а какой там стоит контроллер (маркировка)? я пороюсь в инете хорошенько. авось выйдем на тех - кто уже начал его ковырять

Вот здесь ссылки на контроллер:
https://www.pspx.ru/forum/showpost.ph...&postcount=610

У контроллера (опят же по даташиту) есть ограничение только на запись в flash, прочитать его можно...

В алгоритмах рылся, дохлый номер. Остается либо пытаться дампить сам сискон или чип батарейки (сискон лучше) либо искать рабочий вариант этой батарейки. За бугром один говорит типа знает как сделать но просто так инфу не даёт... Я думаю просто фейк. И что то я Ван Сардиса давно не видел, надо бы узнать у него, вдруг ожидается поступление батарейки в Россию ;)

вот, что я нарыл через сайт http://www.wasm.ru/forum/viewtopic.php?id=37446

http://translate.google.com/translat...1&client=opera

перевод не очень но 50% инфы понятны

5A 05 13 07 FF FF 88 - команда от PSP к батарее: запиши по 07 адресу в EEPROM данные FFFF
A5 02 06 52 -Аккумулятор сказал "всё окей! записал"
5A 05 13 09 FF FF 86 - команда от PSP к батарее: запиши по 09 адресу в EEPROM данные FFFF (07+ 2 байта FFFF = 09)
A5 02 06 52 - Аккумулятор сказал "всё окей! записал"
5A 03 14 07 87 - PSP просит прочитать EEPROM батарейки по адресу 07 (в ответ 2 байта вернет)
A5 05 06 07 FF FF 4A -Аккумулятор вернул данные FFFF по адресу 07 и 08
5A 03 14 09 85 - PSP просит прочитать EEPROM батарейки по адресу 09 (в ответ 2 байта вернет)
A5 05 06 09 FF FF 48 - Аккумулятор вернул FFFF по адресу 09 и 10

ИТОГО 13я команда - запись по адресу
14я - чтение по адресу

цитирую с форума wasm.ru "таким образом можно было менять серийник, что бы консоль могла запуститься в сервисном режиме, потом эту фишку из батареек убрали - запретили софтово менять еепром, а на некоторых батарейках еепрома нет вообще, точнее он есть но не ввиже отдельного чипа... Но это не мешает батрейкам нормально функционировать, а запрос серийного номера батарейки остался в виде однобайтоовой команды"

Если повторился - извините. Но вдруг кому-то понадобится

Кстати: фотки видно только если смотреть китаёсский сайт в оригинале без гугля
http://tieba.baidu.com/f?kz=715233468

kolio добавил 22-07-2010 в 10:54
нашел еще информацию о том, что давно в 2006м году уже знали протокол общения PSP-батарейка
но тоже остановились на алгоритме формирования 80-81х команд

и решил узнать насколько люди продвинулись в практике удаления бита защиты в микросхемах

NEC что-то вообще не нашел. как будто они не с нашей планеты и их чипы никто даже не пытался хакнуть

http://translate.google.com/translat...Fmcu_lock.html

вот перевод с англ. как парень делал свои опыты на микрухах.
там в таблице тоже есть NEC микрухи серии NEC 78K/0S
(UPD78F9026)
(UPD78F9046)
uPD78F9116
(UPD78F9136)

хоть и не наша, но как вариант, что её хакнуть можно.
описаны 2 метода:
1й. требует явного вскрытия микрухи. принцип описан. и через микроскоп найти дорожку для программирования и далее сам бит защиты
в одном случае он писал, что нужно ультра-фиолетом стирать этот бит. в другом случае написал, что можно даже иглой перерезать дорожку с битом защиты
2й. программно-аппаратный. в него я не углублялся. но из таблицы видно что была вбрана атака Power Glitch.

