Обсуждение взлома батарейки Пандоры PSP-3000...

[Boryan]

Решил я развеять слухи о том что зыза 3000 преходит в сервисный режим с порта USB. Во первых, что бы активировался порт USB должен стартануть ЦП..., а он ну ни как не может это сделать на брикнутой консоли Далее я просто зацепил крутой осциллограф к среднему выводу батарейки пандора и воткнул её в 3000 брик и записал их разговор. Известно, что со старой батарейкой 3000 не стартует....но ....смотрите сами http://www.youtube.com/watch?v=T4mQofU37sg, что записал осциллограф. Короче зыза общается с батарейкой упорно на предмет получения ключика для перехода в сервисмод. Делаем выводы....нужен ключик для перевода 3000 в сервис мод, но, он не FFFFFFFF.....а какой? какие будут предложения по подбору ключика? Кто силён в написании прог под винду. Нуно сварганить прогу что бы она по USB через микруху МАХ232 эмулировала флешку батарейки ....со всеми вытекающими последствиями. А точнее сгенерила ключик и дала команду электронному ключу на вкл батарейки....посмотрели... нет сервисмод у 3000....отключаем батарейку...генерим новый ключик ...и так далее до победного конца. Кто готов написать такую прогу? Электронную начинку я беру на себя .

Boryan добавил 20-04-2010 в 11:33
народ давай подтягивайтесь в тему. неужели не интересно мозгами поработать? Мои мысли по поводу батарейки для 3000....что могли в ней изменить Сони? Применить другой ключик...слишком просто...перебрать 4 байта учитывая что код только может быть типа 0хAA AA AA AA или 0хАВ АВ АВ АВ, это не сложно. Это не в правилах Сони...уж если рубить концы, то конкретно. Я думаю что они тупо увеличили код до 8 байт, и он так и остался 0хFF FF FF FF FF FF FF FF. Что это даёт? Во первых, процессор стандартной батарейки не может дать зызе код длиннее 4 байт, а вот их специальная батарейка может выдать код длинной 8 байт. В итоге... и волки сыты и овцы целы... Мужики, подумал я тут и понял эмулировать флешку батарейки пока рано. Нужно написать прогу снифер под винду, ну типа писать протокол обмена с батарейкой. Записать один протокол с 2000 а второй с 3000, и сравнить команды запроса на серийник, если они одинаковые то возможно ключик так и остался 4 байта, и тогда перебор нам поможет. А вот если разные...то нужно думать как заставить батарейку выдать 8 байт.....или тупо заставить прогу снифер поработать за батарейку и отвечать за неё ...ведь если будет записан протокол, то что нам составит труда выплюнуть его обратно с нужным нам ключиком?

Кто силён в написании таких прог?

Терминал PSP-2000

// Вот разложил поточнее, что выложил stasik007:

/* Старт с нормальной батарейкой серийник 4f 20 df 89

Подключаю батарейку:

00
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 08364CAFF8EFE8E9A5 84
A512 06 EFDDEDA268B1F15CF705F1F16FFADDE2 7B
5A02 01 A2
A505 06 10C206 77
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 02129A117169ADE46F 81
A512 06 CEE3A231846B7A3CACC16A81AE99A14F 8A
5A0A 81 08EC25077C96EB55 A8
A50A 06 3D71D0DDA5AC498D C8
5A02 01 A2
A505 06 00C206 87
5A0B 80 0208FA21BD9B0CF433 6A
A512 06 649C9CC965D9AA823804FA537F84ADC7 73
5A0A 81 0A99549CC666111A 30
A50A 06 1DF65042207C3621 B2
00

Включаю приставку:

