Сони защитили загрузку с стика но слабо, брутфорсом ломанули четыре байта подписи и привет, пандора :)

Хочу увидеть общение запандоренной батарейки и 3000-й консоли, там будут 80 и 81 запросы и ответы,

это общение фатки и запандоренной батарейки, консоль выключена, внешние питание подключено...

Плохо одно - что в таких режимах консоль не запрашивает серийник батарейки вообще и у меня сложилось мнение что серийник запрашивается только один раз - при вставке батарейки... а это фигово для экспериментов - каждый раз нужно будет вытаскивать батарейку и вставлять заново или делать прерыватель по питанию какой то...

Кстати да, серийник запрашивается 1 раз и после этого консоль уходит в сервис мод (если речь про 1000,2000) потом если включать выключать консоль - она все-равно будет считать батарею запандоренной (даже если в процессе использовать утилиту по смене серийника и сделать ее обычной (если речь про 1000 где это легко делается програмно).

Т.е. действительно если мы хотим получить сервисный режим на 3000 то скорее всего нужны последовательности при первом знакомстве псп и батареи (т.е. процесс вставки батареи в псп без подключенной зарядки (если есть зарядка то в этом случае псп помнит серийник батареи)).

И лучше если это будет батарейка от PSP-3000...

Нужны логи с батареек, 2000 и 3000
80080000000000000001
80080000000000000010
80080000000000000011
80080000000000000100
80080000000000001000
80080000000000000111
80080000000000001111
только эти, других не надо.
китайские тоже не пойдут..
спасибо.

Не понял... они сейчас все китайские... или тебе именно батарейки, которые в комплекте с консолями идут, нужны ? типа SP-110 или как они там маркируются... или ты старые батарейки от фаток имел ввиду ? Уточни плиз... просто моя толстая батарейка на 1800 mah PSP-110 тоже Made in China....

ANDPSP, да не, китайскими называют не выпущенные в Китае, т.к. щас всё выпускается там, а имеются ввиду неоригинальные, т.е. те, которые сделаны в подвале и называют подделками.

С каких батареек нужны логи? Точнее скажи. Батареек много у меня...есть и японские...но в основном китайские но официальные от сони...есть батарейки от 2000 которые пандорятся програмно....есть от 3000 которые не пандорятся и у них убрали 13 и 14 команду....какие логи нужны ?

Boryan добавил 20-05-2010 в 21:50
начну вот японских ....одна из них пандорится программно другая без 13 и 14 команды...вот они
http://s41.radikal.ru/i092/1005/ff/dbf7b01e752et.jpg

Японские точно пойдут..)
если у них еепром не сдернут, то пойдут
для логов несмотря на серийники.
Вообще. нужны 300х совместимые батарейки,
про старые батарейки. больше для интереса спрашиваю..
первые 8 байт в ответе на нормальных батарейках одинаковые.

И так логи с батарейки у которой нет 13 и 14 команд. Делал по три запроса на каждую команду с паузой 1 сек


Boryan добавил 20-05-2010 в 22:03
lport3, Это 100% 3000 совместимые батарейки и они не старые а новые.

Boryan добавил 20-05-2010 в 22:17
Сколько запросов делать одной командой? Сейчас начну снимать лог с которая пандорится

Boryan добавил 20-05-2010 в 22:21
Но одно пока озадачивает ...не нашёл не одной батарейки (среди огромной кучи) которая умеет отвечать на 80D9.......походу это и есть секрет пандоры 3000....уметь правильно ответить на этот запрос...И сдаётся мне что активация этого ответа зарыта во внешнем епроме контроллера батарейки....иначе каков смысл закрытия доступа к епрому в новых батарейках?