по моим наблюдениям китаёсы наверное всё же решили пойти путем вскрытия прошивки микрухи

А ВОТ ИНТЕРЕСНЫЙ ДОК от Сергея Скоробогатова. Вот Вам и Кэмбриджский универ! Думаю он точно взломал бы прошивку микрухи даже с закрытыми глазами
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-630.pdf
ТУТ ЯВНО ВИДНО КАК ИСКАТЬ ЭТОТ БИТ ЗАЩИТЫ, КАК АТАКОВАТЬ МИКРУХИ

на стр 61 описан метод 4.5.2 Power glitches
вот такой мы метод со знакомым хотели юзать на Укртелекомовском аппарате, чтобы вскрыть алгоритм проверки карточки на "вшивость"

Снятие бита защиты это конечно хорошо... Но для снятия дампа с чипа на батарее он же не нужен, имхо.
Но блин, это все переливание из пустого в порожнее. Основатели темы куда-то делись и работы похоже остановились. Если у кого-то есть программатор, то попробуйте снять дамп с чипа, тогда появиться возможность его разобрать.
Причем снять надо бы как с оригинальной, так и с той китайской, которая отвечает на все.

Aunoor, так бит защиты и нужен как раз для того, чтобы не могли слить дамп прошивки к себе
С утановленным битом ты можешь стереть и записать новую прошивку, но прочитать - нет, так сделано практически во всех микрухах
По идее китаесы поставили этот бит. Кому нужна конкуренция :). SONY их скорее всего быстренько нашла и прикрутила бы им гайки

Идем сюда: http://eldigi.ru/site/nec/index.php
Берем английский мануал. Открываем страницу 275. Смотрим. Я вижу только запрет на перезапись/стирание. Я конечно могу и сильно ошибаться, если так, то ткните меня носом.

Привет всем, хочу внести свою лепту в ваши старания. Столкнулся со странностью, купил на днях зызу 3000-ю в М-видео, прошивка 6.20, мать не определить, по внешним признакам не подходит ни под одно описание, DATA CODE - 0A. serial #HD0094992, Аккум пытался запандорить перерезав дорожку, не помогло, отрезал ногу у микросхемы, зыза всеравно грузится из flash0. Думаю что все дело в матери. Возможно ли какая-то защита новая? И как все таки определить ее версию?
Вот фото
[IMG]http://img180.**************/img180/6092/img0186as.th.jpg[/IMG] [IMG]http://img43.**************/img43/3518/img0188zy.th.jpg[/IMG] [IMG]http://img825.**************/img825/2528/img0189s.th.jpg[/IMG] [IMG]http://img291.**************/img291/8393/img0191zi.th.jpg[/IMG] [IMG]http://img130.**************/img130/6347/img0192wq.th.jpg[/IMG]

Ипать-копать, да неужели аппаратным путем не пандорится, да еще и на 3000 в сервис режим не входит? А тут люди парятся, команды выискивают, а оказывается ножку надо было перерезать? А матплата дааааа, уникальная...
Для тех кто в танке: батарейки, которые идут с непрошиваемыми псп ни аппаратно, ни программно не пандорятся. А на 3000 так вообще особая батарейка нужна, а ты вот так просто...

Спасибо конечно за ответ. Но перелопатив уйму ресурсов, за прошедшие 5 дней, я про особую батарейку для 3000, как ты пишешь, чет не нашел, везде пишут про то как сделать из любой, повторяю любой родной батареи - пандоренную. Если не трудно, опиши об этом, или дай ссылку. Значит у меня все таки есть надежда на "виртуалку"?

нет

После прочтения гуаносайтов необходимо в обязательном порядке снимать с ушей лапшу.

И так, давай по порядку
Ты имеешь ввиду это(взято из темы пандоры)
Но опускаешь из виду это
Про особую батарейку для 300х, прочитай в первом сообщении данной темы. Её пока нет в природе, кроме как в некоторых сервис центрах сони.
Но, помимо самой батарейки, тебе понадобиться особая карта(пандора карта на подойдёт), которой так же нет в свободном доступе абсолютно для всех.
ПС. Проблема не в инструкциях, а недостаточном понимании и вникании в них. В инструкциях(по крайней мере нормальных) сказано, что 300х пандорой не прошить, на то они непрошивайки. Даже в этой теме ты не удосужился прочитать первый пост, иначе бы не возник вопрос про особую батарейку для 300х.
На этот пост можно, и даже нужно, не отвечать во избежании флуда.