5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 082ED10418C5A517A7 CF
A512 06 956EC42197FA58395A3D01B7EBB74C36 C5
5A02 01 A2
A505 06 10C206 77
5A02 03 A0
A504 06 3610 0A
5A02 0C 97 - запрос серийника
A506 06 204F89DF 77 - серийник
5A0B 80 0265727014369503DA 15
A512 06 D3D208AC828AC4285A1F1BE8389276A2 93
5A0A 81 62861C9CE0618781 31
A50A 06 3E02027DA5B052A3 41
5A02 01 A2
A505 06 00C206 87
5A02 07 9C
A504 06 0807 41
5A02 0B 98
A504 06 0F00 41
5A02 09 9A
A504 06 0104 4B
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 9AFF B7
5A02 03 A0
A504 06 3110 0F
5A02 01 A2
A505 06 00C206 87
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
5A02 04 9F
A504 06 81FF D0
5A02 03 A0
A504 06 2C10 14
5A02 01 A2
A505 06 00C106 88
5A02 03 A0
A504 06 2C10 14
5A0B 80 028C1358AFF19A5594 FE
A512 06 903ECAB191ACE9B53336455CD35DC860 BC
5A0A 81 9F3777774C64553C 15
A50A 06 64D75EC38A197E7B 52
5A02 01 A2
A505 06 00C106 88
5A02 09 9A
A504 06 3603 17
5A02 02 A1
A503 06 1B 36
00
*/

Расшифровка кодов

Код   Описание                   Данные  Ответ от батареи     Примечание

0x01  запрос оставшегося заряда   нет    energyleft_mAh:u16                                         
0x02  запрос температуры          нет    temperature:u8       cercius degree, min/max value unknown 
0x03  запрос напряжения           нет    voltage_mV:u16        
0x04  запрос тока                 нет    current_mA:short     positive if charging battery 
0x07  запрос ёмкости              нет    capacity_mAh:u16 
0x09  запрос оставшегося времени  нет    timeleft_min:u16     XMB showing not this value 
0x0c  запрос серийного номера     нет    serialno:u32         suspected 
0x80  запрос аутентификации?      9byte  16byte               encrypted data/reply 
0x81  запрос аутентификации?      8byte  8byte                encrypted data/reply

0x05  ответ от батареи            нет    NAK, BCC error and so on?? 
0x06  ответ от батареи            да     ACK, with reply data

Данные терминала с батарейки FAT-1800mAh во всех режимах на PSP-2000 и PSP-3000


Во вложении:

1. "psp_bat" программа от dn3d по преобразованию ответов терминала в читабельный вид:
   • Копируете весь код терминала в верхнее мемо поле и нажимаете "Convert".
   • "Save to txt" - сохранить результат в txt файл. Все лишние символы и пробелы удаляются автоматом.
2. "Open Source Pandora Battery Tool 0.60" - программа для FULL-дампа/записи флеш EEPROM батареи и смены серийников (режимов).

EEPROM DATA Battery

EEPROM.png

[stasik007]

1.БАТАРЕЙКА ФАТОВСКАЯ
2.ПОДЗАРЯД ПРИ СМЕНЕ РЕЖИМОВ БАТАРЕИ БЫЛ, ПОСКОЛЬКУ ЗЫЗА НА КОТОРОЙ ПЕРЕШИВАЛ ПИТАЕТСЯ ОТ ЗАРЯДКИ
3.ПОСЛЕДОВАТЕЛЬНАСТЬ ТАКАЯ КАК ВЫЛОЖЕНО - СНИМАЛ И СРАЗУ ВЫКЛАДЫВАЛ

[Boryan]

ErikPshat, Ты ошибочно думаешь что после запроса к батарейке ЗЫЗА ищет флешку... Для того что бы она опросила карту ,ей нужно стартануть контроллер питания и зажечь зелёный светодиод. Она этого не делает. Ещё раз скажу что ЦП одинаковые и в 2000 TA88V3 и во всех 3000..И соответственно процедура старта в сервисный режим одинаковая. По непроверенным слухам, вроде в своё время дател выкладывал дамп батарейки пандора 3000 и мой знакомый проверял его и 3000 действительно стартовала с такой батарейки. Тогда было много шума вокруг дател...и службы безопасности Сони быстро прихлопнули ссылки на этот дамп. Мой знакомый успел его ухватить.....но и просрать тоже сумел Хард у него гикнулся...Я его спрашивал что бы он вспомнил что было изменено в дампе....Он говорил что байты сервисного серийника FF были на месте....менялось что то другое. Не могу сказать что мой знакомый говорит правду.....но что то похожее на правду может и есть. Ведь 3000 реагирует на FF и ей просто нужно что бы батарейка себя дальше правильно назвала...а этого не происходит...