Boryan добавил 20-05-2010 в 22:25
лог батарейки которая пандорится


Boryan добавил 20-05-2010 в 22:27
lport3, ты давай не стесняйси :) я пока у компа с к-лайн и кучи батареек сижу ....давай команды что делать :) Щас забабахаем :)

Нет, этих логов "за глаза". :good:

ОК ....нуууу....ты ежели чего...заходи (с) :)))http://www.youtube.com/watch?v=4EOcFKipLf0

Boryan добавил 21-05-2010 в 00:07
lport3, Мысли есть какие по поводу 80D9? как на неё отвечать? Алгоритм тот же что и в 80хх как думаешь?

При реализации протокола надо учитывать узость
канала, низкую процессоемкость микроконтроллера в батарейке...
Принимает пакет и обрабатывает одна и та же процедура,
направляющие при этом первые два байта, 8008,80д9...
Судя по куче логов в топике таких направляющих много всяких разных,
и городить для каждого подпрограмму нереально, значит все они
обрабатываются одинаково. Ну а направляющие ( - #8000) это либо
адрес, либо ключ, либо адрес ключа.
Второй 8 байт блок для синхры времени, скорее всего передается один
раз, как добавочный пакет. Возможно, без него будет тоже работать..

Вот завтра отдам ребятам
ErikPshat,
ANDPSP, девайсы к-лайн и надеюсь работа ускорится..А то пока ты один реально копаешь ....ну и я мальца в меру своих знаний...нас уже четверо будет..а это уже сила:) жаль что больше ни кто не хочет этим заниматься...
Но после 80хх есть ещё 81....что про неё скажешь?

Boryan добавил 21-05-2010 в 01:12
ну и на всякий случай логи по твоему алгоритму но 81 команда

Можешь сделать так же только 8009...
То, что ты снял с 81й команды интересно, не думал, что батарейка может
ответить на такое.
Одинаковые запросы но разные ответы..хм.

лови :) 8009

Boryan добавил 21-05-2010 в 01:37
дык если ломанём 80хх то за ней идёт запрос 81хххххх....и только потом зыза дружит с батарейкой :(

Boryan добавил 21-05-2010 в 01:39
а вот ещё 81 команда но одни 0000 и ответ одинаковый

Boryan добавил 21-05-2010 в 01:43
а вот лог 81 команды по твоему алгоритму с японской батарейки :)

Boryan добавил 21-05-2010 в 01:49
короче ипонские батарейки на 81 команду отвечают всегда одинаково....китайцы всегда по разному....и в обеих случаях зыза хавает ответы на 81 команду....вот лог и брут и всякая смесь в 81 команде на японской батарейке....ответ один :)

Boryan добавил 21-05-2010 в 02:00
не батарейки а сплошная загадка....две нулёвые 1цикл заряда..батарейки японские на 81 команду стабильный статический ответ на разные значения 8 байт команды...при чём вставлял их в зызы играл на зызах и потом только снимал логи.....такие же японские батарейки но уже поработавшие в зызах с неизвестным циклом зарядов.....дают разные ответы на 81 команду....бредятина какая то....это то нафига?

Boryan добавил 21-05-2010 в 02:19
ППЦ как вставил японскую батарейку с кодом FFF в 3000 и она есно запросила 32 запроса....батарейка на 81 .....стала отвечать....динамически.....Вставлял японскую батарейку с нормальным серийником в 3000....включал зызу ....потом 81 команда ..брут ...ответ одинаковый статический....что за хрень такая? Выходит 80D9 как то связанна с 81 командой? и после 32 запросов 80d9.....ответы на 81 команду динамические....

Boryan добавил 21-05-2010 в 02:28
Продолжаю мучить батарейку....81 запрос+брут... ответ динамический. Разбираю батарейку....отрываю батарейку от контроллера и снова подключаю...тем самым заставляя работать контроллер с чистого листа....81 запрос+брут ...ответ статический...

Boryan добавил 21-05-2010 в 02:33
выходит что 81 команда строится из ответа батарейки на 80хх и эти две команды работают в связке.....не хило соня замутила...

