ANDPSP, Значит я ошибался :(....думая что батарейка это так мелочи....но зызу брутить без знания алгоритма ответа на 80 и 81 команды бесполезно....она сразу стопорится на неправильных ответах на эти запросы....нужно изучать ответы батарейки на эти команды....а уж потом строить запросы к зызе....Знаю одно точно, что все 80хх команды и в их числе 80D9 работают по одному принципу....но для более точных данных нужно сделать задаваемое время между запросами....тогда можно батарейку побрутить одним набором байтов но разными командами 80хх...и сравнить результаты. Но самое интересное....ведь китайцы как то вычислили алгоритм ответа на 80хх и 81 команды раз клепают свои левые батарейки. А чем мы хуже китайцев? :)
t0rm3nt0r
13.05.2010 18:20
Boryan, ты обещал выложить мануал, по созданию K-Line. Не сделал еще? Я бы человечка посадил травить и паять.
ANDPSP
13.05.2010 18:35
Цитата:
Сообщение от Boryan
(Сообщение 886569)
Но самое интересное....ведь китайцы как то вычислили алгоритм ответа на 80хх и 81 команды раз клепают свои левые батарейки. А чем мы хуже китайцев? :)
Хм... а может все проще - они взяли сняли дамп микропрограммы с контроллера и зафигачили его в новые чипы и работает он как и работал в оригинальных батарейках... Не знаю можно ли как то проверить эту догадку, но как то заливают прошивки в контроллеры...
ANDPSP добавил 13-05-2010 в 18:35
Цитата:
Сообщение от t0rm3nt0r
(Сообщение 886585)
Boryan, ты обещал выложить мануал, по созданию K-Line. Не сделал еще? Я бы человечка посадил травить и паять.
+1
я тоже жду мануала... хотя не понимаю на чем держаться все эти резисторы и кмопы должны... или есть какие то заготовки-печатные платы или просто на куске текстолита все собирается путем сверления дырок под контактные места ?
Boryan
13.05.2010 19:34
уже приступил к мануалу :) всё делается навесным монтажом без всяких там плат..
Alex14435
13.05.2010 19:56
Чо то мне кажется что китайские отвечают всякую муть на 80 запрос... Или это не так? Вроде в теме был лог где подобная батарейка нули возвращала.
Boryan
13.05.2010 22:45
Цитата:
Сообщение от Alex14435
(Сообщение 886608)
Чо то мне кажется что китайские отвечают всякую муть на 80 запрос... Или это не так? Вроде в теме был лог где подобная батарейка нули возвращала.
была такая....вот она как раз и не работала ни на одной зызе....умерла батарейка....навсегда..
Boryan добавил 13-05-2010 в 20:04 ANDPSP, снять дамп с микроконтроллера нельзя ....стоит бит защиты....а потом китайцы на своих покоцанных контроллерах делают батарейки....значит они знают основные алгоритмы 80 команд
Boryan добавил 13-05-2010 в 22:18
ТУТ K-Line с фотками и описанием...http://slil.ru/29129008 ну проще уже нет вариантов...да,забыл... весит 30 метров
Boryan добавил 13-05-2010 в 22:24
Только не забываем дрова для PL2303 установить :)
Boryan добавил 13-05-2010 в 22:45
PS на фотках с именем CD4011 ошибка в цоколёвке микросхемы!!! Не обращаете внимание на них, удалите их из архива. Придурок какой то в нете выложил а я схватил и в свой архив ...а потом проверил а там цоколёвка микрухи не правильная...
ErikPshat
14.05.2010 05:27
Ну вот собсно отдизасмил SYSCON.PRX от пандоры-2000.
Что примечательно, так этот файл весит 46420 байт, в отличии от 19502 байта, которые лежат в прошивке 5.00 или 5.03, в декриптованном виде конечно.
Осталось только подсчитать алгоритмы =)
/*
* Imports from library: KDebugForKernel
*/
extern void Kprintf (int arg1);
extern int KDebugForKernel_E892D9A1 ();
/*
* Imports from library: InterruptManagerForKernel
*/
extern int sceKernelCpuSuspendIntr ();
extern void InterruptManagerForKernel_169FC5A3 (int arg1, int arg2);
extern void sceKernelCpuResumeIntr (int arg1);
extern void InterruptManagerForKernel_B940A5BF (int arg1, int arg2, int arg3, int arg4);
extern void sceKernelReleaseSubIntrHandler (int arg1, int arg2);
extern void sceKernelEnableSubIntr (int arg1, int arg2);
extern int sceKernelIsIntrContext ();
/*
* Imports from library: ThreadManForKernel
*/
extern void sceKernelDeleteSema (int arg1);
extern int sceKernelGetSystemTimeLow ();
extern void sceKernelSignalSema (int arg1, int arg2);
extern void sceKernelWaitSema (int arg1, int arg2, int arg3);
extern void sceKernelDelayThread (int arg1);
extern int sceKernelCreateSema (int arg1, int arg2, int arg3, int arg4, int arg5);
/*
* Imports from library: SysclibForKernel
*/
extern void memset (int arg1, int arg2, int arg3);
extern void memcpy (int arg1, int arg2, int arg3);
label12:
var238 = ((int *) var235)[0];
((int *) sp)[17] = var236;
}
else
{
var236 = var235 + 0x00000004;
if ((var7 & 0x00000080) == 0x00000000)
goto label12;
