Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .
Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?
Код Описание Данные Ответ от батареи Примечание
0x01 запрос оставшегося заряда нет energyleft_mAh:u16
0x02 запрос температуры нет temperature:u8 cercius degree, min/max value unknown
0x03 запрос напряжения нет voltage_mV:u16
0x04 запрос тока нет current_mA:short positive if charging battery
0x07 запрос ёмкости нет capacity_mAh:u16
0x09 запрос оставшегося времени нет timeleft_min:u16 XMB showing not this value
0x0c запрос серийного номера нет serialno:u32 suspected
0x80 запрос аутентификации? 9byte 16byte encrypted data/reply
0x81 запрос аутентификации? 8byte 8byte encrypted data/reply
0x05 ответ от батареи нет NAK, BCC error and so on??
0x06 ответ от батареи да ACK, with reply data
Имеется плата PL-2101.Кому нужно-пишите в лс,вышлю.Просто у нас с ними напряженка,а вам они нужнее...
Имею дешевую китайскую батарейку,как у Боряна на фото,pl-2303,3008.Я могу как-то реально помочь?
Последний раз редактировалось an10; 15.10.2010 в 19:39.
Нужны девелоперские доки на 78K0/KB1+, без них
не понятно что там за верификация и как ее пользовать.
вот тут то что тебе нужно - это полная дока по Flash memory programming для 78K0\KX1+, особенное внимание на 3 варианта подключения к компу - там есть UART и пара трехпроводных вариантов, в зависимости от этого почему то и использование команды верификации разное... Листинги программ на Си в пунктах 6.10.5 и 7.10.5 описание команды пункт 5.8 По идее для других чипов тоже есть верификация - даже для 4-х килобайтного 9202, но там проблема в том что верификация идет только 256-байтного блока а это тупик полный, а вот в 102 все же побайтная верификация... Идея в следущем - делается программатор для Nec - это есть в ссылке Бориса вроде, знающим челом пишется прога общения с этим самодельным программатором, в этой доке есть описание и фреймов и протокола и пакетов общения. Как только удалось подружить комп и программатор с 102-м чипом программа дополняется перебором байт и верификацией - по такому то адресу проверяем первый байт от 0 до 255, нашли и запомнили - потом проверяем или только второй байт или сразу оба - известный + неизвестный - короче это только теория, но идею подкинула известная фирма по взлому чипов, они сказали что прочтут наш чип - но не раньше декабря - так что у нас есть возможность их опередить...
Сегодня поизучал док, да все предельно понятно, состряпать
подобный граб по функции верификации дело пары часов.
Главное чтобы небыло недокументированых функций защиты,
если никто не опередит на днях напишу граббер.
lport3, думаю что ни кто не опередит вся надежда на тебя ...ждём с нетерпением.
Boryan добавил 21-10-2010 в 13:31
кста мож лучше организовать метод перебора таким образом. берём сразу первые 255 байт флехи и делаем верификацию так 1 байт=00, 2=01,3=02.. 255=FF...и т.д. далее сдвигаем на байт и у нас уже будет 1 байт флехи=01, 2=02,3=03....255=00. делаем следующий проход со сдвигом..1=02,2=03.....255=01. И так за один перебор от 0 до 255 мы проверефицируем сразу 255 байт памяти контроллера. Я правда не знаю есть ли такая возможность в контроллере в случае не совпадения верефикации одного байта можно ли без сброса продолжить верефикацию последующих байт? А если при отрицательной верефекиаци нужен сброс то это попа...мы таким методом прошиву будем тащить годами....
Последний раз редактировалось Boryan; 21.10.2010 в 13:39.
Причина: добавил, подумав
Yoti, Эт точно сам не понимаю Просто думаю так веселее будет..за один проход мы будем верефицировать сразу 255 байт флехи а за 255 проходов проверефицируем теже 255 байт флехи полностью. В принципе что так, что по байтно...результат 255х255 ...Просто по теории вероятности так шансы вроде ускоряются по времени..а на практике фиг её знает как будет.Так тебе придётся каждый байт перебирать 255 значений ,есно и это быстро, так как совпадения могут быть и в начале диапазона и т.д. Просто по моему методу вроде как кучнее получается что ли )) хотя от перестановки мест слагаемых сумма не меняется....короче чота туплю я ...фантазирую слишком
lport3, а есть какие варианты передать её тебе....ну типа через проводников жд? Ну а если нет то думаю я сам разберусь с твоей помощью ..с клайном разобрались дистанционно и тут разберёмся
Boryan добавил 21-10-2010 в 15:37
девайс какой будем использовать для верефикации ...ту схему программатора на мах232 что в доках котрые я выкладывал?
Последний раз редактировалось Boryan; 21.10.2010 в 15:37.
Причина: добавил, подумав
В даташите на 347 станице про это вроде пишут.
Такой вопрос - а что если в чипе есть защита от перебора нужных значений? не пройдет верификацию один байт и флешка затирается..Почитайте про защиту в чипе, в даташите об этом тоже есть
ну раз я спрашиваю, то, наверное, я их почитал и там найти не смог..
pronvit добавил 21-10-2010 в 23:27
Сообщение от Alex706
В даташите на 347 станице про это вроде пишут.
Такой вопрос - а что если в чипе есть защита от перебора нужных значений? не пройдет верификацию один байт и флешка затирается..Почитайте про защиту в чипе, в даташите об этом тоже есть
кому ж нужна такая верификация, которая данные портит..
Последний раз редактировалось pronvit; 21.10.2010 в 23:30.
Причина: добавил, подумав
pronvit, хм...может мы про разные пдф говорим? в моем 438 страниц. Ну насчет верификации вы правы...но не верю я что нет в этой флешки какой-либо защиты
Последний раз редактировалось Alex706; 21.10.2010 в 23:32.
Alex706, а какая зашита может быть? Если возможна только запись и стирание...ну и верификация...Чтения нет в принципе..зачем защита? Во всех нэковсих чипах нет защиты и чтения....вернее бит защиты есть, но он делает защиту от стирания либо всей флехи либо какого то выбранного блока...зачем это нужно я не понимаю.
Boryan добавил 22-10-2010 в 00:14
Потом 102 это старый и древний чип .....в то время о защите не думали...да и специализированный он ....нах не кому не нужен когда для всех доступны авэрки и пики...
Boryan добавил 22-10-2010 в 00:19
единственная засада может быть только если верификация возможна только в процессе записи. Записал байт-проверил....хотя это слишком гиморно да и не зачем.
Boryan добавил 22-10-2010 в 00:20 pronvit,
ну раз я спрашиваю, то, наверное, я их почитал и там найти не смог..
а как lport3, тогда нашёл?
Последний раз редактировалось Boryan; 22.10.2010 в 00:20.
Причина: добавил, подумав
20.04.2010, 11:38
Обсуждение взлома батарейки Пандоры PSP-3000...
Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .
(30)
Линейный вид
![C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы](../forum/images/panel_start.png "C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы")
