Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

// Вот разложил поточнее, что выложил stasik007:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 08364CAFF8EFE8E9A5 84
A512 06 EFDDEDA268B1F15CF705F1F16FFADDE2 7B
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 02129A117169ADE46F 81
A512 06 CEE3A231846B7A3CACC16A81AE99A14F 8A
5A0A 81 08EC25077C96EB55 A8
A50A 06 3D71D0DDA5AC498D C8
5A02 01 A2
A505 06 00C206 87
5A0B 80 0208FA21BD9B0CF433 6A
A512 06 649C9CC965D9AA823804FA537F84ADC7 73
5A0A 81 0A99549CC666111A 30
A50A 06 1DF65042207C3621 B2
00

Включаю приставку:

5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 082ED10418C5A517A7 CF
A512 06 956EC42197FA58395A3D01B7EBB74C36 C5
5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 0265727014369503DA 15
A512 06 D3D208AC828AC4285A1F1BE8389276A2 93
5A0A 81 62861C9CE0618781 31
A50A 06 3E02027DA5B052A3 41
5A02 01 A2
A505 06 00C206 87
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 0104 4B
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 9AFF B7
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 00C206 87
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 81FF D0
5A02 03 A0
A504 06 2C10 14
5A02 01 A2
A505 06 00C106 88
5A02 03 A0
A504 06 2C10 14
5A0B 80 028C1358AFF19A5594 FE
A512 06 903ECAB191ACE9B53336455CD35DC860 BC
5A0A 81 9F3777774C64553C 15
A50A 06 64D75EC38A197E7B 52
5A02 01 A2
A505 06 00C106 88
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
00
*/

Расшифровка кодов

Код   Описание                   Данные  Ответ от батареи     Примечание

0x01  запрос оставшегося заряда   нет    energyleft_mAh:u16                                         
0x02  запрос температуры          нет    temperature:u8       cercius degree, min/max value unknown 
0x03  запрос напряжения           нет    voltage_mV:u16        
0x04  запрос тока                 нет    current_mA:short     positive if charging battery 
0x07  запрос ёмкости              нет    capacity_mAh:u16 
0x09  запрос оставшегося времени  нет    timeleft_min:u16     XMB showing not this value 
0x0c  запрос серийного номера     нет    serialno:u32         suspected 
0x80  запрос аутентификации?      9byte  16byte               encrypted data/reply 
0x81  запрос аутентификации?      8byte  8byte                encrypted data/reply

0x05  ответ от батареи            нет    NAK, BCC error and so on?? 
0x06  ответ от батареи            да     ACK, with reply data

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000


Во вложении:

1. "psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
   • Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
   • "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
2. "Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

EEPROM.png

[Saros]

Нубский вопрос: при запандоривании меняется только SN батарейки?

[Boryan]

меняются только 4 байта серийника..но не вопрос поменять в дампе батарейки что хочешь и залить его обратно

[Saros]

Сообщение от ANDPSP снова опечатка ???? - вначале с210 (49680) потом с200 (49664)- из-за нее сразу не въехал о чем речь - потом разложил запросы ответы и понял... с сервисной батарейкой 5A 02 01 A2 A5 05 06 10 9B 06 9E 5A 02 01 A2 A5 05 06 10 9B 06 9E 5A 02 01 A2 A5 05 06 00 9B 06 AE и с обычной 5A 02 01 A2 A5 05 06 10 C2 06 77 5A 02 01 A2 A5 05 06 10 C2 06 77 5A 02 01 A2 A5 05 06 00 C2 06 87 Но вот заряд ли это - странно что на двух разных батарейках одинаковое проседание 10(16) - неужели первичное включение столько энергии сжирает или тут что то другое.... К Стасу вопрос - какая батарейка была лучше заряжена на момент эксперемента и снятия инфы... Если мы правы то сервисная была более разряжена чем обычная...

Занятная идея, особенно если учесть что смена происходит в момент рукопожатия.(смена 10 на 00) Вот еслиб попробовать сразу 00 послать )

[Boryan]

но я дамп батарейки уже исковырял весь....контроллер может выдать только 4 байта на запрос 5A02 0C.....как его заставить отдать 8 байт?

Boryan добавил 23-04-2010 в 02:51
мож вот так должно быть

5A0B 80 ЗЫЗ: А ты кто? )
A512 06 Ак: Я МЕДВЕД

[Saros]

а можно на запрос 5A 02 01 A2 ответить своей инфой ну или подменить оригинальную?

