Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 52

Boryan · 20.04.2010, 11:38

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли

Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

Расшифровка кодов

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000

Во вложении:

"psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
- Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
- "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
"Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

kolio · 05.10.2010, 13:05

Граббер 2.2.2
бинарник http://zalil.ru/29770714
компонент http://zalil.ru/29770718
сурцы http://zalil.ru/29770719

+исправлена ошибка брута
+увеличены буфера с 512 байт до 1024 (должно решить проблему с исковерченным эхом)
+поставил таймауты 10-25мс
+расширено окошко для логов
+форматирование сделано по просьбе Бориса в его любимом виде

+бинарник уменьшил на 300К

пароли у Бориса

ANDPSP · 05.10.2010, 15:36

Хм интересный чип на этой фотке - не нашел в гугле вообще упоминания о таком и ренесас тоже не дает информацию о подобном нековском чипе - неужели китайская подделка ?

ANDPSP добавил 05-10-2010 в 14:49
И вот этот тоже забавный - вроде как нормально видно что 0547, но судя по информации с ренесас - это должен быть 80-пиновый чип - бред какой то...

ANDPSP добавил 05-10-2010 в 14:53
И Тут похуже видно но все равно читается или 0719 или 0718 или 0710 - но нету таких чипов у Нека...

ANDPSP добавил 05-10-2010 в 15:04
А вот 0732 вроде и тоже в Неке про него не знают, есть конечно чип UPD70732, но это 128-пиновый и 32-разрядный проц...

Вот они настоящие китайские подделки то :-)

ANDPSP добавил 05-10-2010 в 15:36
Борян а такое вот тебе не попадалось случаем ? просто первый раз вижу 20-пиновый чип....

Boryan · 06.10.2010, 01:32

ANDPSP, У меня батареек с такими чипами как грязи...они то кстати пандорятся...правда не все

Boryan добавил 05-10-2010 в 18:35
у меня вообще есть подозрение не хорошее

Если батарейка работает по алгоритму что было описанно выше...нэковский ..это когда шифрование и дешифрование одним ключом+ соневский...Если алгоритм работает по схеме: зыза генерит ключик (сколько байт?в принципе не важно) и криптует его ключиком ( сколько байт ключик?) и посылает запрос в виде 80хх команды ....где хх и есть место где в батарейке лежит ключик для декрипта...Китайцы ломанули батарейку( или выкупили алгоритм) но до сих пор они клепают, а соответственно и знают только ключики в диапазоне 8000-8006.....выше этого им ключики неизвестны..хотя может им они и нафиг нужны. Ну допустим мы достанем алгоритм и ключики от китайских батареек. А как мы высчитаем ключик что работает по команде 80D9 или 8097? Даже если этот ключик 8 байт и у нас будет алгоритм и логи работы команд 80D9 и 8097, а соответственно входные и выходные ключики....на их основе и основе алгоритма можно просчитать ключик 8 байт...и то это очень и очень гиморно....а что если этот ключик 16..32..64 байта...Это будет реальный тупик...

Boryan добавил 05-10-2010 в 23:19
ANDPSP, как правило в названиях микрух используется первая строка, вторая строка это гг.мм.дд выпуска микрухи страна производитель и т.д. 0732 во второй строке...это не верно использовать для марки микрухи

Boryan добавил 05-10-2010 в 23:31
kolio, Маладца! Теперь то что нужно! Пашет как часы! Всё читабельно! Правда пока комп<>батарейка проверил. Брут любого байта от 00 до FF без запинки пролетает. В Bat_grabb_proj_2_1 были иногда глюки с эхом. У тебя всё ОК. Давай твори дальше

надеюсь всё таки добудем алгоритм и ключики нужные и тогда твоя прога должна будет уметь делать то что делает батарейка. Так что поле деятельности есть

Boryan добавил 06-10-2010 в 00:45
теперь приступил к тесту PC<>PSP....первое что нужно сделать кнопочку Clear, для очистки логов. Добавить кнопочки Save, Load для сохранения и записи, того что будет набранно в нижнем окошке.(хотя это можно и тупо копированием в буфер из буфера обмена компа делать, но вроде так удобнее будет) Хотя это на твоё усмотрение.