var237 = ((int *) sp)[17];
var238 = ((unsigned short *) var237)[0];
((int *) sp)[17] = (var237 + 0x00000004);
}
var171 = sp + 0x0000001F;
if (var238 != 0x00000000)
{
while (1) {
var239 = (hi (var238 * 0xCCCCCCCD)) >> 0x00000003;
((char *) var171)[0] = ((var238 - (((var239 << 0x00000002) + var239) << 0x00000001)) + 0x00000030);
var238 = var239;
var171 = var171 + 0xFFFFFFFF;
if (var239 != 0x00000000)
continue;
break;
}
var182 = sp + 0x0000001F;
}
else
{
var182 = sp + 0x0000001F;
if (!(((((var7 ^ 0x00000020) >> 5) & 0x00000001) | ((0x00000000 < var8))) == 0x00000000))
{
((char *) var171)[0] = 0x00000030;
var171 = var171 + 0xFFFFFFFF;
}
}
goto label85;
break;
break;
case 88:
var166 = "0123456789abcdef";
if (!((var7 & 0x00000010) == 0x00000000))
{
((int *) sp)[19] = 0x00000002;
((char *) sp)[32] = 0x00000030;
((char *) sp)[33] = 0x00000078;
}
goto label89;
}
}
case 1:
case 2:
case 4:
case 5:
case 6:
case 7:
case 8:
case 9:
case 10:
case 12:
case 15:
case 26:
case 27:
case 28:
case 29:
case 30:
case 31:
case 32:
case 33:
case 34:
case 35:
case 36:
case 37:
case 38:
case 39:
case 40:
case 41:
case 42:
case 43:
case 44:
case 45:
case 46:
case 47:
case 48:
case 49:
case 50:
case 51:
case 52:
case 53:
case 54:
case 55:
case 57:
case 58:
case 59:
case 60:
case 61:
case 62:
case 63:
case 64:
case 65:
case 66:
case 69:
case 70:
case 71:
case 74:
case 75:
case 77:
case 78:
case 81:
case 82:
case 84:
case 86:
case 87:
if (var34 == 0x00000000)
{
var11 = (char) var9;
}
else
{
var38 = sp + 0x0000001F;
((char *) var38)[0] = var34;
var39 = var38 + 0xFFFFFFFF;
var40 = sp + 0x0000001F;
var41 = var40 - var39;
var42 = var39 + 0x00000001;
PS на фотках с именем CD4011 ошибка в цоколёвке микросхемы!!! Не обращаете внимание на них, удалите их из архива. Придурок какой то в нете выложил а я схватил и в свой архив ...а потом проверил а там цоколёвка микрухи не правильная...
Оба файла? Там просто CD4011.jpg и CD4011_1.jpg
ANDPSP
14.05.2010 11:53
Цитата:
Сообщение от Boryan
(Сообщение 886613)
Boryan добавил 13-05-2010 в 22:18
ТУТ K-Line с фотками и описанием...http://slil.ru/29129008 ну проще уже нет вариантов...да,забыл... весит 30 метров
Нда.... А почему с платки PL2303 идет 3 белых проводка а не два ? вроде GND припаян на прямую, RX и TX понятно а что еще за третий провод ? И мог бы на финальной схеме пометить хотя бы какой провод TX, а какой RX - было бы гораздо проще и мог бы свой рабочий девайс сфоткать а то я так и не понял в финальной фотке у тебя диоды или резисторы ? И если я правильно понял то нужна микросхема стандартной логики И-НЕ - может так проще народу искать будет....
Boryan
14.05.2010 21:37
ANDPSP, третий провод это питание микросхемы. Микруха правильно ты подметил стандартная логика :) На всех фотках у меня вместо резисторов стоят диоды для наглядности..ну нету у меня резисторов корпусных и с ножками....я давно сижу на ЧИП или SMD компонентах....вот для того что бы было видно куда и чего паять использовал диоды вместо резисторов. НО вы должны использовать только резисторы !!!
lport3
14.05.2010 22:16
Цитата:
Сообщение от ErikPshat
(Сообщение 886684)
Ну вот собсно отдизасмил SYSCON.PRX от пандоры-2000. Что примечательно, так этот файл весит 46420 байт, в отличии от 19502 байта, которые лежат в прошивке 5.00 или 5.03, в декриптованном виде конечно. Осталось только подсчитать алгоритмы =)
Там нет батареечных кусков.
Цитата:
Сообщение от Boryan
(Сообщение 886613)
ANDPSP, снять дамп с микроконтроллера нельзя ....стоит бит защиты....а потом китайцы на своих покоцаных контроллерах делают батарейки....значит они знают основные алгоритмы 80 команд
ну дак отвечает то батарейка, а5хх06...и дальше любая муть главное
чтобы кс совпадал...) не надо на китайцев ровняться.
Цитата:
Сообщение от Yoti
(Сообщение 886529)
там много что на время завязано. Я в одном модуле реализовал рэндом, привязав к количеству времени... прошедшему с 1970 года (в секундах).
да и синхронизация по времени достаточно точная.
подменять команды не получилось видимо 2 порта и прога сильно
искажали тайминги.
Цитата:
Сообщение от Boryan
(Сообщение 886467)
если можно, то в закладке брута батарейки было бы неплохо сделать возможность посылки запроса с паузами которые можно изменять :)
я неделю с этими 8ю байтами бьюсь, не так все просто.
Boryan
15.05.2010 01:51
lport3,
Цитата:
ну дак отвечает то батарейка, а5хх06...и дальше любая муть главное
чтобы кс совпадал...) не надо на китайцев ровняться.
Ты хочешь сказать что ответ на 80 команду может быть любой?
Цитата:
я неделю с этими 8ю байтами бьюсь, не так все просто.
А это ты про какие байты ..те что отвечают на 81 команду?
