К этому выводу я уже давно пришел... но суть еще в том что в консоли хранится больше чем в батарейке, поскольку фатки содержат ключи на первый диапазон 80XX (до 8008 кажись), а вот тонкие наоборот не содержат нижнего диапазона но знают про верхний (от 8008)
Просто эти патенты не дали пока ответа на возможный алгоритм, а то что они используют таблицу ключей - это теперь стало еще очевидней... пока нашел косвенное упоминание про FlexiHash, но там 4 байта работают вроде, а у нас 8... Нужно тащить прошивку...

ANDPSP добавил 24-09-2010 в 20:17
А что значит тупо пандора ? с обрезанным контактом еепрома ? Может стоило одну все же взять - вдруг там чип читаемый...
Просто те которые с переключателем типа ползунка - скорее всего и размыкают нужную ногу - т.е. реализуют аппаратную пандору - это конечно хуже софтовой но прошивка то там есть и может не так уж серьезно запрятана - все же ширпотреб...

Возможно это тоже что и ползунок только в другой интерпритации. Например реализованно полевиком.
Вообще если они выпускают эти батареи , то они либо написали прошивку либо стырили. И если не защитили, то лопухи полные. Yoti, напиши пожалуйста какой там контроллер.

ANDPSP, у Стаса есть такая там тупо вшита прошива и серийник FF ...чип неизвестный...будем пытаться и её ковырнуть...да у меня и кроме неё китайских батареек куча...попробуем из них достать...ну и с горбушки нужно хотябы одну иметь....какая нибудь надеюсь выложит своё содержимое..

Боря, какую или какие посоветуешь купить?(так что бы китайская, китайскее некуда) Закажу себе, а то живу далеко, по месту нигде нет. Попробую тоже вычитать.

пандора с лужи
 

пандора с лужи - названия стёрты - можно попробовать погадать что за микруха
http://zalil.ru/29723267

crashnok, а вот этого я не знаю ..как определить....наверное чем дешевле тем китайские

Boryan, есть у меня пара идей, но
хорошо бы знать каковы таймауты на ответ для psp и батареи,
что делает консоль/батарея при таймауте - генерирует новый код запроса/ответа, пытается повторить старый, отрабатывает алгоритм с нуля и т.д.

Ins|der добавил 24-09-2010 в 21:33
это да

Ins|der добавил 24-09-2010 в 21:38
батареи или приставки?

Ins|der добавил 24-09-2010 в 23:51
похоже в этом вся соль, ответ батареи - он же одновременно запрос:
первые 8 байт удостоверяют подлинность батареи, вторые 8 байт - проверяют подлинность консоли

5A 0B 80 || 08 (ключ?) || 6F C6 18 01 91 82 BC 3B (запрос 1) || BA
A5 12 06 || 8E A9 D7 E3 F6 41 3B E8 (ответ на запрос 1) || 94 49 90 20 9A 35 3E 6B (запрос 2?) || F2
если ответ верен, то отвечаем на запрос батареи, иначе: счетчик неудач + 1, повтор
5A 0A 81 || EF 6A 29 EE 53 D4 2C 03 (ответ на запрос 2) || 54
A5 0A 06 DB 33 42 BE 30 61 50 66 F5 (результат проверки)
приставка делает вывод, опознана ли она батареей (self judge)
если положителен, то продолжаем работу

то есть, возможна двойная авторизация: сначала консоль авторизует батарейку, затем батарея проверяет консоль и уведомляет о результате.

выходит, прям паранойя, ни батарейка ни psp изначально не верят друг другу, а консоль увидев, что батарейка ей не доверяет, также отказывается с ней работать о__о


видимо изначально у Соней батарейки были в приоритете, а теперь приставки =)

p.s. вы только помечайте в логах, где реальные команды, где измененные, а то не всегда понятно

Эрик вот ещё http://www.youtube.com/watch?v=PoBPk...eature=relatedпосмотри и вот ещёhttp://www.youtube.com/watch?v=o3jVW...eature=related прикинь что будет через 10 лет

Boryan добавил 25-09-2010 в 00:09
Ins|der, ипошки одним словом :)

Тогда уж посмотрите фильм Суррогаты :)

люди вот нарыл на китайском сайте)) http://j.mp/9aIVkf

ExMode,
сам то читал? Твоя ссылка абсолютно бесполезна.