[Boryan]

а какой ответ батарейка даёт на запрос зызы ...в смысле в хексе....мож эти байты в дампе батарейки? Стас выложи дамп батарейки которая работала с 3000.....Если ответ в дампе то мы его изменим ...ну или подберём нужный...Походу серийник FF.....зызе нравится и она готова с ним работать, но вот тот кто дал ей его, не должен представляться батарейкой....

Boryan добавил 23-04-2010 в 03:05
шлангом батарейке походу нужно прикинуться )))

[stasik007]

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

stasik007 добавил 23-04-2010 в 03:29
НЕ !!! ТУТ ПОХОДУ В ЗАПРОС 80 ОТ ЗЫЗ НАДО ЧТОТО ПОДПИХНУТЬ ЧТОБ БАТАРЕЙКА ПРАВИЛЬНО ОТВЕТИЛА - неполучится поскольку зыза проверит ответ на вопрос и офигеет


stasik007 добавил 23-04-2010 в 03:58
ответ 18 байт и всё время разный
вот правильные с норм бат
5A0B800ACE1E537CF79B52A0D1 - вопрос
A5120695A09C5118088D72A8AB64331A96B1E4D2 - вот правильный ответ
5A0B80041E6855C3F5F0DCE1D6 - вопрос
A51206A58728AE08F07243A86ED563AD15C8D9E2 - вот повторный правильный
5A0B80045EB82EAB8066B9D2B6
A51206E0B4E8D460E5DE486884153DE7782E4E6E - и ещё
а вот неправильные сервисные
5A0B80D9C831D9C81C1D8429C1
A51206FA1A4CA5E46184DA2C5E52CFEE8CC2C6ED -непр
5A0B80D969E5C14C988C80350D
A51206243826E65DC2CD99E58489AEA94C7392BB - повтор непр
5A0B80D9C0FCFE119DE93DAE05
A51206724258A8B31FF0D8DB155DA9BB9B301860 - ещё

stasik007 добавил 23-04-2010 в 04:02
короче получается что для старта в сервисный режим на определённый вопрос батарейка должна чтото посчитать в себе и выдать правильный ответ
в нормальном режиме отвечает правильно на 5
а в сервисном - незнала да ещё и забыла - спрашиваем заново..

может Boryan прав - ответ выдаётся на основании содержимого еепром?

[ErikPshat]

А теперь бы опрос в сервисном режиме на "прошиваемой" 2000. Что происходит, когда PSP переходит в сервисный режим и запускается Пандора?

+

connect battery serial - 0x3C0FB5E8

00
5A02 01 A2
A505 06 100807 30

5A02 0C 97
A506 06 0F3CE8B5 66

5A0B 80 0A5EDD24BD1FAD1574 9F
A512 06 602E7B6CBAC1966E0F70A4BE1B71FBFC EA

5A02 01 A2
A505 06 100807 30

5A02 0C 97
A506 06 0F3CE8B5 66

5A0B 80 04E31135708809FDA7 48
A512 06 A3F83CAC4078B2CB762256D2586D6AC2 D9

5A0A 81 1DF1367BB45A90C7 F6
A50A 06 57A99BC4A88CA6E6 2B

5A02 01 A2
A505 06 000807 40

5A0B 80 04EC919942D764D38D 23
A512 06 30F2A3409FBDEAA7F15AAFEF25025792 57

5A0A 81 72C9F2DD336099E2 02
A50A 06 E511FC35CD8B54EF 88
00

SERVICE MODE
CONNECT BATTERY

5A02 01 A2
A505 06 100807 30
5A02 03 A0
A504 06 4510 FB
5A02 0C 97
A506 06 0F3CE8B5 66
5A0B 80 0A16A25E9ECDA0F776 82
A512 06 A988AACE43C2B3C06C4EE1730A8C31ED 5F
5A02 01 A2
A505 06 100807 30
5A02 03 A0
A504 06 4510 FB
5A02 0C 97
A506 06 0F3CE8B5 66
5A0B 80 043BA522830074830E 8C
A512 06 63A988C046B1BD68CC0CCFC8A1364A89 B9
5A0A 81 063324BAB902721A BC
A50A 06 D033449307161533 0B
00

[stasik007]