Boryan добавил 14-05-2010 в 23:08
Просто регулируемая пауза нужна что бы точнее понять ответы на 80хх и 81 команды. дело в том что если я шлю любую из 80хх команд с паузой более 0.5 сек ответы одинаковые ...но стоит меньше то ответы разные. Я же не могу рукой делать точные и нужные паузы. Просто я таким методом хочу выяснить алгоритм 80хх команд. Подавая одну и туже команду с заданной паузой мы получаем статический ответ...и если к этому мы начнём менять (делать брут) любой байт в строке команды то получим статические ответы на варианты смены байта...таким образом мы вычислим алгоритм ответа на 80хх команды. И 80D9 из их серии....а посему мы будем знать как отвечать на этот запрос....ну а далее остаётся самое загадочное :) 81
Boryan добавил 15-05-2010 в 01:00
Boryan добавил 15-05-2010 в 01:04
Так ради интереса послушал зызу и батарейку....Тупо вставил батарейку зызу не включаю.....и она сволочь каждые 30 секунд пытает батарейку..потихоньку её разряжая....
Код:
5A0201A2A50506102303195A020C97A5060670C612887E5A0B800A498793E710FF7A3805A5120601
B25FF65B0192E67B453FD506DA5CFE585A0A8183A6B09B803A619EEDA50A0611DA13E55627E6897B
5A0201A2A50506002303295A0B800AE7C39E274A1420D053A51206C1630CE60890936A5F083BFE7D
E10989075A0A8182D3D389E7DA26B1D1A50A06096820ABBF3F871970
прошло 30сек
5A0201A2A50506102303195A020C97A5060670C612887E5A0B8004597FFD1F19FCE41514A5121500
000000000000000000000000000000335A0201A2A50506102303195A020C97A5060670C612887E5A
0B800A0C69DD2C87E7F09E96A51206419E8B978ABF6F82B49221CCD791C0DCD05A0A81FF575CD9CD
B97E7C0FA50A06E57BE7F6F798432D0E
прошло 30сек
5A0201A2A50506102303195A020C97A5060670C612887E5A0B8004898BAA446CEE5C86D8A5121500
000000000000000000000000000000335A0201A2A50506102303195A020C97A5060670C612887E5A
0B800A6023F7D4B14243414BA5120671B3DCBE13E1A984D2B1AFAADE73E541105A0A8180F0ED2673
C7C3BEDCA50A06BF27E761150753F4B9
прошло 30сек
5A0201A2A50506102303195A020C97A5060670C612887E5A0B80043E2C0CF495D96303D8A5121500
000000000000000000000000000000335A0201A2A50506102303195A020C97A5060670C612887E5A
0B800A9B1750C776A645E105A512062B07A2F55E228024D2B1AFAADE73E541025A0A8180F0ED2673
C7C3BEDCA50A06BF27E761150753F4B9
прошло 30сек
5A0201A2A50506102303195A020C97A5060670C612887E5A0B80043E2C0CF495D96303D8A5121500
000000000000000000000000000000335A0201A2A50506102303195A020C97A5060670C612887E5A
0B800ADDAE64CCE730E9A6AFA51206A3060A1EE8490CC8067E2AC7398BD92A305A0A81D16154824E
D92C358AA50A069DCB7D92A2DD6D9156
прошло 30сек
Boryan добавил 15-05-2010 в 01:51
помучил в очередной раз зызу 2000, пытаясь эмулировать ответы батарейки компом....итог, 32 запроса после неверного ответа на 8008 команду. Видимо бесполезно пытаться это сделать пока не поймём как правильно отвечать на 80хх команды....
Boryan
17.05.2010 01:34
Что то я не пойму....то ли мы идём не в том направлении, то ли на самом деле в батарейке такая сильная защита....но самое странное что всё это было заложено с самого рождения зызы.....с 1000 модели и её батареек...Получается бред какой то....соня защитила батарейку выше некуда а 1000 и 2000 консоли просрала...дыр понаделала в защите консолей кучу....а в батарейке выходит нет дыр.....очень странно всё это выглядит....поставить бронированную дверь и закрывать её замком от почтового ящика...
Boryan добавил 17-05-2010 в 01:06
Побрутил тут батарейку на все команды однобайтовые ....вот выкладываю лог, правда не весь далее смысла нет...там ответов нет....но вот 15 и 16 команды оказались интересными...
