Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 46

Boryan · 20.04.2010, 11:38

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли

Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

Расшифровка кодов

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000

Во вложении:

"psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
- Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
- "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
"Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

Boryan · 24.09.2010, 17:44

ErikPshat,

А так как они всё-же не работают на 3000, значит что-то изменили. Да, они должны быть голубого цвета "Lite Blue". А те, которые белые продаются на горбушке или на е-бее, это чисто китайский левак.

Фигасе и ты молчишь? Дык если эти белые с кнопочкой переключения режимов...то смело покупай мне пару штук...они то и нужны...суть в том что они реализованны на другом чипе который возможно прочитать...нам то нужен всего лишь алгоритм ...а уж до 3000 мы его доработаем...там я знаю что делать и как до ТА93 его поднять знаю...но нужны исходники...

Boryan добавил 24-09-2010 в 17:44
такие ты на горбушке видел http://www.dealextreme.com/details.dx/sku.15153 если да, то Эрик давай срочно дуй на Горбушку бери пару штук и встречаемся срочно

**Ins|der** · 24.09.2010, 17:54

если я правильно понял, то следуя их схеме, по битам и логике все совпадает:

1)консоль и батарея содержат одинаковый набор заранее определенных ключей шифрации
K1, K2, ... KN
2)то что следует за 80-й командой в запросе, вероятно, номер ключа (01, 02, 04, 08, D9) который будет использоваться во время сеанса
N
3)далее в запросе идет 64-битный кусок (первая часть) 128-битного кода обмена 1 (задается консолью)
R1
4)на основании этого кода (64бит) и константы (64бит), определенной по номеру ключа, батарея формирует ответ, который затем шифруется самим ключом (в итоге 128бит)
ENC(Kn, (R1+C1n))
5)от закодированного ответа берется вторая часть (64бита) - код ответа, к ней прилагается 64-битный кусок кода обмена 2 (задается батареей) и отсылается приставке
[part of ENC(Kn, (R1+C1n))] + R2
6)приставка сверяет преобразованный ею (по той же схеме) код обмена и полученный в ответе от батареи и делает вывод о подлинности батареи (так как она знает нужный ключ).

далее если батарея определена как "своя", наступает очередь приставки представить себя:

7) на основании полученного куска R2 и заданного ранее ключа Kn приставка формирует ответ батарее
ENC(Kn, (R2+C2n))
8) отрезает от него 64 бита и передает батарее, скорее всего в 81-й команде
9) батарея делает своё заключение о легитимности консоли))))

Таким образом, если судить по описанию, и в приставке и в батарейке хранятся одинаковые ключи и константы.

lordandrej007 · 24.09.2010, 18:02

Boryan, http://www.magicdevice.ru/index.php?...hk=1&Itemid=28

вот на горбушке такие есть

crashnok · 24.09.2010, 18:07

А информация, что там стоит читаемый мк, проверена?? Маркировка мк?

lordandrej007 · 24.09.2010, 18:10

crashnok,а вот это сказать не могу, надо ехать и смотреть, но факт наличия китайских пандор на горбухе был доказан

lordandrej007 добавил 24-09-2010 в 18:10
http://www.magicdevice.ru/index.php?...mart&Itemid=28
как это понимать???
перепаивают проц и пандора или что-то другое???

crashnok · 24.09.2010, 18:19

Что тут понимать... Есть у людей карта под 88 проц, вот и работают себе.
Даже ляпку китайского тетриса не прочитать просто так. Нереально это, что бы там не было активировано read command disable function (в случае нек)

Boryan · 24.09.2010, 18:26

Ins|der, самый прикол в 81 команде ...ответ на неё изменяется только если предварительно была 80хх команда ..а то что будет в 81 команде батарейке пофиг подавай любое значение 81хххххххххххххххх....ответ на неё батарейка всегда даст одинаковый...сейчас выложу пример....выходит то что в 81 присутствует какой то лючь это всё лажа...

