Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

// Вот разложил поточнее, что выложил stasik007:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 08364CAFF8EFE8E9A5 84
A512 06 EFDDEDA268B1F15CF705F1F16FFADDE2 7B
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 02129A117169ADE46F 81
A512 06 CEE3A231846B7A3CACC16A81AE99A14F 8A
5A0A 81 08EC25077C96EB55 A8
A50A 06 3D71D0DDA5AC498D C8
5A02 01 A2
A505 06 00C206 87
5A0B 80 0208FA21BD9B0CF433 6A
A512 06 649C9CC965D9AA823804FA537F84ADC7 73
5A0A 81 0A99549CC666111A 30
A50A 06 1DF65042207C3621 B2
00

Включаю приставку:

5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 082ED10418C5A517A7 CF
A512 06 956EC42197FA58395A3D01B7EBB74C36 C5
5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 0265727014369503DA 15
A512 06 D3D208AC828AC4285A1F1BE8389276A2 93
5A0A 81 62861C9CE0618781 31
A50A 06 3E02027DA5B052A3 41
5A02 01 A2
A505 06 00C206 87
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 0104 4B
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 9AFF B7
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 00C206 87
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 81FF D0
5A02 03 A0
A504 06 2C10 14
5A02 01 A2
A505 06 00C106 88
5A02 03 A0
A504 06 2C10 14
5A0B 80 028C1358AFF19A5594 FE
A512 06 903ECAB191ACE9B53336455CD35DC860 BC
5A0A 81 9F3777774C64553C 15
A50A 06 64D75EC38A197E7B 52
5A02 01 A2
A505 06 00C106 88
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
00
*/

Расшифровка кодов

Код   Описание                   Данные  Ответ от батареи     Примечание

0x01  запрос оставшегося заряда   нет    energyleft_mAh:u16                                         
0x02  запрос температуры          нет    temperature:u8       cercius degree, min/max value unknown 
0x03  запрос напряжения           нет    voltage_mV:u16        
0x04  запрос тока                 нет    current_mA:short     positive if charging battery 
0x07  запрос ёмкости              нет    capacity_mAh:u16 
0x09  запрос оставшегося времени  нет    timeleft_min:u16     XMB showing not this value 
0x0c  запрос серийного номера     нет    serialno:u32         suspected 
0x80  запрос аутентификации?      9byte  16byte               encrypted data/reply 
0x81  запрос аутентификации?      8byte  8byte                encrypted data/reply

0x05  ответ от батареи            нет    NAK, BCC error and so on?? 
0x06  ответ от батареи            да     ACK, with reply data

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000


Во вложении:

1. "psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
   • Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
   • "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
2. "Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

EEPROM.png

[Boryan]

обрати внимание на то что при одинаковом запросе например :
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E CD 24 04 5B 1D AF 01 77 3D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 75 EE 3A F6 CA 30 12 01 31
получаем разные данный во вторых 8ми байт. Либо так и должно быть либо это глюк проги

[ANDPSP]

Вот кто нам точно может помочь Russiansemiresearch
Стоят правда их услуги не дешево... но зато опыт по вскрытию микрух...

[kolio]

Сообщение от Boryan обрати внимание на то что при одинаковом запросе например : 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E CD 24 04 5B 1D AF 01 77 3D 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E 75 EE 3A F6 CA 30 12 01 31 получаем разные данный во вторых 8ми байт. Либо так и должно быть либо это глюк проги

да да. я видел ты писал по этому поводу. обязательно проверю этот вариант
если у тебя сейчас есть возможность замерять паузы (минимум, максимум) между запрос-ответ между приставкой и батареей (либо комп-батарея) - мне будет проще оптимизировать прогу

[bel007]

Сообщение от Boryan обрати внимание на то что при одинаковом запросе например : 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E CD 24 04 5B 1D AF 01 77 3D 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E C6 AB 27 63 13 7A 72 10 C7 5A 0B 80 08 11 11 11 11 11 11 11 11 8A A5 12 06 67 A3 DD CB F5 54 68 0E 75 EE 3A F6 CA 30 12 01 31 получаем разные данный во вторых 8ми байт. Либо так и должно быть либо это глюк проги

Может это что-то типа этого:
http://www.google.com/patents?id=CJT...page&q&f=false

или этого:
http://www.google.com/patents?id=RPv...page&q&f=false

Это патенты Сони.