Boryan добавил 17-05-2010 в 01:15
и ещё 15 и 16 команды на разных батарейках....ответ на 15 команду содержит и серийник батарейки....правда новые батарейки возвращают 00000 ...ну а отвтет на 16 команду у всех один
Boryan добавил 17-05-2010 в 01:28
чота я не понимаю....81 команда ответ на одинаковые запрос был разным...сейчас всё стабильно....проверенно на 3 батарейках
Код:
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 FB AC 55 AA F9 1E A1 C5 27
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 FB AC 55 AA F9 1E A1 C5 27
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 FB AC 55 AA F9 1E A1 C5 27
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 FB AC 55 AA F9 1E A1 C5 27
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 FB AC 55 AA F9 1E A1 C5 27
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 FB AC 55 AA F9 1E A1 C5 27
A5 0A 06 F1 B4 7A 61 6C 3D 4E 15 BE
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 F1 B4 7A 61 6C 3D 4E 15 BE
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 F1 B4 7A 61 6C 3D 4E 15 BE
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 F1 B4 7A 61 6C 3D 4E 15 BE
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 F1 B4 7A 61 6C 3D 4E 15 BE
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 F1 B4 7A 61 6C 3D 4E 15 BE
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 F1 B4 7A 61 6C 3D 4E 15 BE
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 04 E3 C1 F2 91 A4 BE 14 A9
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 04 E3 C1 F2 91 A4 BE 14 A9
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 04 E3 C1 F2 91 A4 BE 14 A9
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 04 E3 C1 F2 91 A4 BE 14 A9
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 04 E3 C1 F2 91 A4 BE 14 A9
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 04 E3 C1 F2 91 A4 BE 14 A9
Boryan добавил 17-05-2010 в 01:34
очень интересные ответы на код 00 и FF :)
5A 0A 81 00 00 00 00 00 00 00 00 1A
A5 0A 06 FC E7 3E 58 B5 C8 99 6C 4F
5A 0A 81 00 00 00 00 00 00 00 00 1A
A5 0A 06 FC E7 3E 58 B5 C8 99 6C 4F
5A 0A 81 FF FF FF FF FF FF FF FF 22
A5 0A 06 FC E7 3E 58 B5 C8 99 6C 4F
5A 0A 81 FF FF FF FF FF FF FF FF 22
A5 0A 06 FC E7 3E 58 B5 C8 99 6C 4F
lport3
17.05.2010 01:35
Да защита действительно очень сложная. Эфки в серийнике
на старых моделях, это баг жуткий, наверняка его пофиксили.
Сервисную батарейку определяет не серийник, я так думаю.
ответы на 81ю команду одинаковые,
потому что вход в режим был одинаковый (полагаю, его не было)).
ErikPshat
17.05.2010 01:35
Цитата:
Сообщение от Boryan
(Сообщение 887166)
чота я не понимаю....81 команда ответ на одинаковые запрос был разным...сейчас всё стабильно....проверенно на 3 батарейках
По моему просто запрос от PSP был разным на 81 команду, вот и ответ 06 приходил разный.
Boryan
17.05.2010 01:44
батарейка № 2
5A 0A 81 FF FF FF FF FF FF FF FF 22
A5 0A 06 F1 B4 7A 61 6C 3D 4E 15 BE
5A 0A 81 FF FF FF FF FF FF FF FF 22
A5 0A 06 F1 B4 7A 61 6C 3D 4E 15 BE
5A 0A 81 FF FF FF FF FF FF FF FF 22
A5 0A 06 F1 B4 7A 61 6C 3D 4E 15 BE
5A 0A 81 00 00 00 00 00 00 00 00 1A
A5 0A 06 F1 B4 7A 61 6C 3D 4E 15 BE
5A 0A 81 00 00 00 00 00 00 00 00 1A
A5 0A 06 F1 B4 7A 61 6C 3D 4E 15 BE
5A 0A 81 00 00 00 00 00 00 00 00 1A
A5 0A 06 F1 B4 7A 61 6C 3D 4E 15 BE
Boryan добавил 17-05-2010 в 01:37 ErikPshat, значит 81 команда тупая? и ко времени не привязана?
Boryan добавил 17-05-2010 в 01:42 ErikPshat, да нет же ...вот старый лог...81 команды....и все ответы разные ....сейчас точь в точь повторяю эту команду ответы одинаковые...
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 FC E7 3E 58 B5 C8 99 6C 4F
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 FC E7 3E 58 B5 C8 99 6C 4F
а вот старый лог...
Код:
ответы батарейки на постоянную команду 5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 1E EB 0E 4B 51 5E D1 42 26
A5 0A 06 1F 66 9D 1D 5A 25 E0 5E 4E
A5 0A 06 11 B4 DD 27 2C 5B 74 E0 A6
A5 0A 06 6A 69 02 88 92 E2 A0 7A 5F
A5 0A 06 3F 0B BC 2D AE CD 58 A0 A4
A5 0A 06 BB EC 4D 3F C8 27 FC B0 7C
A5 0A 06 11 15 C3 49 7E 3B BB C6 DE
A5 0A 06 0B 1E 5A 39 AE 57 BA 71 5E
A5 0A 06 19 BC 34 3D BA 0B A2 97 06
A5 0A 06 23 1D E7 02 FE CE D1 D6 AE
A5 0A 06 16 07 A7 D9 68 B1 E4 DD D3
A5 0A 06 E7 73 80 B9 DC FA 38 C5 E4
A5 0A 06 F3 38 A2 29 A1 CA B2 EE 49
A5 0A 06 31 18 1E EA 28 90 37 A3 67
A5 0A 06 36 4F DB 69 31 06 7D 22 AB
A5 0A 06 58 AB 37 BD E8 A5 72 CC 88
A5 0A 06 80 56 4A 7F 4B DE 06 47 35
A5 0A 06 71 88 DF 18 5B 95 A1 BB 0E
A5 0A 06 E0 9F 31 DF 39 E2 35 58 13
A5 0A 06 31 30 47 0A 87 66 62 6F DA
A5 0A 06 53 95 3F 1F B8 2E 24 40 BA
A5 0A 06 F2 F7 84 6B 00 BD 20 89 0C
A5 0A 06 24 CE 4B D8 60 51 29 5A 01
A5 0A 06 1F 12 2D 40 13 44 63 7D 75
A5 0A 06 0C 4A 82 66 46 5D E3 4E 38
Boryan добавил 17-05-2010 в 01:44
что, ответы от погоды ответы зависят или расположения звёзд? :)))батарейки те же ...к-лайн тот же....в чём дело?
Boryan, ну получается раньше с 81 командой были какие-то глюки. Наверное с задержкой. А может наоборот, сейчас глюки =)
lport3
17.05.2010 01:50
Цитата:
Сообщение от Boryan
(Сообщение 887176)
что, ответы от погоды ответы зависят или расположения звёзд? :)))батарейки те же ...к-лайн тот же....в чём дело?