старт 2000 с пандоры одна бат
00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 08AAD03A1617A238FA 5D
A512 06 38B1550C9CF83626BCCBCA18C5E2011E D9
5A02 01 A2
A505 06 10C206 77
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 02B26658CB2E6348B3 51
A512 06 39C4E8996DABD8EF649D0463603E11BC 12
5A0A 81 63BA5F019B8B8DA0 4A
A50A 06 3EF0B6011DE658A7 63
5A02 01 A2
A505 06 00C206 87
5A0B 80 0254B4AFE6B3DB81FF 6D
A512 06 A73C59636F130E4983200DDACCD76543 F5
5A0A 81 0E71A4B3C0F890B2 4A
A50A 06 8CDB0B8F3B64061B 89
5A02 01 A2
A505 06 00C206 87
5A02 03 A0
A504 06 3B10 05
5A0B 80 02268DC91BF167EA8C B3
A512 06 2CE1019EB6547D4187B77C2C08A65818 CA
5A0A 81 9F10D5259E12633A 24
A50A 06 1DAB6E0E21281A04 9F
00
5A02 01 A2
A505 06 10C206 77
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 2302 2B
5A02 02 A1
A503 06 1C 35
5A02 04 9F
A504 06 42FF 0F
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 10C106 78
5A02 09 9A
A504 06 6002 EE
00

другая бат с панд

00
5A02 01 A2
A505 06 10D102 6C
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 08D01DFCAA272CAD20 5F
A512 06 2CE11932FF5B5816D04B6721FD6629A0 53
5A02 01 A2
A505 06 10D102 6C
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 028AB9100CCC0ACF33 E1
A512 06 5ECCFCDB3246513145E4140A8DC67A87 AC
5A0A 81 0121156A8DE16495 12
A50A 06 15C3EFE02474BF68 E4
5A02 01 A2
A505 06 00D102 7C
5A0B 80 0228C7E0178F0187D9 42
A512 06 B71EB127B929EAF7C72861EACD5A74C9 34
5A0A 81 61B04BD726877B44 7B
A50A 06 CE12588588086FD6 B8
5A02 01 A2
A505 06 00D102 7C
5A02 03 A0
A504 06 3F0E 03
5A0B 80 02AF033316C691740D 45
A512 06 52994E827FA3BF561EB2C43FAC866438 AF
5A0A 81 B3EF5FC497841E23 F9

[ErikPshat]

Интересно, что сразу на первый-же запрос 01 выдаются разные данные.
Вероятно у батареек есть какой-то идентификатор. Откуда он берётся?

Как я понял, и та и другая батареи переходят в сервисный режим.
Но в запросе с кодом 80 запрашиваются и возвращаются разные данные.
Вероятно здесь этот первый ответ влияет на эти данные.

Это может быть Vendor ID, типа завод изготовитель, партия, модель батареи или ещё что-то. Наверное это хранится в EEPROM. А может в контроллёре батареи.

Попробуйте серийник 00010001 - это положительный +1+1
А FFFFFFFF - это отрицательный -1-1

Во вложении, выложенный выше бинарник EEPROM и закладки HBK к нему.
Как смотреть и редактировать закладки, можно посмотреть здесь, если что.

[Ins|der]

5A0B 80 08AAD03A1617A238FA 5D A512 06 38B1550C9CF83626BCCBCA18C5E2011E D9

ответ 16 байт, по виду напоминает md5 хеш

[Saros]

есть такая табличка:

Text 0x80 data part : reply from battery 
00 00 00 00 00 00 00 00 00 : A5 12 06 31 A9 81 78 95 41 0C 63 4A 0F 0D B4 30 99 B0 26 71 
00 00 00 00 00 00 00 00 01 : A5 12 06 A7 AA C2 5F E1 ED 17 3E 7E 4F 9B 7D D7 E1 6F 1A 87 
00 00 00 00 00 00 00 00 02 : A5 12 06 F6 08 B1 51 5B 88 7D CF 86 C2 47 A7 1F 31 64 14 15 
00 00 00 00 00 00 00 00 03 : A5 12 06 11 2C 35 79 D3 E8 6E A5 31 42 DB 00 A2 5E 00 9E 9D 
00 00 00 00 00 00 00 00 04 : A5 12 06 C4 C8 8D FE B9 3E D3 3A 42 EA 8F 55 2E 0A F8 0F D8 
00 00 00 00 00 00 00 00 05 : A5 12 06 90 A3 50 6D 67 71 3F B8 FB 49 E1 C6 BD B6 AD EC 8C 
00 00 00 00 00 00 00 00 06 : A5 12 06 5A 57 BE 60 CD 95 07 83 01 6F 2D CA F0 10 05 80 9B 
00 00 00 00 00 00 00 00 07 : A5 12 06 A4 A9 A6 6F 01 5D 91 A3 37 C0 8A 07 B1 93 4B 5B DC 
00 00 00 00 00 00 00 00 08 : A5 12 06 18 F3 46 6E C6 3C D2 58 A5 D8 DE B0 CD AA F3 6C 76 
00 00 00 00 00 00 00 00 09 : A5 12 06 75 C3 88 58 0C 23 C8 8B 2F 5A 46 EF C9 17 3D A8 25 
00 00 00 00 00 00 00 00 0A : A5 12 06 BD 40 B2 CA 77 AA 15 14 35 09 D3 A3 FB 2C 39 98 D3 
00 00 00 00 00 00 00 00 0B : A5 12 06 0B 51 80 3E 2F 0E 07 87 B2 6B 54 B4 2E BC 26 EC 3C 
00 00 00 00 00 00 00 00 0C : A5 12 06 A9 7A A7 44 19 61 07 4F BD 86 A3 BD A3 57 86 E2 5F 
00 00 00 00 00 00 00 00 0D : A5 12 06 3E 46 97 E2 4D DE 5C D0 2D 51 7A E6 01 27 E6 06 FC 
00 00 00 00 00 00 00 00 0E : A5 12 06 9B DB 06 3D 89 56 89 99 AC E1 90 B5 61 E1 B5 90 2F 
00 00 00 00 00 00 00 00 0F : A5 12 06 10 D1 2E FD 71 30 22 72 B0 57 18 A5 00 8C 27 21 69

Если даже ответ - это МД5, то точно не от запроса. Может запрос + серийник или серийник + запрос... 100001 вариант...

Еще раз повторюсь про пару:

5A02 01 A2
A505 06 10D102 6C
5A02 0C 97
A506 06 FFFFFFFF 52
5A0B 80 028AB9100CCC0ACF33 E1
A512 06 5ECCFCDB3246513145E4140A8DC67A87 AC
5A0A 81 0121156A8DE16495 12
A50A 06 15C3EFE02474BF68 E4
5A02 01 A2
A505 06 00D102 7C

Это какой-то хитрый байт, говорящий о некоем статусе батарейки. Принудительно бы его занулить

[Ins|der]

Сообщение от Saros Если даже ответ - это МД5, то точно не от запроса. Может запрос + серийник

конечно не от запроса, иначе какой смысл
но запрос должен участвовать, так как ответ меняется

Ins|der добавил 23-04-2010 в 11:42

Сообщение от Saros Это какой-то хитрый байт, говорящий о некоем статусе батарейки. Принудительно бы его занулить

но даже после "зануления", следует ещё один запрос от приставки:

(psp3000 норм.)
5A02 01 A2
A505 06 00F502 58 - занулили
5A0B 80 045EB82EAB8066B9D2 B6
A512 06 E0B4E8D460E5DE486884153DE7782E4E 6E
5A0A 81 0FA1BEE2C2D3C401 70 
A50A 06 512457136FFD90B1 BE 
00

как на него-то ответить?

а вообще ты прав, комбинация 0610 --> 0600 универсальна для всех батарей, это неспроста)

----
вопрос: как проходит загрузка, если серийник 3000й батареи поменять на другой (не пандора)?

[Saros]

Сообщение от Ins|der вопрос: как проходит загрузка, если серийник 3000й батареи поменять на другой (не пандора)?

пост №98


Смысл зануления хитрого байта:
Акк же как-то умеет успешно общаться 0х80 0х81, занулив байт, при недоработке прошивки со стороны ЗЫЗ мы можем перейти к следующей итерации 0х80 0х81, которая может нормально прокатить.(а может и не может =) )

[Ins|der]

Сообщение от Saros пост №98

вот именно, что будет если на этой батарее поменять серийник (не затрагивая других данных)?

[ErikPshat]

Вот смотрите, вчера нам нужно было провести эксперимент на 3000.
Это было сделано и мы выяснили, что на 3000 в ответ приходил тот-же серийник, с той-же длиной, так-же 2 раза.