[Boryan]

пока замерить не могу...работы много...А с другой стороны ..ты же вроде грамотный чел что тебе мешает написать прогу и послушать через клайн общение PSP<>BAT и сделать анализ таймингов

[pronvit]

Сообщение от ANDPSP Вот кто нам точно может помочь Russiansemiresearch Стоят правда их услуги не дешево... но зато опыт по вскрытию микрух...

За 5000 они сказали мне могут избавить чип от корпуса.

[Boryan]

pronvit, а остальное..считать...привести исходник в читабельный вид?

[Alex14435]

По прайсу около 40к выходит

[pronvit]

Сообщение от Boryan pronvit, а остальное..считать...привести исходник в читабельный вид?

меня только это интересовало. а остальное - про известные чипы есть в прайсе, а неизвестные как бы как дело пойдет, мож вообще не смогут.

[Boryan]

pronvit, да уж...контора интересная....новые чипы от атмела и микрочипа ломают а старьё от nec ....как пойдёт....да ещё и баблоса хотят не мало..

Boryan добавил 23-09-2010 в 23:29
микруху в кислоту бросить 5 тыр....офигеть можно...я ценю труд людей....ладно бы там мозгами работали, прогу какую нибудь написали...ну дамп снять с нанда...привести его в божеский вид....мега девайс какой нить разработать...мож нафиг всю работу и пойти чипы растворять в кислоте за 5 тыр. )))0

Boryan добавил 23-09-2010 в 23:38
не всё так плохо ...батареек разновидностей дофига ....китайских море...не всё крутится вокруг чипа от nec....думаю что некоторые китайские чипы отдадут своё содержимое потом можно нарыть Lite Blue Tool. от дятла...уж с неё думаю можно точняк алгоритм вытащить

Boryan добавил 24-09-2010 в 00:39

Сообщение от ANDPSP Вот кто нам точно может помочь Russiansemiresearch Стоят правда их услуги не дешево... но зато опыт по вскрытию микрух...

Внимательно изучил их сайт....левая конторка..за всю свою деятельность пару чипов вскрыли...смех берёт когда смотришь список

Предположительно (непроверенные)

чипы в этой группе стоят копейки...что мешает потренироваться на кошках? И записать их в группу исследованные...Очень сомнительная конторка выходит...

Boryan добавил 24-09-2010 в 03:28
Мля ...поигрался тут с 8008 и 81 запросами от зызы....жесть..
анализируйте ..

лог

5A 0B 80 08 6F C6 18 01 91 82 BC 3B BA
 A5 12 06 8E A9 D7 E3 F6 41 3B E8 94 49 90 20 9A 35 3E 6B F2
 5A 0A 81 EF 6A 29 EE 53 D4 2C 03 54
 A5 0A 06 DB 33 42 BE 30 61 50 66 F5
 5A 0B 80 08 6F C6 18 01 91 82 BC 3B BA
 A5 12 06 8E A9 D7 E3 F6 41 3B E8 1D 90 39 8C B3 21 0D 3B 69
 5A 0A 81 EF 6A 29 EE 53 D4 2C 03 54
 A5 0A 06 EF AA 99 EE 32 08 C3 D0 5D
 5A 0B 80 08 6F C6 18 01 91 82 BC 3B BA
 A5 12 06 8E A9 D7 E3 F6 41 3B E8 20 61 CF 97 4D 11 45 62 0B
 5A 0A 81 EF 6A 29 EE 53 D4 2C 03 54
 A5 0A 06 A1 A2 C8 A0 77 B4 C9 36 75
 5A 0B 80 08 6F C6 18 01 91 82 BC 3B BA
 A5 12 06 8E A9 D7 E3 F6 41 3B E8 20 61 CF 97 4D 11 45 62 0B
 5A 0A 81 EF 6A 29 EE 53 D4 2C 03 54
 A5 0A 06 A1 A2 C8 A0 77 B4 C9 36 75

итого, стало ясно что на одинаковые запросы 8008, батарейка отвечает одинаково первые 8 байт( проверенно на 10 батарейках) -это первый алгоритм....затем идёт довесок к первым 8 байтам тоже 8 байт...при повторных запросах этот довесок частенько повторяется -это второй алгоритм. Этот алгоритм влияет как ответит батарейка на одинаковые запросы на 81 команду-третий алгоритм....И нахрена столько ради какой то батарейки? Сони трёхнулась...ведь создавая 1000 зызу они не думали что её ломанут...да и в самой зызе защит было минимум...но в то время защитить копеечную батарейку аж ТРЕМЯ алгоритмами ..это жесть...