Я мог бы долго рассказывать про свои бруты-муты,
но это долго и муторно )) у меня примерно такие же странности
с батареей, полагаю, батарейка (а может и псп) закрылась.
Поставь батарейку в псп и сними логи, там будут негативные ответы на
длинные команды.
Boryan
17.05.2010 02:07
Цитата:
Сообщение от lport3
(Сообщение 887181)
Я мог бы долго рассказывать про свои бруты-муты,
но это долго и муторно )) у меня примерно такие же странности
с батареей, полагаю, батарейка (а может и псп) закрылась.
Поставь батарейку в псп и сними логи, там будут негативные ответы на
длинные команды.
Получается ещё одна хитрость батареек? Если он "отдохнули" мальца :) просто полежали без зызы, то и ответы от них на 81 и 80 адекватные :) а как с зызой поработают то начинают выкобениваться? :) очень интересные батарейки :)))
Boryan добавил 17-05-2010 в 01:58 ErikPshat, На днях будет тебе к-лайн для работы.... ANDPSP, и тебе...Просто я зашился мальца с ремонтом зызок ..завалили...вот и не было времени собрать к-лайны...
Boryan добавил 17-05-2010 в 02:05
ну очень странно....повтыкал батарейку в разные зызы...повключал...погонял 81 командой....ответы меняются в зависимости в каой зызе батарейка побывала....но они, самое главное статичны!!!
Код:
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 FB AC 55 AA F9 1E A1 C5 27
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 FB AC 55 AA F9 1E A1 C5 27
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 FB AC 55 AA F9 1E A1 C5 27
другая зыза
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 07 E0 65 E6 EA E8 98 44 6A
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 07 E0 65 E6 EA E8 98 44 6A
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 07 E0 65 E6 EA E8 98 44 6A
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 07 E0 65 E6 EA E8 98 44 6A
ещё и далее просто отключал и подключал батарейку к к-лайн
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 F6 27 00 45 30 06 FD 9D 18
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 F6 27 00 45 30 06 FD 9D 18
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 F6 27 00 45 30 06 FD 9D 18
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 F6 27 00 45 30 06 FD 9D 18
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 F6 27 00 45 30 06 FD 9D 18
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 F6 27 00 45 30 06 FD 9D 18
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 F6 27 00 45 30 06 FD 9D 18
Boryan добавил 17-05-2010 в 02:07
даже батарейку от к-лайна отрубал на 5 минут...и код ответа был тот же что и ранее ...
ErikPshat
17.05.2010 02:09
Boryan, а как насчёт 80-ой команды?
А в чём прикол между этими разными запросами и одинаковыми ответами?
Цитата:
Сообщение от Boryan
(Сообщение 887166)
5A 0A 81 15 D8 15 FE A8 D3 CB BE 16
A5 0A 06 FB AC 55 AA F9 1E A1 C5 27
Цитата:
Сообщение от Boryan
(Сообщение 887182)
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 FB AC 55 AA F9 1E A1 C5 27
Boryan
17.05.2010 02:26
ну вот логи чередования команд 80 и 81 .....странно всё вроде логично и статично.....а ранее выходит были просто глюки
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 D2 35 6C 3D B3 E2 78 EA A3
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 D2 35 6C 3D B3 E2 78 EA A3
5A 0A 81 FC B4 1E 2D A9 AF A3 07 1D
A5 0A 06 D2 35 6C 3D B3 E2 78 EA A3
Boryan добавил 17-05-2010 в 02:23
Цитата:
Сообщение от ErikPshat
(Сообщение 887187)
Boryan, а как насчёт 80-ой команды?
А в чём прикол между этими разными запросами и одинаковыми ответами?
это ты из какого лога нарыл? очень интересно ...подтверждаются мои догадки что ну не могла соня так сильно замутить батарейку ..да ещё с привязкой ответов по времени....походу это тупо библиотеки...типа с такого диапазона кода по такой то....ответ один на всех...
Boryan добавил 17-05-2010 в 02:26 ErikPshat, лана вот соберу к-лайны вам ....мы сообща покажем батарейкам кузькину мать :)))
есть идея - назовём Battery-swap сделать две батарейки сервисную и обычную и пусть на вопросы про серийник и состояние отвечает сервисная а на 80 и 81 нормальная - вдруг прокатит?
Boryan
17.05.2010 02:38
ErikPshat, подскажи как делаете раскрывающиеся трейлеры....я чота не разберусь в движке форума...или опера не дат мне это делать...а то я своими логами весь форум загажу
Boryan добавил 17-05-2010 в 02:35 stasik007, ооо превед...тож не спится? а как будешь отвечать на 80D9 ???? какой батарейкой....Ты давай тож подключайся к издевательствам над батарейками ..а то сочковать начал :)
Boryan добавил 17-05-2010 в 02:38
нужно вычислять алгоритм 80 и 81 команд....и тогда останется только 80D9 ломануть ...правда на чём всё это эмулировать? я про алгоритмы ..
stasik007
17.05.2010 02:53
Цитата:
Сообщение от Boryan
(Сообщение 887200)
Получается ещё одна хитрость батареек? Если он "отдохнули" мальца :) просто полежали без зызы, то и ответы от них на 81 и 80 адекватные :) а как с зызой поработают то начинают выкобениваться? :) очень интересные батарейки :)))
может защита от брута?
