиными беда. Какой это нафиг алгоритм, если на один ключ существует дофига ответов? Чота нужно делать с настройкой проги что бы добиться одинаковых ответов на одинаковые запросы...

Boryan добавил 18-09-2010 в 22:08
Можно в принципе накопить логов зыза<>батарейка и попытаться найти одинаковые запросы от зызы? и сравнить на них ответы батарейки, они должны быть иденичными. Тут ранее помню Эрик находил как то такую пару в выложенных логах.

Yoti · 18.09.2010, 22:23

В 20 ответах нет начинающихся на 1, 5, 6, В, Е.

ErikPshat · 19.09.2010, 01:18

Boryan, потестируй ещё. Возможно диапазон закончится и будет постоянно повторятся )

ANDPSP, прикольный аватарчик )

crashnok · 19.09.2010, 07:20

В помощь тем кто двигается в сторону батареи, собрал всё что необходимо для снятия дампа с микросхемы:
Если в батарее установлена uPD78F0102H как указал ANDPSP(я свою батарею не хотел колупать, дождусь уже приставки, которая будет завтра)
то в архив я собрал - схему подключения, распиновку микросхемы, программу, написал тхт с настройками программы.
Если же микруха другая, то укажите какая, также напишу как и что.
За архивом в аську, кто реально двигается в этом направлении, тому скину на почту.

Теперь тем, кто хочет помочь мне:
Методом реверс инжиниринга я вычислил почти все сигналы протокола SPI между CPU-SYSCON.
SI на R1034
SO на R3004
SCK на контрольной точке CL1097
осталось найти TACHYON_CS
Сканить вот этим http://www.xdimax.com/sub20/sub20.ht...DgodLzBeGw#BUY
Кто хочет заняться скину архив с тем, как разобраться с SPI и фото платы с отмечеными контрольными точками сигналов.

crashnok добавил 19-09-2010 в 07:20
Да и кстати, Боря, ведь можно сканить прямо rx tx которые входят в сискон(уже разделённые).

lport3 · 19.09.2010, 10:55

в самом распоследнем китайском пылесосе
спи выключено.
Метод

реверс инжиниринга

- )))
ну и как вы точки вычислили?

Boryan · 19.09.2010, 11:58

crashnok,

Да и кстати, Боря, ведь можно сканить прямо rx tx которые входят в сискон(уже разделённые).

)))
Это я знал много месяцев назад

Ветку ты плохо читал, я об этом писал. Но наша задача была сделать самый просто девайс для скана что бы можно было сканить без разбора зызы...не каждый захочет девайс за 8 тыр курочить. Но это радует что у нас появился ещё один боец с мозгами и руками! Поздравляю! Значит дело наше не умрёт.

Boryan добавил 19-09-2010 в 11:58
искать батарейку с такой микрухой ....мне кажется быстрее сделаем девайс для перехода в сервис. На данный момент в батарейках стоят микрухи A01V14N05G, 780102Н, A01V13M07G

**Alex14435** · 19.09.2010, 12:05

Ммм курю форумы ищу способ найти алгоритм по запросам и ответам... Такое ощущение что никто об этом даже не слышал. Но когда то давно читал про нейронную сеть и скачал кейген карт оплаты билайн который самонастраивается при получении очередного номера и серийника) ищу его снова

Alex14435 добавил 19-09-2010 в 12:05
http://alife-soft.narod.ru/programs.html
есть что нить стоящее?

Нейронная сеть обучается решению задачи на основании некоторой обучающей выборки – "задачника", состоящего из набора пар "вход–требуемый выход", и далее способна решать примеры, не входящие в обучающую выборку.

Если ввести на вход базу данных из сотни логов общения 80хх то может нейросеть нам поможет?

crashnok · 19.09.2010, 17:08

Сообщение от Boryan

crashnok,

)))
Это я знал много месяцев назад

Ветку ты плохо читал, я об этом писал. Но наша задача была сделать самый просто девайс для скана что бы можно было сканить без разбора зызы...не каждый захочет девайс за 8 тыр курочить. Но это радует что у нас появился ещё один боец с мозгами и руками! Поздравляю! Значит дело наше не умрёт.

Boryan добавил 19-09-2010 в 11:58
искать батарейку с такой микрухой ....мне кажется быстрее сделаем девайс для перехода в сервис. На данный момент в батарейках стоят микрухи A01V14N05G, 780102Н, A01V13M07G

Ну так все эти микрухи можно прочитать, на 780102 собрано всё что необходимо. У кого есть батарея на таком мк, давайте на почту скину, вычитаете.

crashnok добавил 19-09-2010 в 17:08

Сообщение от lport3

в самом распоследнем китайском пылесосе
спи выключено.
Метод - )))
ну и как вы точки вычислили?