Boryan добавил 24-09-2010 в 03:42
и ещё...перебор 80хх запросов с одинаковыми параметрами

лог

5A 0B 80 08 00 00 00 00 00 00 00 00 12
 A5 12 06 2F 79 74 D2 62 BC 03 75 41 35 34 19 7E 75 04 D6 2E
 5A 0B 80 09 00 00 00 00 00 00 00 00 11
 A5 12 06 E9 67 88 60 43 42 9C 20 9C D7 07 A5 1E 0B 38 06 43
 5A 0B 80 0A 00 00 00 00 00 00 00 00 10
 A5 12 06 19 0B 59 BC C5 ED 64 EA 63 2B B1 C5 23 ED 38 AA 13
 5A 0B 80 0B 00 00 00 00 00 00 00 00 0F
 A5 12 06 71 6B 22 F7 F9 BA 39 73 69 BC 48 18 8B FF 3A E8 BD
 5A 0B 80 0C 00 00 00 00 00 00 00 00 0E
 A5 12 06 71 9F F5 EB 15 8E 3D E7 4C 09 92 31 8C C0 97 98 F8
 5A 0B 80 0D 00 00 00 00 00 00 00 00 0D
 A5 12 06 FA A1 4F 1D 04 90 85 B5 12 2C 81 5D A5 CF C5 61 B7

Так для освежения памяти...))

Boryan добавил 24-09-2010 в 03:55
возможно, что вторые 8 байт в ответе на 80хх запрос генерятся батарейкой псевдослучайно (потому как частенько повторяются) и зызе при проверке ответа на 80хх, на них пофигу! Ей главное, что бы ответ в первых 8 байтах был правильный...а вот из этих вторых псевдослучайных 8 байт ( они же ещё готовят батарейку к ответу на 81 запрос) зыза стоит запрос 81 и ждёт на него правильный ответ...

Boryan добавил 24-09-2010 в 03:56
учитывая всё сложность протокола обмена, мне не понятно как китайцам удалось клепать левые батарейки?

[Yoti]

Лайт блю в том виде, в котором они дошли на рынок:
PSP-110: www.dealextreme.com/details.dx/sku.22349
PSP-S110: www.dealextreme.com/details.dx/sku.15153

[Alex14435]

Если из них не удалили ответ на 81хх а просто отключили то стоит пробовать прочитать её. А если нет то всё бесполезно

[Boryan]

Alex14435, команды 81хх не существует...И далее...что нужно сделать:
1)определить что изменяет второй байт в команде 80хх
2)оределить алгоритм создания первых 8 байт ответа на 80хх
3)определить алгоритм создания вторых 8 байт ответа на 80хх
4)определить алгоритм влияния вторых 8 байт ответа на алгоритм 81 запроса
5)определить алгоритм ответа на 81 команду.
6) связать воедино все пять пунктов...
Итого минимум пять сложнейших задач.....думаю что это не под силу даже..самым крутым криптоаналитикам....
Из этого следует что китайцы не просчитали алгоритм, а тупо сняли дамп с проца батарейки....и у нас остаётся только этот метод...Он упростится если добудем батарейку Lite Blue Tool...потому как реализована она наверняка либо на атмеге либо на пике..ну а контора по взлому чипов гарантирует ...

Boryan добавил 24-09-2010 в 09:45
У кого есть возможность нарыть пару таких батареек?

[kolio]

Сообщение от Boryan пока замерить не могу...работы много...А с другой стороны ..ты же вроде грамотный чел что тебе мешает написать прогу и послушать через клайн общение PSP<>BAT и сделать анализ таймингов

та можно, просто там если знать зараннее временные тайминги, то можно прогу вообще лишить искусственных пауз силами компонента.

Сегодня утром попробовал k-line - работает как часики. Батарея отгавкивается на команды Буду колупать прогу.
--ну и в догонку--------------------------------------------------------
Ну и по поводу Скоробогатова, у него вышли еще 2 статьи по взлому чипов. В своих тестах он приводит примеры NEC контроллеров. Почитав всё это добро он написал, что затраты по злому займут около 2000$.