ну так, что будем делать ребят?
в тупик явно нельзя становиться. хоть кто-то подкиньте идей или заданий. или все сдались? или все участники уже сделали себе по сервиске? шучу

kolio, Сервиска, я думаю, у них уже давно есть, вот только сделать ее доступной для любого пользователя сейчас очень не просто.

вот это уже больше на правду смахивает
я вижу только 2 варианта как сделать реальную сервиску:

1. либо считать имеющуюся прошивку на батарее. понять её смысл и изменить под себя и записать модифицированную туда же. либо если нет возможности прочитать, но известен алгоритм - писать свою и прошивать микруху на батарее
2. если известен алгоритм. подрубать комповый эмуль к PSP напрямую через k-line

ОСТАЕТСЯ ОДНО НО:
никто незнает, что нужно ответить приставке, чтобы SYSCON перевел приставку в этот режим, и вообще бывает ли такая батарейка

жаль авторы темы молчат



--------------------------------
kolio добавил 29-07-2010 в 17:40
Мужики, понимаю чуть не в эту тему, но всё же
http://www.youtube.com/watch?v=qsJCq1Gkk0g
нашел ссылку на http://code.google.com/p/valentine-h...i/introduction

допустим парень не ставит просто анимацию, а реально хакает. это происходит через изображение
если у него всё получилось, то нужно искать ошибку в библиотеках по обработке изображений.
если же вы считаете, что это просто анимация, то я готов удалить своё сообщение и послать того черта нах.
хотя я попросил у него протестить этот эксплоит :)

kolio, читай в самом конце - http://lan.st/showthread.php?t=3107&page=4

t0rm3nt0r, ха ха ха. как смешно

Боря отдыхает на природе) Насчет остальных не знаю. И что нам даст прошивка чипа батареи? Если у сони спец батарея с отдельной программой то это нам не поможет. Единственный выход - дамп сискона (decap) либо пересадка сискона 200х на 300х но тогда нужно паять переходник, расположения контактов в них различно.

а что это нам даст?
ну запустишь ты одну такую приставку. а дальше что? объявим тотальную скупку сисконов на территории России и Украины с 2000к?

сейчас единственная цель: получить алгоритм. каким способом - не играет роли

в общем не буду спамить. так как толку от этого ноль. буду ждать авторов, а по возможности спаяю kline
---------------------------------------
ну и на последок
http://webcache.googleusercontent.co...k&client=opera

полезная инфа по инициализирующему вектору для алгоритма. возможно в протоколе используется именно этот алгоритм шифрования

http://webcache.googleusercontent.co...k&client=opera
---------------------------------------
написал письмо Скоробогатову из Кембриджского Универа. Может ответит на него. Буду надеяться. Авось подскажет, что делать с этой микрухой
---------------------------------------
он мне ответил. я конечно доволен как слон :)
и снова ему написал нашу ситуацию. буду ждать ответа
---------------------------------------
на второе письмо увы он уже не ответил. в принципе логично.

Про сискон уже сказали. Скажу про батарею. Даже в обычной батарейке очень много интересного (про команды-убийцы напоминать не надо? :) ), получив дамп с чипа мы узнаем почти полный алгоритм взаимодействия. К тому же может быть приятный сюрприз в виде не задействанного куска кода для сервиса. Этого мало?

SYSCON с 200х плюс плата-переходник позволит восстанавливать брикнутые 3000. Хотя и не за пару минут но всё же заработок будет довольно приличный

ну так вперед! кто тебя держит? или тебе подарить 2000ку и 3000ку для тестов? я понимаю - чужими руками жар загр***** легче. Но если хочешь помочь - действуй! Все только ЗА!