Yoti, проверяешь сколько идиотов клюнет на бесплатный даун ? :)))))...уже 35 :)))

Boryan добавил 25-09-2010 в 13:26
ExMode, ну а по поводу ..за бугром всё есть..есть то есть, но как это достать ...да как можно скорее.

Boryan добавил 25-09-2010 в 13:27
Alex14435, в фильме можно что хочешь показать..а тут реальные вещи

ну разобрал я хитрую китайскую батарейку...и вот что увидел:
http://s02.radikal.ru/i175/1009/ed/4204bea439b3t.jpg
http://s53.radikal.ru/i140/1009/9d/78f8787bfeaat.jpg

Boryan добавил 26-09-2010 в 22:20
всё тот же NEC...а вот

Как видно батарейка знает только алгоритм старых команд. Это говорит о том что китайцы знают алгоритм батарейки раз могли написать на контроллер собственную программу....а не тупо повторяют дамп снятый с оригинала. Но писать алгоритм от новых батареек им нет смысла...все 2000 работают и в нижнем диапазоне 80...и этого достаточно.

Как я и думал, было бы глупо не защитить то, что выпускаешь (особенно такой коммерческий продукт).
А вот эта фотография http://zalil.ru/29723267 , намного интереснее, где бы прикупить такую.

именно обрабатывает алгоритм с нуля, если ответа нет вовремя или ответ батарейки не нравится консоли, то консоль начинает опрос снова с первой команды и так далее - 32 попытки если ты забыл :-)))

батарейки от фаток держат нижний диапазон, батарейки от слим - верхний диапазон - таким образом Сони видать закладывала возможность отсекать старые батарейки от новых консолей... а консоли тоже разделены по запросам к батарейкам, и вроде начиная со слимок запросы отличаются после получения обычного серийника и сервисного

фатка - идентификация 8000 (основной режим и сервисный),
88v3 работает с 8008(сервисный) и 8002(резервный сервисный),
3000я - 800A(основной), 8004(резервный, если батарейка не знает ответа на 800A) и 80D9 (сервисный)

все это было в моих логах этой ветки, но можно еще поуточнять и другие логи поанализировать, просто больше всего мучили именно 3000ю - так что с ней все четко...

Boryan, не закралась ли в лог ошибка?
вторые 8 байт в ответе на команду 8006 начинаются с BF, далее в ответах на неизвестные команды уже с 00.

Похоже батарейка запоминает ответ на последнюю известную команду и упорно его повторяет

Ins|der добавил 27-09-2010 в 11:40
ANDPSP, спасибо за уточнение)
но что насчет ответа батареи?

насколько я помню, фат-батарейка работает со слим-консолью (в том числе в сервис режиме), выходит нужные команды она знает?

вроде ещё 8001 была, если мне память не изменяет)

Как понятно, старые батарейки знают ответы на команды до 8006.
Но ведь ТА-088v3 переводится в сервисный режим обычными старыми батарейками.

Есть глупая идея...
Если сискон PSP-3000 знает запросы и ответы на все новые команды, то может просто выпаять этот умный NEC из PSP-3000 и впаять в WiteBlueTool, тогда батарейка тоже будет знать, как ответить )))
Или на его основе сделать K-Line.

Вот по моему умная мысля. Я так понял, ты прочитал дизасемблированный алгоритм драйвера сискона ТА-088v3.

Допустим мы сможем декриптовать и дизасмить драйвер сискона ТА-090v2, который у нас есть в зашифрованном виде, то возможно-ли вычислить формулу просчёта и вбить её в твой BatteryGrab, чтобы она при ответе на заданный запрос выдавала просчитанный алгоритм?

Стоп, чё-та я тупанул. Драйвер сискона одинаков на ТА-088v3 и ТА-090v2, так как PSP-3000 так-же откатывается с помощью того-же набора драйверов. Это ТА-093 работает на новом.