[ANDPSP]

Сообщение от bel007 Может это что-то типа этого: http://www.google.com/patents?id=CJT...page&q&f=false или этого: http://www.google.com/patents?id=RPv...page&q&f=false Это патенты Сони.

Круто :-)) в общем это именно то (особенно алгоритм на рис. Fig.3B первого патента, там еще Amtel фигурирует) НО в частности это не неше - дата патенов очень свежая 30 июня 2009 года - нам что нить подобное найти годов этак 2003-2004...

ANDPSP добавил 24-09-2010 в 11:32

Сообщение от Boryan pronvit, да уж...контора интересная....новые чипы от атмела и микрочипа ломают а старьё от nec ....как пойдёт....да ещё и баблоса хотят не мало.. Boryan добавил 24-09-2010 в 00:39 Внимательно изучил их сайт....левая конторка..за всю свою деятельность пару чипов вскрыли...смех берёт когда смотришь список чипы в этой группе стоят копейки...что мешает потренироваться на кошках? И записать их в группу исследованные...Очень сомнительная конторка выходит...

Ну это на крайний случай, если наш энтузиазм совсем иссякнет, а новые силы не вольются... А так конечно нужно разжиться максимальным количеством МК с всевозможных батареек - и блю тул от Дятов и китайских пандор - глядишь где то и окажется читаемый чип, можно конечно и идею переписанного на чтение бутлоадера для Nec опробовать, но как то не очень в это верится... просто там семейство 78K0/KX2 а наш вроде из 78K0/KB1+

[ErikPshat]

От Дятлов ловить нечего. Так как они только заявили о поддержке 3000, но в продажу не пустили.
Поэтому ихние батарейки не содержат ничего сверхестесственного.

[ANDPSP]

Сообщение от ErikPshat От Дятлов ловить нечего. Так как они только заявили о поддержке 3000, но в продажу не пустили. Поэтому ихние батарейки не содержат ничего сверхестесственного.

Как знать :-) но они точно содержат чипы и наверняка не нековские и в них прошивка реализующая алгоритм идентификации батареек согласно вышеуказанным патентам, в которых точно прописана генерация рандомного числа, которое потом криптуется и отдается дивайсу, тот декриптует и сравнивает или еще как - короче Дятлы знают этот алгоритм и наверняка просчитали ответ на 80D9 поэтому и заявили про пандору для 3000-х, но их обломали, но кто знает убрали они этот код или только закомментили :-)

[ErikPshat]

ANDPSP, ну это да. Когда они заявили о выпуске батарейки 3000, значит они вычислили код. Возможно они даже успели продать некоторое количество.
Но Сони тут-же их взяла за хвост, поэтому батарейки в массовость не пошли.

А так как они всё-же не работают на 3000, значит что-то изменили. Да, они должны быть голубого цвета "Lite Blue". А те, которые белые продаются на горбушке или на е-бее, это чисто китайский левак.

P.S. Как тебе твой аватар )))

[ANDPSP]

Сообщение от ErikPshat P.S. Как тебе твой аватар )))

Прикольный аватар, я раньше уже отзывался по его поводу, ты видать не заметил просто...

Сообщение от ANDPSP Цитата: Сообщение от ErikPshat ANDPSP, прикольный аватарчик ) Спасибо за аватар :-))) А вот эта старая новость скорее всего имеет отношение к нашей батарейке... И почитав про этот наш нековский чип я сильно засомневался что из него можно считать прошивку - может китайские аналоги как раз более доступными окажутся...

но еще раз спасибо :-))


Кстати повнимательнее почитал первый патент, там как раз зеркальный метод описывается в тексте - это когда первичное рандомное число генерит консоль, а не батарейка. Просто в блок-схеме алгоритма показана генерация именно батарейкой... Это просто уточние... Сейчас просматриваю патенты - нашел уже 2003 год - а вообще это была суперская ссылка и гугл рулит!!!

[Ins|der]

Очень интересные ссылки привел bel007!
По второму патенту "Battery and authentication requesting device" алгоритмы на рисунках 6 и 7, а также описание взаимной аунтефикации устройства и периферии очень напоминают протоколы общения между psp и батарейкой.