[Ins|der]

Сообщение от stasik007 БАТАРЕЙКА ФАТОВСКАЯ

хорошо бы ещё slim пандору погонять

Boryan, ого
с сервисным дампом дело бы веселее пошло

[ErikPshat]

Сообщение от Ins|der тогда уж C0 - заряд, так как второй байт не меняется)

Не, байты записываются задом наперёд, поэтому первая цифра с конца не меняется.

Например:

• C006 = 06C0 = 1728 mAh
• C306 = 06C3 = 1731 mAh
• BF06 = 06BF = 1727 mAh

Поэтому эти разные данные можно списать на погрешности кол****ия тока. А то, что от фатки батарейка, я и предположил, потому что у неё 1800 mAh по стандарту, а у Слимки 1200 mAH.

Boryan, батарея Дател под 3000 - это был фейк.

[ANDPSP]

Сообщение от stasik007 1.БАТАРЕЙКА ФАТОВСКАЯ 2.ПОДЗАРЯД ПРИ СМЕНЕ РЕЖИМОВ БАТАРЕИ БЫЛ, ПОСКОЛЬКУ ЗЫЗА НА КОТОРОЙ ПЕРЕШИВАЛ ПИТАЕТСЯ ОТ ЗАРЯДКИ 3.ПОСЛЕДОВАТЕЛЬНАСТЬ ТАКАЯ КАК ВЫЛОЖЕНО - СНИМАЛ И СРАЗУ ВЫКЛАДЫВАЛ

Стоп.... во всех вышеперечисленных экспериментах была одна и та же батарея от фатки ????? тогда точно непонятны различия в предпоследнем байте - чаще это 06 но мы видели и 07 и другие значения...

[pronvit]

Сообщение от ANDPSP Стоп.... во всех вышеперечисленных экспериментах была одна и та же батарея от фатки ????? тогда точно непонятны различия в предпоследнем байте - чаще это 06 но мы видели и 07 и другие значения...

ну так и чего, это же текущий заряд, максимум 1800, то есть 08 07, любые значения до этого максимума могут быть

[ANDPSP]

Сообщение от ErikPshat Не, байты записываются задом наперёд, поэтому первая цифра с конца не меняется. Например: C006 = 06C0 = 1728 mAh C306 = 06C3 = 1731 mAh BF06 = 06BF = 1727 mAh Поэтому эти разные данные можно списать на погрешности кол****ия тока. А то, что от фатки батарейка, я и предположил, потому что у неё 1800 mAh по стандарту, а у Слимки 1200 mAH. Boryan, батарея Дател под 3000 - это был фейк.

Все прально, Эрик прав - максимально что мы видели это 0707 (1799) - полностью заряженный аккум....

Значит с первым запросом разобрались - возвращается флаг и уровень заряда, можно провести эксперимент - разрядить до максимума и попробовать вставить - наверное после первого запроса-ответа больше ничего не будет....

[ErikPshat]

Надо проверить на батарее от слимки. Если будет в пределах XX04, значит точно ёмкость батареи.
Или разрядить батарейку.

Кстати, а где дамп памяти самой батреи?
Нужно ещё снять дамп заряженной батареи, а потом разряженной.

[Boryan]

ErikPshat,

А вообще странно, что каждый новый запрос несколько отличается от предыдущего. Такое впечатление, что работает Соневский брутфорс

Блин.....а может это так и есть...и может после ответа батарейки 0хFFFFFFFF.....на следующий запрос от зызы она должна дать ответ 0хFFFFFFF1.....на следующий 0хFFFFFFF2......или что то в этом роде....нафига она посылает столько запросов? Попробую ради интереса поставить на 3000 проц с TA88V3 и снять лог....хотя процы одинаковые ...но мало ли....так на дурака....Хотя по 2000 могу сказать что зыза переходит в сервисный режим и зажигает зелёный светодиод даже с выпаянным ЦП...а это говорит о том, что ЦП тут не при делах

[Ins|der]

Сообщение от ErikPshat байты записываются задом наперёд, поэтому первая цифра с конца не меняется.