Вот как вычислить даже не имея схемы
Отпаян проц- осцил
Отпаян сискон -осцил
Интересующие пятаки прозваниваем сначала друг на друга.
Теперь прозваниваем эту линию на массу и между собой.
Линия SI звонится на землю 470к, линия SO звонится как 100 с пятака на пятак, значит сигнал проходит через резистор.
Теперь смотрим на пятак проца сигнала SI от него дорога идет прямо на этот резистор в 470к.
Дальше- если сигнал с землёй не связан и в ближайшей окружности ни с чем не прозванивается, то подаем на пятак сискона минус, а на пятак проца плюс, Очень плавно поднимаем напряжение, смотрим за нагрузкой, и вычисляем теплый резистор(например губами) так вычисляем резик на 100 через который проходит сигнал SO.
Дальше, если сигнал прямой и больше ни с чем не связан, то можно вычислить прозвонкой на близлежащие контрольные точки. Если на контрольную точко не выведен, то по нагреву дороги.

ТОЛЬКО ЭТО ДЕЛАЕТСЯ САМОДЕЛЬНЫМ БЛОКОМ ПИТАНИЯ С РЕГУЛИРОВКОЙ СИЛЫ ТОКА И НАПРЯЖЕНИЯ, что бы исключить убийство платы.

Можно конечно и каждый элемент щупать тестером и найти его, но иногда это может занять много времени, так как елемент может быть в самом неожиданном месте.

**Alex14435** · 19.09.2010, 17:13

Суровые русские хакеры целуют PSP чтоб она выдала свой резистор :bb:

crashnok · 19.09.2010, 17:27

О и ещё кому надо могу описать свои два метода создания переходника, для микросхем с очень мелким шагом и диаметром шара.

Boryan · 19.09.2010, 20:01

Тут выяснилось что у соней реально началась паранойя...в ТА93 переход в сервисный режим совсем отличный от ТА90,ТА92....жесть...совсем трёхнулись...с опережением работают

Ещё сервис ТА90 ни кто не ломанул..а они уже в 93 новые команды....8097

добавили .
Вот аналог (воспроизведённый мной) оригинального лога перевода в сервисный режим ТА93....как видите новый запрос ...где звёздочки в конце строки...это батарейка не знает ответа...

лог

Boryan добавил 19-09-2010 в 20:00
но старая батарейка от фатки на контроллере 780102Н умеет отвечать и на 80D9 и на 8097....правда эти ответы зызу не устраивают

Boryan добавил 19-09-2010 в 20:01
crashnok,

Ну так все эти микрухи можно прочитать, на 780102 собрано всё что необходимо. У кого есть батарея на таком мк, давайте на почту скину, вычитаете.

Кидай в личку сюда чего ты там про этот контроллер знаешь

lport3 · 19.09.2010, 20:27

Сообщение от crashnok

Ну так все эти микрухи можно прочитать, на 780102 собрано всё что необходимо. У кого есть батарея на таком мк, давайте на почту скину, вычитаете.

crashnok добавил 19-09-2010 в 17:08

Вот как вычислить даже не имея схемы
Отпаян проц- осцил
Отпаян сискон -осцил
Интересующие пятаки прозваниваем сначала друг на друга.
Теперь прозваниваем эту линию на массу и между собой.
Линия SI звонится на землю 470к, линия SO звонится как 100 с пятака на пятак, значит сигнал проходит через резистор.
Теперь смотрим на пятак проца сигнала SI от него дорога идет прямо на этот резистор в 470к.
Дальше- если сигнал с землёй не связан и в ближайшей окружности ни с чем не прозванивается, то подаем на пятак сискона минус, а на пятак проца плюс, Очень плавно поднимаем напряжение, смотрим за нагрузкой, и вычисляем теплый резистор(например губами) так вычисляем резик на 100 через который проходит сигнал SO.
Дальше, если сигнал прямой и больше ни с чем не связан, то можно вычислить прозвонкой на близлежащие контрольные точки. Если на контрольную точко не выведен, то по нагреву дороги.

ТОЛЬКО ЭТО ДЕЛАЕТСЯ САМОДЕЛЬНЫМ БЛОКОМ ПИТАНИЯ С РЕГУЛИРОВКОЙ СИЛЫ ТОКА И НАПРЯЖЕНИЯ, что бы исключить убийство платы.

Можно конечно и каждый элемент щупать тестером и найти его, но иногда это может занять много времени, так как елемент может быть в самом неожиданном месте.

Бред сивой кобылы.

Сообщение от Boryan

но старая батарейка от фатки на контроллере 780102Н умеет отвечать и на 80D9 и на 8097....правда эти ответы зызу не устраивают

А эта батарейка доступна?
Возможно отличия не такие уж и серьезные, по крайней
мере сравнить надо.

crashnok · 19.09.2010, 20:30

Бред сивой кобылы.

Найдите по другому.
Вот, если прям такой бред, то проверяйте http://depositfiles.com/files/n1ostdz3j

Пример:
есть шар который нам нужен, запускать провод под процессор каждый раз это слишком геморно. С пятака пистон уходит сразу в какой то слой, так же на второй микросхеме. Но возможно эта дорога проходит где то на поверхности, каким образом вы бы в это проверили, каждую дорогу бы зачистили и прозванивали??? Представляю сколько бы это заняло времени. Раз это такой бред, то давайте дельный способ проверки есть ли такая дорога на поверхности.