Boryan
17.05.2010 03:13
Есть мысль что Стасовы самые древние батарейки умеют отвечать на 80D9... но видать соня перестраховалась... во первых вырезала этот ответ полностью у более свежих батареек ...но и за одно изменила на всякий случай алгоритм ответа 80D9 что бы не могли воспользоваться старой батарейкой ..но старая умеет на него отвечать пусть и не правильно. Выходит, что в батарейках они используют свою первую разработку что была сделана на 1000 зызу ...позже они её урезали убрали работу с 14 и 13 командой ...но для 3000 пандоры слегка изменили алгоритм ответа на 80D9...
Boryan добавил 17-05-2010 в 02:57
Цитата:
Сообщение от stasik007
(Сообщение 887201)
может защита от брута?
Да ладно....мне кажется всё проще гораздо...просто мы пока идём не той тропинкой...ну нету смысла так наворачивать батарейку....невыгодно экономически....
Boryan добавил 17-05-2010 в 03:02
я же говорю что используют старую изначально разработанную программу для контроллера батарейки...только подрихтовали ответ на 80D9 и всё...И я ещё уверен что этот алгоритм ответа на 80D9 можно изменить ...изменив какие то байты во внешнем епроме. Сам пойми ..нужна мобильность и возможность создать пандору 3000 на месте в авторизованных центрах сони...а в СЦ сонях наверняка и используют старые, древние и родные батарейки в которых есть все ранее заложенные функции.....
Boryan добавил 17-05-2010 в 03:06
код FF и 00 они же оставили....это подтверждает мои доводы что всё по старому лишь слегка подрихтованно...Смысла нет делать sys con и батарейку с чистого листа....экономически не выгодно....+ нужно сохранить поддержку старых алгоритмов в новых разработках....а память и у sys con и контроллера батарейки не резиновая...
Boryan добавил 17-05-2010 в 03:13
Время будет на днях сниму лог с PSP GO и посмотрим на их развитие :))) сдаётся мне что там всё осталось по старому :)))
ErikPshat
17.05.2010 03:23
Мне вообще кажется, что SysCon и контроллёр батареи - это просто тупые железки.
Для их функционирования должна быть программа.
Допустим, psp убитая, без прошивки в нанде, то получив питание от батарейки syscon запрашивает "ты кто", она отвечает - "это_я_твоя_батарейка". Затем syscon запрашивает "какой у тебя серийник", батарея даёт ему серийник и если серийник сервисный, то дальше должен с карты грузиться драйвер syscon.prx, который берёт управление питанием.
А без драйвера, мне кажется, на большее, на брут или ещё что, сам syscon не способен.
И думаю, что всё-таки при обращени к карте лампочка не моргает, а всё делается в тихом режиме до тех пор, пока не пройдёт правильная инициализация и пока они не подружатся.
Кстати, я проверял, syscon.prx один и тот-же для всех моделей.
ANDPSP
17.05.2010 12:14
Цитата:
Сообщение от ErikPshat
(Сообщение 887208)
Мне вообще кажется, что SysCon и контроллёр батареи - это просто тупые железки.
А без драйвера, мне кажется, на большее, на брут или ещё что, сам syscon не способен.
Ну они могли легко в чип включить аппаратный шифратор/дешифратор AES - это же не сложно, а процесс идентификации батарейки улучшит...
Ведь странно что 80 запрос консоли получает строго 16 байт а 81 уже 8 байт...
А потом вспомни поведение консоли когда в нее вставляешь запандоренную батарейку - что происходит если карточка с пандорой не вставлена? Ведь консоль стартует и подает питание на картоприемник, зеленая лампочка горит и в таком состоянии консоль будет находится до того момента пока ты не вставишь карточку с пандорой, тогда консоль запустится, а если вставишь обычную карточку то нет и даже если быстро вытащишь обычную и вставишь пандору то все равно ничего не получится... Значит SYSCON не такой уж и примитивный и после удачной идентификации дает питание на картоприемник, включает лампочку и инициирует старт консоли с карточки и все это без загруженных с карты драйверов...
И еще Boryan ты уверен что когда подключал к консоли батарейку с k-line, то изолировал средний выход батарейки до подпайки k-line, а то может у тя и эмуляция с PC шла и сама батарейка отвечала или ты только батарейку и мучаешь ?
ErikPshat
Провел маленький эксперимент, вставлял в свою фатку запандоренную батарейку и быстро вытаскивал карточку с пандорой - если успевал это сделать до того как загорится зеленый огонек, то консоль оставалась в ожидании карточки, а если после или как сразу зажглась то консоль стартовала ... Значит можно сделать вывод что зажигание зеленого диода совпадает с началом работы картоприемника - но это все после удачной идентификации батарейки...
stasik007
17.05.2010 17:09
Цитата:
Сообщение от ErikPshat
(Сообщение 887208)
Мне вообще кажется, что SysCon и контроллёр батареи - это просто тупые железки.
И думаю, что всё-таки при обращени к карте лампочка не моргает, а всё делается в тихом режиме до тех пор, пока не пройдёт правильная инициализация и пока они не подружатся.
.
Вынужден огорчить - поскольку лично проверял осцилографом - КАРТРИДЕР МОЛЧИТ!!!
Boryan
17.05.2010 18:28
ErikPshat, забудь про эту мысль. Я уже много раз говорил что пока syscon не договорится с батарейкой ни чего не работает. И даже он сам работает только модулем общения с батарейкой...а модуль ответственный за клоки на ЦП и другие микрухи...МОЛЧИТ!!! Как молчат и модули опроса кнопок , запуска контроллера питания...всё молчит!!!А ЦП без клоков, это просто железяка. А посему ни каких опросов картридера и USB порта быть не может. А вот то, что ты подловил одинаковый ответ на разные 80 запросы ....это очень интересно и наталкивает на мысль что шифрования ключика в батарейке НЕТУ!!!Ведь шифрование разных ключей ни когда не может дать одинаковый ответ...и снова приходит мысль что мы работаем тупо с библиотеками ....которые необходимо просчитать :)
Boryan добавил 17-05-2010 в 18:22
И ещё :)
Цитата:
Мне вообще кажется, что SysCon и контроллёр батареи - это просто тупые железки.