не знал этого
тогда все логично)

Ins|der добавил 23-04-2010 в 18:05

Сообщение от Boryan зыза переходит в сервисный режим и зажигает зелёный светодиод даже с выпаянным ЦП...а это говорит о том, что ЦП тут не при делах

так кто же все-таки опрашивает батарейку?
я думал, здесь схема вроде ЦП - контроллер питания - батарея - ЦП

[Saros]

Сообщение от Boryan ErikPshat, Блин.....а может это так и есть...и может после ответа батарейки 0хFFFFFFFF.....на следующий запрос от зызы она должна дать ответ 0хFFFFFFF1.....на следующий 0хFFFFFFF2......или что то в этом роде....нафига она посылает столько запросов? Попробую ради интереса поставить на 3000 проц с TA88V3 и снять лог....хотя процы одинаковые ...но мало ли....так на дурака....Хотя по 2000 могу сказать что зыза переходит в сервисный режим и зажигает зелёный светодиод даже с выпаянным ЦП...а это говорит о том, что ЦП тут не при делах

Она посылает ровно 31 запрос, столько же сколько при изолированном контакте. Т.е. в результате ошибка ЗЫЗа пробует все повторить 31 раз.

[Ins|der]

Сообщение от Saros в результате ошибка ЗЫЗа пробует все повторить 31 раз.

и при этом каждый раз разный вопрос)

[ErikPshat]

Вот ещё интересные данные из EEPROM батареи, выложенного здесь.
Там с самого начала идёт структура, схожая с серийником:

• 0807FFFF320DFFFF - какие-то данные: 07080D32
• 3412FFFF7856FFFF - серийник батареи 12345678

Но таких цифр в логах терминала не заметно. Если это хедер, то должен быть какой-то идентификатор.

Скрин

[pronvit]

Сообщение от Ins|der и при этом каждый раз разный вопрос)

разные вопросы при командах 80/81. я полагаю, что это могут быть вообще случайные просто данные. например, на их основе батарейка по неизвестному (нам) алгоритму вычисляет ответ, псп сравниваем с тем, что должно быть и понимает, что это оригинальная батарейка. или, например, если ответ оказывается каким-то особым, то стартует в сервисном режиме.

[Saros]

Сообщение от Ins|der и при этом каждый раз разный вопрос)

при изоляции - да.
при 3000 с FFFFFFFF - тоже. пытается заново начать протокол. 01, 0С, 80, 01, 0С, 80.......
А запросы 80 - всегда будут разные, в этом и прикол.

[Boryan]

Сообщение от Ins|der не знал этого тогда все логично) Ins|der добавил 23-04-2010 в 18:05 так кто же все-таки опрашивает батарейку? я думал, здесь схема вроде ЦП - контроллер питания - батарея - ЦП

Батарейку опрашивает SYS CON такая мелкая микруха ....я про неё писал в начале ветки

[ErikPshat]

Судя по логу, то микруха:

1. Идёт запрос статуса и оставшиегося заряда батареи.
2. Затем идёт сразу запрос серийника.
3. В третьих посылается код 80 с 9-байтными данными, я думаю, сгенерированными на основе предыдущих двух, ведь больше никаких данных не получалось.
4. Получает 16-байтный ответ, думаю контроллёр батареи что-то тоже решает, ксорит, складывает.

Теперь вся процедура повторяется и на основе предыдущих данных, генерируются новые данные.
После выполнения второй процедуры идёт запрос по коду 81 трижды и происходит запуск сервисного режима, если всё сходится.

[stasik007]

может поможет..:
мне попалась китайская батарейка Slim из тех что не пандорится..
её ктото пытался сделать пандорой и попортил флеш - такая батарейка не стартует и внешне кажется что она мёртвая - подключил - оказалость есть базар. Его к сожалению не сохранил . Но что интересно - меняю серийник на фффффффф и на 80 вопрос батарейка начинает отвечать данными 000000000000000000000000! и заново всё 31 раз