Boryan добавил 06-10-2010 в 00:50
ещё...гораздо лучше будет если изменить написание запрос ответ не через пробел, а со следующей строки типа такого:
5A 02 01 A2
A5 05 06 107405 C6
5A 02 0C 97
A5 06 06 34127856 3A
5A 0B 80 022024938323D9B1EB 26
A5 12 06 99DE6F473C38C2EA6E26814F8078038C 0A
5A 0A 81 6FEE7671A4BBE158 3E
A5 0A 06 B11A10594DD0DFA1 79
ну есно это снова для читабельности и удобства и ещё нужно полностью пересмотреть алгоритм работы , оставить старый вариант + что бы была возможность полностью эмулировать закинутый в окошко лог снятый ранее

Boryan добавил 06-10-2010 в 01:14
короче в режиме PC<>PSP твоя прога не работает! Вот лог ответа на такое содержание в окне запросов ответов:
5A0201A2 A50506106E01D0
5A020C97 A50606FFFFFFFF52
5A0B80D9 A512066B002560E35DB8FEF6BF3413C0084198BF
5A0A81 A50A06E3115F0C3FEEA7E334
вот так отвечает Bat_grabb_proj_2_1 :

лог ответа

а так на тоже самое твоя прога ...
запрос : 5A0201A2
ответ : ҐnР
Не найдено подходящего ответа.
Не найдено подходящего ответа.
Не найдено подходящего ответа.
запрос : 5A020C97
Не найдено подходящего ответа.
ответ : ҐяяяяR
Не найдено подходящего ответа.
Не найдено подходящего ответа.
запрос : 5A0B80D9199939F359220EDFFB
Не найдено подходящего ответа.
Не найдено подходящего ответа.
ответ : Ґk
Не найдено подходящего ответа.
запрос : 5A0201A2
ответ : ҐnР
Не найдено подходящего ответа.
Не найдено подходящего ответа.
Не найдено подходящего ответа.
запрос : 5A020C97
Не найдено подходящего ответа.
ответ : ҐяяяяR
Не найдено подходящего ответа.
Не найдено подходящего ответа.
запрос : 5A0B80D912E77BD98933C9E986
Не найдено подходящего ответа.
Не найдено подходящего ответа.
ответ : Ґk
Не найдено подходящего ответа.

Boryan добавил 06-10-2010 в 01:32
PS. А с другой стороны ..повторять Bat_grabb_proj_2_1 (который в принципе нормально работает) но в другой более красивой обёртке...наверное нет смысла... ну если только сделать закладку на будующее....

lport3 · 06.10.2010, 02:51

Сообщение от ANDPSP

Борян а такое вот тебе не попадалось случаем ? просто первый раз вижу 20-пиновый чип....

Желательно знать, хотя бы алг на 8002, чтобы справится с 80д9.
Как вариант, спилить подобный мк, ведь это не нэк а что то типа тини или
микрочипа.. если конечно она умеет "правильно" отвечать на простой 800х.
Может быть тупо связаться с китайцами, может они инфой поделятся..
Я так понял, что алг не такой уж сложный (предположение) у дятла на
плате светло-синей была только одна атмега 8битка, даже не было бата-
рейки внутри, как они ответили на 80д9 ? знали как отвечать на простые
800х, просчитали..они ведь делали батарейки на фат-слим..
Раскриптить по логам, даже с таким огромным количеством, практически
нереально..на это и так уложили 3 месяца. Помоему надо или искать мк
под спил или покупать-кляньчить-пи3д..ить алги у производителей бата
реек.
п.с. Есть еще один способ, но он совсем уж "нелегальный".

Boryan · 06.10.2010, 10:39

lport3, я через чела, кто тащит к нам батарейки из китая от самомго производителя, пытаюсь связаться с китайцами. Запросил у них исходник прошивы чипа 9202, или хотя бы кусок обработки 80хх команд. Пока жду ответа..В принципе чел батареек у них много покупает...и много брака в связи с тем что прошива слетает...можно надавить на китайцев типа нужна прошива, что бы мы на месте лечили ваши батарейки.

kolio · 06.10.2010, 11:23

Сообщение от Boryan

Boryan добавил 06-10-2010 в 00:45
теперь приступил к тесту PC<>PSP....первое что нужно сделать кнопочку Clear, для очистки логов. Добавить кнопочки Save, Load для сохранения и записи, того что будет набранно в нижнем окошке.(хотя это можно и тупо копированием в буфер из буфера обмена компа делать, но вроде так удобнее будет) Хотя это на твоё усмотрение.