Я вот и ищу где бы заказать подобный переходник... Знакомый с завода вечно занят, а Боря на отдыхе, распиновку контактов ищу

Немного инфы насчёт хардварного метода:
lan.st/showpost.php?p=12076&postcount=9
Или же сама тема: lan.st/showthread.php?t=1799

Boryan, проверь личные сообщения. я тебе написал

Борис куда то исчез... Кто нибудь может подкинуть распиновку контактов сискона 2000 и 3000? Нашел того кто сделает переходник. Осталось найти какие ноги куда переставлять чтоб заработало. Хотя не знаю что будет после пересадки, попробовать можно

удачи вам, ребят! скрещу пальцы
"все, что написано, можно взломать"

Кто нашел datasheet на SYSCON с 200х и SYSCON с 300х (MB44C018 и MB44C015 получается) дайте ссылку.

А ты нам что? =)

Правильно Ёти! Так держать :)
простой закон физики - ничто не рождается из ничего. Чтобы просить - нужно сперва, что-то дать.

Интересная информация про "железный метод": http://lan.st/showthread.php?t=3013&page=8
Буржуи слегка поделились своими мыслями и действиями.

Ну как знаете...
Я переходник мудрить собирался вообще то. Помоему и так должно быть понятно, если даташиты а не разводку прошу.

ZallZall добавил 18-08-2010 в 01:09
Ничего железного я там не прочел... если есть еще предложения по железному методу - предлагайте - железно могу много чего сделать.

ZallZall добавил 18-08-2010 в 01:13
Я не прошу распиновку - дайте мне даташиты там вся распиновка есть - дальше я сам разберусь и без знакомого с завода и без Бори.

ZallZall добавил 18-08-2010 в 01:18
Заметить не трудно, это мои первые сообщения в этой ветке, читаю ее с самого начала - дали идею - хочу попытаться ее реализовать - все законы в равновесии получаются, не беспокойтесь, я не прехлебатель... просто кидать сообщения ни о чем считаю для себя плохим тоном. Спасибо.

Плохо читал, значит. Там есть информация, относящаяся к вышеуказанному методу и ранее упомянутому предложнию.

ну, вот, взяли обидели ZallZall. Он вам очень хорошую помощь предлагает, а вы его так отвергаете. Создать BGA переходник довольно трудоемкая работа, требующая спец оборудование (фен и трафареты, при чем китайские трафареты не катят) + трудоемкая работа развода дорожек.

З.Ы. Облазил кучу поисковиков, в том числе и множество японских, в поисках даташитов, но к сожалению ничего не нашел.

Так нет нигде даташита. Я даже разводку не могу найти. Это всё соневские тайны, фиг кто даст

Oper.kh,
а в чём проблема то? Было предложение железно достучаться декапом, по моей ссылке обсуждение: кто бы этим мог заняться, как к ним обратиться и т.д. Если человек не смог этого увидеть в тексте - это его проблемы. На что тут обижаться? На то, что я лучше английский текст воспринимаю? Да ради гипножабы, пускай обижается.

...какое то смутное предчувствие, что тему можно закрывать ...
:-)))))))))

не горячись. я сегодня буду звонить далекому знакомому. он связан с микрухами с ногами и руками.
мы как раз с ним и хотели провести аттаку на PIC микроконтроллер.
поговорю с ним. авось согласится принять участие
------------------------------------------
почитав диссертацию Скоробогатова. Я увидел, что он ломал защиту NECов с помощью атаки Power glitch. В трех словах.
При старте микрухи на определенном такте просаживается напруга и резко повышается. В тот момент микруха должна как раз вычивать бит защиты. В итоге нифига оно его не считает и будет думать, что его не выставили.
Нормальные микрухи имеют защиту от такого подхода. Но эта как видимо не имеет. Он сказал, что это старая микруха как свет земной.

и 2й вариант когда можно обмануть: подаем команду стереть прошивку. и в тот момент когда она сотрет бит защиты нужно погасить напругу. и микруха не успеет стереть сами данные.
но этот момент тоже нужно найти

есть еще защита - микруха случайным образом иногда выполняет команды в 3-4 раза дольше. и тогда происходит смещение по времени. это уже как повезет получается
---------------------------
увы знакомый в нашем деле не поможет. но это не повод сложить руки

Господа, заканчивайте срач, тема не об этом!