Boryan добавил 21-05-2010 в 02:52
дальше батарейку пытаем, серийник 000000( автобут)... :) Обнулил контроллер...81+брут...статический ответ. Вставляю батарейку в 2000 зызу, зыза стартует....выключаю зызу...81+брут...статический ответ. Вставляю эту батарейку в 3000!!! .....81+брут...ДИНАМИЧЕСКИЙ ответ! Снова вставляю батарейку в 2000 зызу, зыза стартует....81+брут...статический ответ!!!2000 зыза вылечила батарейку!!! :)))Это что? Выходит что 3000 намеренно сводит батарейку c ума.. с серийником FF и 00?...для того что бы она давала неверные ответы? И что бы 3000 зыза не перешла в сервисный режим? Может в этом весь секрет? Чота я запутался :(((

Boryan добавил 21-05-2010 в 02:58
Выходит 80D9 это не команда запроса .....а команда временного уничтожения батарейки.....и не зря 32 посылки....что бы сбить всю библиотеку ответов в оперативке...ведь другие 80хх команды батарейку с ума не сводят...и после них всегда статический ответ на 81....в отличии от 80D9..

умно сделано - если батарейка сервисная то доджна знать ответ на 80д9 а если обычная пандора - то получи по рогам :))

но каким образом тогда 2000 зыза возвращает всё на круги своя? Лады, завтра попробую снять лог как 2000 лечит батарейку после 3000....

Boryan добавил 21-05-2010 в 03:11
Вот она и получает походу 32 раза :))) и не только по рогам

Boryan добавил 21-05-2010 в 03:15
да походу 80хх это команды записи в оперативку по выбранным адресам...затем идёт ответ батарейки что всё ок и она записала по такому то адресу данное зызой значение ...а затем 81 команда что то запрашивает из того адреса куда была сделана запись...ибо точно известно что значение ответа на 81 команду меняется только после того как поработает 80хх команда...ну как то так...это мои догадки

Boryan добавил 21-05-2010 в 03:32
и так ...беру батарейку послаю 81+брут, ответ статический. Делаю запрос 8008 с 0000 и брутом первого байта...255 запросов....и снова 81+брут, ответ статический. Делаю запрос 80D9 c 0000 и брутом первого байта..255 запросов....и проверяем 81+брут....и опа...батарейка сошла с ума......ДИНАМИЧЕСКИЙ ответ!!!

Boryan добавил 21-05-2010 в 03:34
И какие мысли у народа по этому поводу???

Boryan добавил 21-05-2010 в 03:48
А теперь мне сдаётся что на 80D9 вообще нет ответа ...и его быть не может!!! Это ход соней для увода в сторону от истины и для сбоя оперативки контроллера ..это команда записи хлама в оперативку. Ведь после 32 посылок 80D9 зыза вообще перестаёт работать с этой батарейкой и с рычажка не включается даже....Так мало того, эта команда стоит в отдельном ряду от 80хх команда кои расположены по порядку и их не много...вот рабочие команды 8008,8009,800A,800B,800C,800D...и это всё!!!! А вот 80D9 чота далеко от них отстоит....И сдаётся мне в свете последних исследований ,что серийник у пандоры 3000 не ffffffff и 00000000.....а обычный ....но его нужно найти....4 байта это не так уж и много для перебора...

Boryan добавил 21-05-2010 в 03:50
нужно разработать быстрый метод перебора....серийника...

Boryan добавил 21-05-2010 в 03:59
lport3, В свете твоих знаний... как ты считаешь, мои последние доводы...есть в них истина, или я бред написал?

Да уж заждались мы девайсов... Конечно чем больше народу будет тыкаться тем быстрее результат какой то будет... И скорее всего нужно пытать консоль, а не батарейку ... Давно уже можно было бы начать брутить все серийники что бы понять после которых 3000 консоль начинает посылать запрос батарейке 80D9 - хотя скорее всего это будут известные уже FF и 00 - ведь где читал на забугорных форумах что сони забанила эти серийники - получается что именно тем способом до которого вы с lport3 дошли, т.е. 80D9 намеренно вводит в ступор батарейку и та перестает быть рабочей для 3000-й консоли...