Boryan добавил 06-10-2010 в 00:50
ещё...гораздо лучше будет если изменить написание запрос ответ не через пробел, а со следующей строки типа такого:
5A 02 01 A2
A5 05 06 107405 C6
5A 02 0C 97
A5 06 06 34127856 3A
5A 0B 80 022024938323D9B1EB 26
A5 12 06 99DE6F473C38C2EA6E26814F8078038C 0A
5A 0A 81 6FEE7671A4BBE158 3E
A5 0A 06 B11A10594DD0DFA1 79
ну есно это снова для читабельности и удобства и ещё нужно полностью пересмотреть алгоритм работы , оставить старый вариант + что бы была возможность полностью эмулировать закинутый в окошко лог снятый ранее

Boryan добавил 06-10-2010 в 01:14
короче в режиме PC<>PSP твоя прога не работает! Вот лог ответа на такое содержание в окне запросов ответов:
5A0201A2 A50506106E01D0
5A020C97 A50606FFFFFFFF52
5A0B80D9 A512066B002560E35DB8FEF6BF3413C0084198BF
5A0A81 A50A06E3115F0C3FEEA7E334
вот так отвечает Bat_grabb_proj_2_1 :

лог ответа

а так на тоже самое твоя прога ...
запрос : 5A0201A2
ответ : ҐnР
Не найдено подходящего ответа.
Не найдено подходящего ответа.
Не найдено подходящего ответа.
запрос : 5A020C97
Не найдено подходящего ответа.
ответ : ҐяяяяR
Не найдено подходящего ответа.
Не найдено подходящего ответа.
запрос : 5A0B80D9199939F359220EDFFB
Не найдено подходящего ответа.
Не найдено подходящего ответа.
ответ : Ґk
Не найдено подходящего ответа.
запрос : 5A0201A2
ответ : ҐnР
Не найдено подходящего ответа.
Не найдено подходящего ответа.
Не найдено подходящего ответа.
запрос : 5A020C97
Не найдено подходящего ответа.
ответ : ҐяяяяR
Не найдено подходящего ответа.
Не найдено подходящего ответа.
запрос : 5A0B80D912E77BD98933C9E986
Не найдено подходящего ответа.
Не найдено подходящего ответа.
ответ : Ґk
Не найдено подходящего ответа.

Boryan добавил 06-10-2010 в 01:32
PS. А с другой стороны ..повторять Bat_grabb_proj_2_1 (который в принципе нормально работает) но в другой более красивой обёртке...наверное нет смысла... ну если только сделать закладку на будующее....

Привет Борь
Это лечится. просто я еще PC-PSP не пробовал. но по логам уже вижу, Delphi 2010 работает со строкой как с UTF-8. Просто не дошел еще до тестов этой закладки.
Смогу только сегодня вечерком после работы дописать.

Исходя из написанного у меня уже есть мысли как всё это удобно сделать

crashnok · 07.10.2010, 08:59

У кого есть какая полезная инфа? Может мануал третьего уровня на псп го, или ещё что в этом роде. Предлагаю обмен на полный распин 2008 и 2007 сисконов и таблицу соответствия какой пятак к какому подключать с описанием сборки переходника.

Boryan · 07.10.2010, 11:14

crashnok, А что тебе это даст? PSP Go построенна абсолютно по другому принципу....там за сервисный режим сикон не отвечает ...да и прошивается она с докстанции...в гошке для этого есть системный разъём.Там старта с батарейки нету...и батарейка там без мозгов, тупо элемент питания.

crashnok · 07.10.2010, 11:24

Что именно "что даст"???
Что может дать схема?- ремонт самых сложных поломок. И вообще интересно поизучать, раскопать и т. п.

Boryan · 07.10.2010, 17:33

гошку ремонтить не интересно..все микрухи компаундом залиты...один гимор да и только..проверить работоспособность можно только в собранном виде...лично я не берусь за них...да и мало их на руках ...не популярные они...на них не заработаешь даже на кусок чёренького хлебушка

))

crashnok · 07.10.2010, 18:19

Так я и на других не заработаю, за год 1-2 консоли заходят.
Это для развития, купить- поковырять. Также как и 85 88 90 я брал, что бы заниматься интересным делом.

Boryan · 08.10.2010, 00:04

ANDPSP,

Борян а такое вот тебе не попадалось случаем ? просто первый раз вижу 20-пиновый чип....