5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9694DA952170023D482A5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D91F4EC2EC55CFA4332BA5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D999A2FFBBBA502E61B3A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9515B5D2483
2CF985E7A5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D95B885CCB74321C88EDA512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D95DBEEAE9C0DE507FE6A5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D9F26E3A12BBEF91BD9DA5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D9B4E12D40C8B17D74D5A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9789AFE976A
89CA716CA5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9318C97903BA70098E3A512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9460321D1C0A3E7E1DBA5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D97EABD84C3F277A0212A5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D918A32E675E64961E7BA51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9FE23127E8A
C5F5EE5EA5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9F154918AFFCB673D73A512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D99A42330B064CCF40C6A5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D9519ECCC19DE966CD0CA5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D94F896D7019E9962FC5A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D93ABEDDD8EB
A2F20A0BA5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9F7AF730F5ABF0751A8A512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D948D67BA29D86D59E70A5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D9FE685E8E28791873C3A5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D9FBDEDEEABC5F7BC644A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9E655AF9BD7
6454B17CA5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9B64C5EA8BEC51FC1D6A512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D915BCF27206B0E4561CA5121500
000000000000000000000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A
0B80D94E23C82565E1463621A5121500000000000000000000000000000000335A0201A2A5050610
1800275A020C97A50606FFFFFFFF525A0B80D982F4E2158FDED26F26A51215000000000000000000
00000000000000335A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D90911488311
6AF906E2A5121500000000000000000000000000000000335A0201A2A50506101800275A020C97A5
0606FFFFFFFF525A0B80D9F30FE384751BB3385DA512150000000000000000000000000000000033
5A0201A2A50506101800275A020C97A50606FFFFFFFF525A0B80D9A5DDE6225A479FADCAA5121500
0000000000000000000000000000003300
поменял серийник на нормальный
005A0201A2A50506101900265A020C97A50606502E83321B5A0B800A8BB33A94C44AFC5AA0A51206
02859BEA802ABFBCB2934AB16421BFA7E65A0A81A183B92026B6B9C6C2A50A06C552AC9C318ABCBF
B55A0201A2A50506001900365A0B800AF1D48330A89EABEDBAA512068B1B8F0FD0DAF66F86398CF6
5C9D04FCB55A0A815E7B4F148F74840D4AA50A0650FD5E2647B491D61700
пытаюсь включить
4B6060F45A0201A2A50506101900265A020C97A50606502E83321B5A0B80044F5A13BA597A9C4DE4
A5121500000000000000000000000000000000335A0201A2A50506101900265A020C97A50606502E
83321B5A0B800A110C156DD13DC4D6C9A512063B68A7F730A9BCD3918821D179655DBA995A0A81E4
F916434E111D0464A50A0641B02DCB7EA39A901600


ещё раз напоминаю - это не рабочая батарейка - НО РАЗГОВОР ИНТЕРЕСНЫЙ!!!

вот хекс батарейки
E204FFFF5C10FFFF0A0028004100502EFFFF8332FFFFFFFFFFFFFFFFFFFFFFFF05000000FFFFFFFF FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF030041021A03C9FF7F027F02FFFFFFFF FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFBA046400A00016002000320030026A27D72675224B1F3993 FFFFFFFFFFFFFFFF01000000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF FFFF5039741466140100020003003E9D

[Ins|der]

Boryan, ErikPshat, таким образом, схема следующая:

микросхема sys con (на плате) - контроллер батареи (в батарее) - флешка eeprom (там же);
затем проверка на вшивость, если батарея сервисная, sys con переводит контроллер питания (на плате) в сервисный режим, если стандартная - в штатный.

другими словами, все что мы видели - разговор микрухи с контроллером батареи, я правильно понял?

Ins|der добавил 23-04-2010 в 19:51
stasik007, а что она ответит на вопрос 80 при запуске со стандартным серийником?
тут вроде логично, поскольку батарея паленая, она просто не знает как отвечать, а родная "псевдосервисная" отвечает, но не то, что приставка желает услышать (значит заложены соответствующие инструкции).

[Boryan]

врага нужно знать в лицо Это системный контроллер с TA88V3 на ТА90 он меньше размером....он и отвечает за всё....сейчас нету под рукой разобранной 3000


Boryan добавил 23-04-2010 в 19:57
Ins|der, да именно это разговор sys con с контроллером батарейки

Boryan добавил 23-04-2010 в 20:03
stasik007, Сделай из китайской дохлой батарейки аппаратно пандору...оторви питание флешки ....и вставь её в 3000 и лог их базара сюда выложи....Странно как аппаратная пандора вообще работает если в ней флешка оторванна....ведь помимо FF во флехе ещё много чего сидит...а если она оторвана то что читает контроллер батарейки?

Boryan добавил 23-04-2010 в 20:08
И какой то он тупой этот контроллер при всей своей навороченности и крутости ..не видит что у него флеху отрывают..и продолжает работать