ANDPSP добавил 21-05-2010 в 11:45
Быстрого метода не получится потому что консоль запрашивает серийник единожды - когда первый раз батарейка вставляется в тело... Единственное что можно сделать разрыв на плюсе батарейки и тумблер какой нить и принудительно выключать/включать.... Ну или искать команду ресета консоли - может быть определенный ответ на запрос 5A 02 01 A2 в котором содержится уровень заряда батарейки - типа если он меньше 10% то консоль отключится автоматом... но включать ее всеравно придется железячно... засада...

ANDPSP добавил 21-05-2010 в 12:06
А ты не пробовал после ввода в ступор батарейки командами "80D9 c 0000 и брутом первого байта" пробовать снова посылать "запрос 8008 с 0000 и брутом первого байта" - может быть именно 8008 лечит батарейку ? потому что если я правильно помню 80D9 появились только на 3000-й консоли, на фатке и 2000-х такого запроса нет... Или я ошибаюсь ? Или это и есть одно из тех изменений что сони внесла в новый чип SYSCON для 3000-х ?

ANDPSP, Твой девайс готов полностью, можешь сегодня забрать.:)

Boryan добавил 21-05-2010 в 12:38
ANDPSP, Только что проверил....лечит!!! Ответ на 81 брутом..статический!!!

Boryan добавил 21-05-2010 в 12:46
Ещё одна интересная феня :) на запросы 80080000000000000000 но с разным временем....всего 4 варианта ответа

Boryan добавил 21-05-2010 в 12:54
А вот ещё интересное....подаю 8008 с 00 и за ней 81 с брутом....если ответ на 8008 совпадает то и ответ на 81 и далее по фигу что там в последующих 8 байтах -ОТВЕТ СТАТИЧЕСКИЙ и одинаковый. Значит 80 команда это подготовка к ответу 81 команду...

Boryan добавил 21-05-2010 в 12:59
итог ...одинаковые значения ответов на 80, дают одинаковые ответы на 81 не зависимо от значения 8ми байт в 81

Boryan добавил 21-05-2010 в 14:24
ErikPshat, Твой девайс тоже готов. :)

Boryan добавил 22-05-2010 в 11:12
ну вот и сбылись мои догадки по поводу батарейки от Стаса которая умеет отвечать на 80D9.....китайцы перестраховались и весь диапазон 80хх команд от 00 до FF они перекрыли .....И походу второй байт в 80 команде вообще непонятно за что отвечает.....за алгоритм? За адреса ключей? Куда интересно запихнули в батарейке 255 штук 16 байт ключей?...И может это и не правильно ....но эту "левую" батарейку как ни странно принимает 3000 и прекрасно с ней работает. Выходит что батарейка правильно отвечает и на команды 3000....а там уже не 8008 а 800A....команды изменены....значит и на 80D9 батарейка правильно отвечает....выходит 80D9 лажовая команда? .....

Хотя может я и ошибаюсь и это не левая китайская батарейка....а что ни на есть самая оригинальная ....просто выпущена в китае.

Boryan добавил 22-05-2010 в 12:08
И действительно ..расковырял эту батарейку....все аргументы за то, что она самая оригинальная ....монтаж на самом высоком уровне ....банка самой батарейки изготовлена идеально....мало того ножки контроллера и микрух залиты силиконовым компаундом ...что очень правильно.
Судите сами где есть что? :)
слева та которая знает все ответы на 80хх
http://s61.radikal.ru/i171/1005/3d/afbfde757b26t.jpg

ещё:

http://s001.radikal.ru/i193/1005/82/59c3c39ad812t.jpg

Походу это и есть самая оригинальная батарейка из первых партий....и она действительно знает все ответы но 80хх команды....а позже в других батарейках для упрощения вырезали не нужные ответы на 80хх команды....

Boryan добавил 22-05-2010 в 13:02
и всё же, 80D9...это реальная команда и на неё есть ответ...или эта команда для "бана" батарейки с серийником FF ...и 00...???