На счёт контроллера батарейки ещё можно так сказать, но насчёт syscon у которого 84!!! ноги я бы не стал говорить.....хоть и мал клоп, да вонюч :)))
Boryan добавил 17-05-2010 в 18:28
и файл syscon.prx это файл который пришется в syscon только в модуль работы с кнопками...тупо определяя какая кнопка за что будет отвечать..так же в рекавери меню есть доступ в syscon....вспомни пункт в меню где мы можем менять частоту работы процессора....клоки одним словом....и за это всё отвечает syscon....
ANDPSP
17.05.2010 19:14
Интересно а кто нибудь слушал диалог 3000-й консоли и запандоренной батарейки если ее вставить в включенную консоль с подключенным внешним питанием, а потом внешнее питание отключить - просто на забугорном сайте нашел инфу что так народ делал ... Кто нить может повторить эксперимент ?
Boryan
17.05.2010 20:32
ANDPSP, А что это даст? буржуи -дураки!!!:) Это даст обычный старт зызы. У меня по работе в основном все батарейки пандора и иногда нужно включить для проверки зызу, а как известно зыза с пандоры стартанёт только если шитая и в ней стоит стик пандоровский. Так вот, я тупо стартую с зарядки а потом вставляю батарейку пандору, и отключаю зарядку зыза продолжает работать от батарейки...Код FF в батарейке говорит при старте зызы откуда грузиться.....а коли мы стартанули с зарядки, то зыза уже включилась и загрузилась и ей уже пофигу на все коды батарейки.... Так что пусть буржуи сами делают свои эксперименты.
Boryan добавил 17-05-2010 в 20:01 lport3, Всё же свожусь к мнению...что не статичные ответы батарейки, это не что иное как косяк с таймингами в твоей проге...Если прога работает стабильно то и ответы одинаковые на одинаковые запросы...а если косячит то и ответы разные ....вот сегодня те же условия...те же батарейки...а ответы разные ....
Boryan добавил 17-05-2010 в 20:32
ну вот взял у Стаса батарейку умеющую отвечать на 80D9...оказалось всё банально....галимый кетай ещё из первых подделок:) который умеет отвечать вообще на все 80хх команды....даже на те которых не существует :) Кетайсы видать престраховались на всякий случай, сделали ответы на все 80хх и все 81хх.....но они уже тогда знали алгоритм ответа на 80 и 81....
вот такой первый кусок должен быть
5A 0B 80 09 11 11 11 11 11 11 11 11 89
A5 12 06 8E CC 1D 40 A8 0E 22 DF 4F F4 F2 ED A8 F0 7F 5A 41
https://www.pspx.ru/forum/showthread....257#post884257
--------------------
вторые 8 байт в ответе, это синхра по времени,
именно из за них нельзя "перехватывать и подменять",
задержка по моим подсчетам 25-50мс.
--------------------
Цитата:
Всё же свожусь к мнению...что не статичные ответы батарейки, это не что иное как косяк с таймингами в твоей проге...Если прога работает стабильно то и ответы одинаковые на одинаковые запросы...а если косячит то и ответы разные ....вот сегодня те же условия...те же батарейки...а ответы разные ....
Я уже говорил тебе, что временные 8 байт у тебя были одинаковые из за
сброса одного из счетчиков, но этот счетчик не один..
-------------------
Цитата:
Да ладно....мне кажется всё проще гораздо...просто мы пока идём не той тропинкой...ну нету смысла так наворачивать батарейку....невыгодно экономически....
блажен неведающий..))
Разница между 4 байтами и 16 знаешь какая?.. 16-4=.. нет..))
-------------------
Цитата:
lport3, а что ответишь на мой вопрос по поводу кривых нестатичных ответов на 80 команды? Что косячит в итоге связка PL2303 или твоя прога? Или нужно делать К-лайн который без МАХа работает от настоящего СОМ порта, и работать по реальному СОм порту только на транзисторах....походу МАХ свои косяки добавляет.... и только тогда мы избавимся от мусора...Сдаётся мне что мы тупо в мусоре сейчас ковыряемся ....я про ответы на 80 ....а таким образом алгоритма нам не просчитать...
))может микрухи взять не наши а японские, глядишь
и выровняется все..
-------------------
Цитата:
ты всё же утверждаешь что есть временная привязка? Тогда как китайцы раскусили и повторили алгоритм ответа но 80?
ты выпивший что ль ?
самая первая мысль в этом посте..читай внимательнее.
Boryan
17.05.2010 21:23
lport3, а что ответишь на мой вопрос по поводу кривых нестатичных ответов на 80 команды? Что косячит в итоге связка PL2303 или твоя прога? Или нужно делать К-лайн который без МАХа работает от настоящего СОМ порта, и работать по реальному СОм порту только на транзисторах....походу МАХ свои косяки добавляет.... и только тогда мы избавимся от мусора...Сдаётся мне что мы тупо в мусоре сейчас ковыряемся ....я про ответы на 80 ....а таким образом алгоритма нам не просчитать...
Boryan добавил 17-05-2010 в 21:18
ты всё же утверждаешь что есть временная привязка? Тогда как китайцы раскусили и повторили алгоритм ответа но 80?