попадалась.. вот ссылкаhttp://zalil.ru/29723267 ..такая есть у Стаса....но там чип похоже не NEC...это обнадёживает...Если бы был NEC китайцы название затирать бы не стали....они обычно затирают у микрочипа или атмела....есть надежда...завтра у меня будет и такая батарейка

....

crashnok · 08.10.2010, 06:55

Изначально подметил эту батарейку. Может быть это какой то старый пик, они глюками богаты, тогда действительно есть вариант.

kolio · 09.10.2010, 21:18

Boryan, я тут

просто приставка сейчас для тестов недоступна

**Alex14435** · 12.10.2010, 22:00

Сразу видно работу Yoti. -_- Спасибо

Boryan · 14.10.2010, 02:12

Ну вот наконец то эпопея с моим отрезанным и вновь пришитым пальцем завершается ....тфу..тфу...тфу..Палец заработал...не на все 100% ...но карандаш уже могу держать и рисовать каракули

Короче сразу за дело. Взял самую голимую китайскую батарейку на 9202 чипе, и начал рисовать её схему...нарисовал....и понял что чип в батарейке ни какого прямого отношения к самой батарейке не имеет. Меня всегда мучил вопрос, зачем в самой зызе стоит контроллер заряда? Если в батарейке есть контроллер...ведь он должен следить за зарядом. А оказалось что контроллер в батарейке отвечает только за визитную карточку оной. Он ни каким боком не управляет ключами и защитами по току...там совсем другая микруха этим занимается и она не как не подключена к контроллеру. Короче в контроллере есть ацп, он тупо измеряет напругу на батарейке и докладывает зызе....ну роль визитки ещё выполняет. Ну вот как то так.....

И походу прошива там совсем простенькая ...тупо алгоритм ответа, серийник ну и обработка сигналов с ацп...иными словами тупо вольтметр...

Boryan добавил 14-10-2010 в 02:12
поизучал доки на чип...жесть какая то ....доступ к флешке только в одну сторону ....запись, стирание, проверка чек суммы блока...есть биты защиты...но их назначение запрет на стирание флехи....это то зачем? Типа что бы сделать однократную запись и всё? Бред какой то ...защищать микруху от стирания....ладно бы от чтения....Ну вобщем прочитать нестандартными методами ..нет вариантов...только декапсуляция нам поможет...

ANDPSP · 14.10.2010, 18:23

Сообщение от crashnok

Мда... ну и хорошо что её там нет, попробовали мы сегодня со знакомым прочитать её на программаторе.
ВСЁ, ОНА Т**ЕРЬ ПУСТАЯ.
Батарейку прийдётся человеку купить))

А какой чип то читали ? Надеюсь не выкинули затертый МК ? Он очень может пригодиться - появилась идея как считать прошивку с 102 чипа, нужен работающий программатор и чел умеющий работать с МК...

Boryan · 14.10.2010, 20:50

у Сони реально пранойя ....начал изучать логи ТА93.....инициализация батарейки в сервисном идёт сначала штатный опрос напруга и серийник...затем 800D>8004>8097......жесть...в 800D-ключик другой....в 8004- ключик другой....в 8097-????? Брутил батарейки всех видов и новые и старые..ох и интересная работа нас ждёт

)) с ТА93 .....придётся вычислять аж три ключика

против ТА90...ТА92...где только один 80D9

На смену ТА93 выйдет ТА95.....чего там намудрят можно только гадать...В штатном режиме батарейка инициализируется в ТА93 командой 8008..в ней ключик без изменений со времён выхода слимок..

Boryan добавил 14-10-2010 в 20:43
но мне это нравится...ипошки не дадут нам скучать

Boryan добавил 14-10-2010 в 20:50
теперь точно стало известно что второй байт в 80 команде -это ключик с помощью которого происходит декрипт запроса

Yoti · 15.10.2010, 05:18

Век PSP подходит к концу - может, 095 будет что-то вроде 090? "Я тебя слепила из того, что было..."

Boryan · 15.10.2010, 12:13

короче есть хорошие новости мужики ! Срочно ищем батарейки от фаток с кодом CGA-4B101C он написан в нижнем правом углу наклейки на батарейке. В этой батарейке используется чип upd78f0102h может и в каких других батарейках он есть...но у меня он оказался только в этой. Так вот этот чип позволяет делать побайтную верификацию содержимого флехи. А далее всё просто..нужно написать софт что бы методом перебора вытащить прошиву. Типа такого, перебираем 255 значений первого байта флехи с верификацией ..как совпало так это и есть искомое значение ..и так далее все 16 кило

)) вот и будет нам прошива ....ну а дальше думаю мы разберёмся что с этим делать . Короче нужна прога ..и люди желающие помочь нашему делу

Boryan добавил 15-10-2010 в 12:11
вот ссылка на доки http://zalil.ru/29818024 пароль без архива...там есть прога ..нужно её подправить под наши задачи...

Boryan добавил 15-10-2010 в 12:13
работаем мужики активнее!