Обсуждение взлома батарейки Пандоры PSP-3000... - Страница 77

Boryan · 20.04.2010, 11:38

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли

Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

Расшифровка кодов

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000

Во вложении:

"psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
- Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
- "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
"Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

**vit9696** · 24.01.2011, 18:38

Борян - давай, мы в тебя верим! Даже если не выложишь дампы в паблик, ты молодец, а также и все кто помогал тебе в этой теме.....

Boryan · 24.01.2011, 19:20

Сообщение от ErikPshat

Boryan, молодец! Как вытащишь, дашь посмотреть на внутренности?

ага

тока пока чота не айс....пропуск байт идёт и ошибок много..весь день ковыряюсь башка кругом уже...

Boryan добавил 24.01.2011 в 19:20

Сообщение от vit9696

Борян - давай, мы в тебя верим! Даже если не выложишь дампы в паблик, ты молодец, а также и все кто помогал тебе в этой теме.....

Паблика есно не будет по простой причине..Сони не должна знать что мы вытащим...иначе возможна смена алгоритма в ТА93...у меня есть подозрение что сискон в 93 перешиваемый.....и тогда всё заново....не зря они девайс по переводу в сервис привязали к нету...они то и сискон и алгоритм в девайсе могут махнуть, а мы фиг с маслом получим....Ну а своим, кто в теме есно дамп будет дан.

**Alex14435** · 24.01.2011, 19:26

Сообщение от hax0r

Boryan,хорошо) Тогда удачи) Надеюсь все получится)
Я уже собирался официальный софт качать от неков для этого чипа, даже уже начал, но из-за особенностей местного интернета(не в москве сейчас) это весьма и весьма затруднительно..
В Москве буду на следующей неделе во вторник... думаю, докачаю нековский софт, может пригодится..

Ты про этот софт?
http://www.eltech.spb.ru/nec_mk.html?id=40
Пока что другой не нашел, ищу дальше. Если требуется, скачаю, пережму и кину на слил

Saros · 24.01.2011, 19:27

Уффф, ну вы тут и понаписали =) Интересные дела творятся... Как раньше и писал где-то в начале темы - буду рад помочь в реверсе дампа.

Boryan · 24.01.2011, 23:47

Saros, мы это помним

hax0r · 25.01.2011, 07:01

Сообщение от Alex14435

Ты про этот софт?
http://www.eltech.spb.ru/nec_mk.html?id=40
Пока что другой не нашел, ищу дальше. Если требуется, скачаю, пережму и кину на слил

Да, про этот. Это все существующие официальные инструменты от NEC и IAR. Там компилятор, симулятор и дебагер. Есть еще софт для официальных программаторов, которых всего два: minicube и еще какой-то, не помню название.
В процессе поисков натыкался еще на форум разработчиков-любителей устройств на основе чипов NEC, но пошарить в нем на предмет чего-нибудь полезного не было времени пока что...

hax0r добавил 25.01.2011 в 07:01
Boryan, еще раз желаю удачи. Надеюсь все получится.) Скрещу за вас пальцы

Boryan · 25.01.2011, 11:55

hax0r, могу кинуть код которым тащим прошиву...попробуешь реверс сделать и разобраться что и как? Ну для будующего типа...

потренероваться на кошках?
Кто ещё хочет пореверсить "сливальщик" и потренероваться ..отпишитесь здесь

**Alex14435** · 25.01.2011, 12:45

А где ты взял сливальщик что не имеешь исходников?

Boryan · 25.01.2011, 13:01

Сообщение от Alex14435

А где ты взял сливальщик что не имеешь исходников?

Не задавай глупых вопросов....я код даю для того что бы люди сделали реверс и попытались разобраться в в прошивке....а в исходниках и дурак разберётся. Тренировка на кошках...Ведь далее будет чистый код ( без исходников) с памяти нэка ...и как ты его будешь дербанить? без тренировки? Вот я и организовываю тут тренировку..

hax0r · 25.01.2011, 15:33

Boryan, давай попробую)

Saros · 25.01.2011, 17:29

и мне )

Boryan · 25.01.2011, 18:25

hax0r,
Saros,
уже в личке

hax0r · 25.01.2011, 18:43

Boryan, ок, спасибо)

Saros · 25.01.2011, 22:32

Штудирую мурзилки по нэкам. Пока вот что вижу в бинарнике.:

public __RESET()
{
     двигаем стек в Soft Memory Space 0FF00h
     работаем с Port 2
     чистим его
     Print1( 0x55) 
     Print1(0x55) 
     Print1(0x67) 
     Print1(0x77)
     HL=0;

     while(*(BYTE*)HL!=0x60)
     {
            Print1 *(BYTE*)HL
            HL++;
      }
}
public Print1(BYTE A) 
{
     for(int i=0;i<8;i++)
     {
           тут вобщем все побитово запихиваем в порт 2
     }
}

Boryan · 25.01.2011, 22:38

Saros, уже теплее

Saros · 25.01.2011, 23:10

hax0r, а как http://www.eltech.spb.ru/nec_mk.html?id=40 это инсталлировать? Там какой-то Product ID хочет, все уже перепробовал вводить =\
хотелось бы поставить компиль чтоб базовые конструкции освоить и особенности асма под нэки, так быстрее будет, чем по мурзилкам

Boryan · 25.01.2011, 23:17

Saros, желательно регится на ренесансе и качать всё оттуда и на мыло коды ид автоматом пришлют

Saros · 26.01.2011, 00:22

Компилятор без ГУИ

hax0r · 26.01.2011, 11:16

Boryan, на ренесасе чтоб скачать что-нибудь, сначала надо купить это что-нибудь... просто так скачать не дает, я уже пробовал. а вот ID можно там посмотреть.

hax0r добавил 26.01.2011 в 11:16
Подсказка: Дизасмить лучше в IDA Pro. Она поддерживает инструкции NEC на наши чипы.

Boryan · 26.01.2011, 11:39

hax0r, на ренесансе весь софт бесплатный ..нужно просто зарегится на реальное мыло туда ид прог будут приходить....см внимательнее их сайт ...не я один качал ..там всё бесплатно поверь