Boryan добавил 17-05-2010 в 21:23
ты меня не понял :) про наворачивать батарейку :) разницу между 4 и 16 байтами знаю :) Я в смысле истории создания ПСП ...получается что создавая первую ПСП разработчики в ней сделали защиту только от не родного софта....но не сделали НИКАКОЙ защиты при загрузке с стика...и заливай что хочешь....таким образом и взломали ПСП....но при этом они в то время положили все свои силы на защиту копеечной батарейки....и такого там накрутили что и по сей день батарейку не ломанули....Смысл в этом каков?
lport3
17.05.2010 21:34
Цитата:
Сообщение от Boryan
(Сообщение 887345)
получается что создавая первую ПСП разработчики в ней сделали защиту только от не родного софта....но не сделали НИКАКОЙ защиты при загрузке с стика...и заливай что хочешь....таким образом и взломали ПСП....но при этом они в то время положили все свои силы на защиту копеечной батарейки....и такого там накрутили что и по сей день батарейку не ломанули....Смысл в этом каков?
Могу еще штуки 3 поста своих по этой теме нарыть здесь, но
лень, так что повторюсь..
Слом эфками в серийнике это дыра, которую прохлопали разработчики. Интересно, сколько япошек по этому поводу сделали харакири..))
Сейчас все функционирует в штатном, как и задумывалось, режиме.
Батарейка изначально задумывалась как ключ от сервисного режима.
Boryan
17.05.2010 21:40
Цитата:
Я уже говорил тебе, что временные 8 байт у тебя были одинаковые из за
сброса одного из счетчиков, но этот счетчик не один..
Не находишь ли странным что этот счётчик вчера одновременно сбросился на 12 штуках батарейках? Вчера все батарейки давали стабильные статические ответы на 80хх команду....почему интересно? И в зызы я их вставлял....ответ конечно был другой но он был одинаковый!!! Или в батарейке есть календарь и по чётным дням она выдаёт стабильные ответы? :)))
Boryan добавил 17-05-2010 в 21:40 lport3, Слома по FF батарейки не было !!! Просто в сервисном центре забыли вытащить такую батарейку и она попала в руки умельцам...ну а далее дело техники :) и продолжение истории :)
lport3
17.05.2010 21:44
Цитата:
Сообщение от Boryan
(Сообщение 887355)
Не находишь ли странным что этот счётчик вчера одновременно сбросился на 12 штуках батарейках? Вчера все батарейки давали стабильные статические ответы на 80хх команду....почему интересно? И в зызы я их вставлял....ответ конечно был другой но он был одинаковый!!! Или в батарейке есть календарь и по чётным дням она выдаёт стабильные ответы? :)))
А у меня сейчас псп временами виснет, и перегружается,
почему?...а еще в протоколе псп запрашивает у батарейки
дополнительные длинные пакеты, на которые батарейка отвечает
негативно.. Защиты для того и делают, чтобы не допустить основного
"защищаемого" события.. и как не огорчительно всеми способами.
lport3 добавил 17-05-2010 в 21:44
Цитата:
lport3, Слома по FF батарейки не было !!! Просто в сервисном центре забыли вытащить такую батарейку и она попала в руки умельцам...ну а далее дело техники :) и продолжение истории :)
а вот это важно.. это точная информация?
Boryan
17.05.2010 21:59
lport3,
Цитата:
а вот это важно.. это точная информация?
Да, это было имеено так ....Взлом ПСП был сделан только потому что в СЦ Сони забыли вытащить из зызы мемори стик сервисный с пандорой и батарейку с кодом FF ....так и отдали клиенту полный комплект....а клиент не дурак оказался :)
Boryan добавил 17-05-2010 в 21:54
Думаю после этого и начали ковырять батарейку на предмет смены в ней серийника на FF....
Boryan добавил 17-05-2010 в 21:59
Но опять же странно выглядит это...значит батарейку сони защищает выше крыши ....а с картридера грузи что хочешь в зызу ....любую прошивку....или они думали что защита с той стороны не нужна раз есть мощная защита в батарейке? Которая в итоге оказалась для любого пионера лёгкой :)
ANDPSP
17.05.2010 22:30
Цитата:
Сообщение от Boryan
(Сообщение 887320)
ANDPSP, А что это даст? буржуи -дураки!!!:) Это даст обычный старт зызы.
Хех, если это действительно работает - тогда прослушав диалог 3000-й консоли и запандоренной батарейки (FFFFFFFF) мы можем узнать что она отвечает на 80 и 81 запросы, они же и при включенной консоли сыпятся....
Да и не дураки они совсем - все чем мы занимаемся - они начали в далеком 2005 году, здесь уже упоминали инфу из этого топика, но может кому интересно полностью почитать будет http://forums.ps2dev.org/viewtopic.p...er=asc&start=0 и кстати контроллер батарейки, чей PDF изучали тоже отсюда - он здесь и упоминается и сфоткан великолепно....
Что то я не догнал... lport3 а объясни популярно почему
Цитата:
Сообщение от lport3
(Сообщение 887342)
вот такой первый кусок должен быть
5A 0B 80 09 11 11 11 11 11 11 11 11 89
A5 12 06 8E CC 1D 40 A8 0E 22 DF 4F F4 F2 ED A8 F0 7F 5A 41
Boryan
17.05.2010 23:13
ANDPSP, а что это даст? Ты просто увидишь разницу в организации команд при прямом включении батарейки и при включении батарейки с включенным зарядником....Я чота не понимаю чего ты хочешь там увидеть?