Смысл был в том, чтобы убедиться, не увеличилась ли длина и не беруться ли данные из другого места в качестве серийника. Однако выяснилось, что ничего не изменилось.

То есть, запрашивается тот-же серийник, такой-же 4-байтный и 2 раза. Мы это выяснили, т.к. если бы что-то изменилось с длинной или месторасположением, то мы бы получили в ответ другие байты из других мест или другой длины.

По моему, нас не должно больше ничего интересовать, как там приставка обрабатывает свои технические данные.

Теперь интересует другое. Получив сервисный номер FFFFFFFF, приставка должна как-то реагировать и начинать запрашивать сервисную флешку.
Вот интересует, после получения серийника, происходит ли разговор с флешкой, начинает ли поступать сигнал в картиридер или может сигнал идёт в USB (есть ещё порт под гарнитуру, куда тоже может происходить обращение). Ведь это так-же можно выяснить через терминал.

[Ins|der]

Сообщение от ErikPshat Смысл был в том, чтобы убедиться, не увеличилась ли длина и не берутся ли данные из другого места в качестве серийника. Однако выяснилось, что ничего не изменилось.

а если серийник сервисной батареи все же отличается по длине, как предположил Boryan?
не могли же они оставить ключ без изменений...

Сообщение от ErikPshat Вот интересует, после получения серийника, происходит ли разговор с ...

тоже вариант)

[ErikPshat]

Сообщение от Ins|der а если серийник сервисной батареи все же отличается по длине, как предположил Boryan? не могли же они оставить ключ без изменений...

Ну вот смотри сколько раз приходит в ответ один и тот-же серийник. И PSP всё неугомонно запрашивает и запрашивает серийник. Но если бы был другой серийник, то и в ответ бы приходил другой код, взятый оттуда, откуда запрашивается.

Я думаю, что серийник постоянно запрашивается, потому что идёт обращение к карте, но не находит нужный загрузчик и опять идёт обращение к серийнику и поять поиск загрузчика.

По идее в этот момент должен ощущатся некоторый интервал при выводе на терминал.

А вообще странно, что каждый новый запрос несколько отличается от предыдущего. Такое впечатление, что работает Соневский брутфорс

Сервисный запрос на 3000

https://www.pspx.ru/forum/showpost.ph...2&postcount=96

Сообщение от stasik007 3000 SERVICE MODE CONNECT BATTERY 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9C831D9C81C1D8429 C1 A512 06 FA1A4CA5E46184DA2C5E52CFEE8CC2C6 ED 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D969E5C14C988C8035 0D A512 06 243826E65DC2CD99E58489AEA94C7392 BB 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9C0FCFE119DE93DAE 05 A512 06 724258A8B31FF0D8DB155DA9BB9B3018 60 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9D1ECA4045198BFBD 77 A512 06 1D0D809D7165532B4215E6F4A1321F8F F5 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9E581B9AE4E48C04A D4 A512 06 0AE741F44C7B2BC7A05E9BF31890B44A 31 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9429979D16FCAB970 BA A512 06 ACCD4E05A1F8DE29C44ABC365F43F70C 31 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D94BFB64EF6F9221FF 87 A512 06 87E8DA93C57D7A279B5ACF3AECB6264D 70 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9FAD52E9C88F787C8 DA A512 06 0131E5A757321EC456CB7EAF286A3114 F4 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D92C4D5E2FCA0C19FA 52 A512 06 ECA0CFDF1F70DDAB19C8308DAA5D1359 E0 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D969C88730B8D6CE52 AB A512 06 4B4FAE9C29D5E9D830D258A79DE2B5C2 A8 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9FE55C83A54CA3FBC D3 A512 06 D274C8F7AA5A1C30EAAB1FCEBAE64D70 0E 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D98B805814E2783E37 FB A512 06 BD0CB4F6B29F55052212BF22D1CD5831 E8 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9E20139E8D8571987 6E A512 06 BFC3C400E76474E82880C0760B95F404 DF 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9AC01EC14CD3ECBD4 EA A512 06 12941D64AAD7FCA6D9112D917BD77D1C 65 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9595DB82326E74BAE AA A512 06 FDA8B9B77B284D99C2E1910AB85DBC9E F7 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D98B4BCE3CAD1E4396 BD A512 06 3E3FD172E2A2385731A5B371BD093FC3 AD 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9A242F580F8582E5E 0C A512 06 4EF14C7989B6320407C67003088DD84A D2 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D95C5693CDBF319110 9E A512 06 5E55D47B0513A8AE602CE8A413E1F6D1 FF 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D93BF6AE6DA1560F61 8E A512 06 E8B9E7AA81EE052FCD1772CF24ED3DE7 13 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D925BAFE264208B072 D2 A512 06 0C257BFF0719D301609E8046E152FC85 2B 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9B185F1453E41A71B 94 A512 06 DBA5449168C61901585AABF80FADDE12 A4 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D91CA99014E364D2D3 EC A512 06 EB7A6C62B5DD7063204F359A82693715 35 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9992CF94D557CF802 6B A512 06 D3FA891C236A18BD1362B95A4B7819CA 40 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9B30A03705CB1E3F9 28 A512 06 CA3A651C0BB0E78D9B1EA6DC78AC75C8 F2 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D986FA98B3F070CB1F 2C A512 06 108E4AA908BC42D1F4E523ECEFDB1E56 B4 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9661942E20888CE53 ED A512 06 6BB6CA77EC96E820DBF2483AB93BB662 FB 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9E8724B673F042F2A 99 A512 06 054B593FA194D01599B0CE00F13EE8D7 3B 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9430FB0B611BE45E3 92 A512 06 6CA78E5EF9455FB7248189359C8A9473 5F 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9617677D1B8CAEA22 94 A512 06 38CEA21B45D46DA4833E0D135A8657B0 8D 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D9B34F847D9232908C 5E A512 06 687C1F0DE0A87ECC2C5E52CFEE8CC2C6 B3 5A02 01 A2 A505 06 100707 31 5A02 0C 97 A506 06 FFFFFFFF 52 5A0B 80 D910DC394A2A11DE1D 9C A512 06 D3563ED3F1BC2990E58489AEA94C7392 08 00