Boryan добавил 24-09-2010 в 18:23

лог 81хххх

Boryan добавил 24-09-2010 в 18:26
crashnok, много работал с китайскими разными девайсами собранными на пиках...ни где не стояло бита защиты

всё читалось на ура тритоном (программатор такой)

**Ins|der** · 24.09.2010, 18:28

Boryan, вероятно, если предварительно не выдать 80ю команду, батарейка не сформирует код обмена 2, ей просто не с чем будет сравнивать полученный от приставки в 81 команде ответ

давай логи)))
тема опять становится интересной

предпоследняя строка 5A 0A 81 47 52 00 A3 68 5A 1A 71 91
- реальный ответ приставки?

и непонятно пока, что подразумевает под собой AUTHENTICATION RESULT передаваемый батареей в конце

Yoti · 24.09.2010, 18:32

Boryan,
я такой white blue tool 088v3 даунил... Три быстрых клика кнопкой - и она моргает диодами.

Boryan · 24.09.2010, 18:32

Сообщение от lordandrej007

Boryan, http://www.magicdevice.ru/index.php?...hk=1&Itemid=28

вот на горбушке такие есть

куясе...рашшан бизнеса

)) 1300 руб...почти халява...против той ссылке что я выше давал где 300 руб стоит...

lordandrej007 · 24.09.2010, 18:40

Boryan, но там еще за доставку в Россию платить и пол года ждать будешь, я просто показываю что на гарбухе есть

Boryan · 24.09.2010, 18:47

Сообщение от Yoti

Boryan,
я такой white blue tool 088v3 даунил... Три быстрых клика кнопкой - и она моргает диодами.

Ну и куда ты её дел? Просто эта батарейка собранна наверняка либо на пике либо на атмеле...а их мона прочитать....

Boryan добавил 24-09-2010 в 18:43
хотя может быть и по другому ...к стандартной батарейке присобачили схемку простенькую которая переключает режимы ..

Boryan добавил 24-09-2010 в 18:47
Ins|der, да нет это я тупо ключик с разными байтами прописал что бы показать что ответ будет одинаков..
Говори какие ещё логи нужны ..нарисую любой

Yoti · 24.09.2010, 18:48

lordandrej007,
там, если внимательно посмотреть, free shiping написан.
Boryan,
лежит вместе с картой, в ящике.

Boryan · 24.09.2010, 18:49

lordandrej007, да не вопрос ..ради благого дела и 1300 мона пожертвовать....это не те деньги..лишь бы толк был..Просто меня поражают барыги с 500% накрутки...жадности их поражаюсь..за то что купили в одном месте и продали в другом накручивать 500%.....мммм...а в голове одна прямая извилина и перегородка для умных мыслей.....таким бы людям коз пасти...

lordandrej007 · 24.09.2010, 19:04

Boryan,тут ты прав)

Boryan · 24.09.2010, 19:20

lordandrej007, подпись у тебя интересная....сложу легко, но в 3D и не шесть а четыре

crashnok · 24.09.2010, 19:35

5 сложил, в 2d.

A если можно разных по размеру и без "условий" то 8 сложил. В 2d.

**Alex14435** · 24.09.2010, 19:49

Боря, не он один посвящен в тайну) а вообще советую Бернарда Вербера почитать, интересно мир описывает

ANDPSP · 24.09.2010, 20:04

Ну нафлудили со своими спичками :-)

А насчет батареек думаю стоит искать экземпляр как у Yoti - т.е. те варианты батареек которые режим пандоры реализуют не переключением ползунка, а нажатием кнопки и каким то временем работы - скорее всего в это время заливается прошивка. может конечно и просто eeprom перезаписывается этими FFFFFFFF, а может и модифицированная прошивка грузится в которой жестко прописано что на запрос консоли 5A020C97 батарейка отвечает A50606FFFFFFFF<cs> и тогда загрузку прошивки еще проще отловить можно будет ну или считать ее из памяти...

Boryan · 24.09.2010, 20:08

ANDPSP, эт точно...придётся Эрика напрячь он на горбушке бывает. На луже сёня гавно китайское тупо пандора и ни чего более ...450 руб....послал их далеко