[ANDPSP]

Интересно - старт сервисных батареек на двух консолях (так точнее :-))

2000
01 5A0201A2
02 A50506109B069E
03 5A020C97
04 A50606FFFFFFFF52
05 5A0B80083928B0F04C188233F8
06 A512063671EFA5D3322FD957FE8FD63C761B640F
07 5A0201A2
08 A50506109B069E
09 5A020C97
10 A50606FFFFFFFF52
11 5A0B8002D477A9CB839CDE2B31
12 A5120683AD3F2EEFA4816FAE048766A9CB5A4372
13 5A0A81886D025B877B4CCBAF
14 A50A060FC1B2AFCE4DEDAA67
15 5A0201A2
16 A50506009B06AE
17 5A0B80021AAF79B4CE9C7A0D31
18 A51206B93650DA26639A6A1FF746D24307F91813

3000
01 5A0201A2
02 A5050610070731
03 5A020C97
04 A50606FFFFFFFF52
05 5A0B80D9C831D9C81C1D8429C1
06 A51206FA1A4CA5E46184DA2C5E52CFEE8CC2C6ED
07 5A0201A2
08 A5050610070731
09 5A020C97
10 A50606FFFFFFFF52
11 5A0B80D969E5C14C988C80350D
12 A51206243826E65DC2CD99E58489AEA94C7392BB
13
14
15 5A0201A2
16 A5050610070731
17 5A020C97
18 A50606FFFFFFFF52

почему сразу сменился байт 06 на 07 ? что корректирующий байт не один а два? вряд ли...
потом 11 и 12 строчка - запрос и ответ - что то видать не понравилось и поэтому нет 13 и 14 строчки как в 2000 и соответственно нет обнуления в 16 строчке и вместо дальнейшего общения опять идет запрос серийника....

[ErikPshat]

Сообщение от ErikPshat Сервисный запрос на 3000: спойлер

Вообще странно, что на такой серийник FFFFFFFF, программа не продолжает выполнятся, как в обычном случае, а зацикливается на этом.

Причём код 80 явно связан с серийником.
А после 80 почему-то всегда в 9-байтном запросе идёт вначале D9

Отсюда я предполагаю, что здесь код запроса идёт не 80, а 80D9, а далее идёт 8-байтная команда.

Сообщение от ANDPSP Интересно - старт сервисных батареек на двух консолях (так точнее :-))

ANDPSP, а батарейка одна и та-же? А то может мы обмозговываем результаты от разных батареек, так конечно ни к чему не прийдём.