ErikPshat, это вольный перевод части патента Сони, который я попытался приспособить под наш случай ;)
ссылку на него выше по теме приводили

ты имеешь в виду прошивку сискона приставки?
как я понял, вся дилемма в этом и заключается, добыть прошивку контроллера приставки или батареи

Нет, не самого сискона, а драйвер syscon.prx.enc

ErikPshat, а драйвер этот где хранится?

Ins|der, на волшебной карте памяти ))
Его можно дизассемблить через PRXTool 1.1 by TyRaNiD

ErikPshat, понятно
раз с карты, значит инструкции по работе в сервисном режиме, но нас ведь интересует сам переход

Ins|der, я думаю, что сам сискон не в состоянии упрвлять командами, путь даже они в нём прописаны. Тут нужна дополнительная библиотека или софт, чем и приводятся в действие все обозначенные команды. ИМХО
А сам чип - это тупая железка.

Загрузка с карты идёт после сервис режима. Сервис режим может быть запущен без карты. Имхо, гиблый путь.

ErikPshat, чип сискона совсем не тупая железка ..а очень умная :) Все эти prx будут грузиться только тогда, когда он подружится с батарейкой. На данный момент я вижу только один вариант..тащить прошиву с контроллера батарейки. Батареек у меня уже прилично с разными чипами...нужно искать который отдаст своё содержимое...

Boryan добавил 27-09-2010 в 20:27
попа....поинтересовался на счёт чипа Nec upd78f0102h в старой батарейке у спецов нековских....вести неайс.... Boryan добавил 27-09-2010 в 20:44
кому интересно вот полные доки на контроллеры NEC http://www2.renesas.eu/micro/product...A#IMF_plmtools

Boryan, почему ты думаешь, что сам чип сискона такой умный и всем управляет?

Вполне вероятно, что программную оболочку берёт на себя именно драйвер/библиотека. Инструкция выглядет следующим образом:

• Сискон->Старт драйвера->Управление и генерирование команд драйвером сискона->инициализация процессора.

стартовая страница http://www2.renesas.eu/micro/product...A#IMF_plmtools..изучаем ...делаем выводы...

Boryan добавил 27-09-2010 в 20:48
ErikPshat, а ты представь брикнутую зызу...в ней всё слетело к чертям и prx тоже...как тогда должен сискон стартануть при отсутствии библиотек? Программа перевода в сервисный режим и инициализации батарейки в нём вшита намертво..это как минимум

А ты представь, как восстановить брикнутую ЗЫЗУ, если нет драйвера сискона )))
Сам сискон не в состоянии восстановить psp без главного управления, хотя даже служебные функи (и только) в ней присутствуют.

Правильно, волшебная карта должна взять управление на себя и в этом помочь.
И индикатор обращения к карте - не бессвязная штучка, а определяется по написанному управляющему коду в драйвере, а не в сисконе. Это как техники решат. Если они ничего не решат, то и зелёная лампочка даже не моргнёт, как и чирик в попе )))

ErikPshat, но всё то что ты описал выше происходит только после того как сискон подружится с батареей и даст команду ЦП для старта, и цп грузит всё остальное с карты...ему загрузить prx и заставить моргать лампочку нужна тысячная доля секунды :) Как и базар сискона с батарейкой происходит за доли секунды....ты не думай что это долгие процессы...

Драйвер нужен для другого- например подать напряжение на дисплей.
И он грузится на 100% после токо как сискон включил сервис.

вот ссылочка http://www.cl.cam.ac.uk/~sps32/mcu_lock.html где Скоробогатов чипы от NEC поместил в список взламываемых...неинвазивным методом

Boryan, вроде ты должен видеть эту тему: https://www.pspx.ru/forum/forumdisplay.php?f=203

Почемуто никто не допустил мысли что в самом сисконе есть область памяти для собственных дров - эту мысль доказывает поведение прошиваемых приставок после обновления до 6.30 а затем отката на кастом пандорой - они продолжают игнорировать левые батарейки! - значит драйвер в сисконе обновился а кастом при откате перешивает только нанд!

Прювет всем
Боря ты просил проверить эту хрень.
Вот, что у меня

5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 3F F9 67 7D 5A DB 50 BC 74
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E F3 EC C4 0A 40 1C 9B 3C F1
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C2 98 F4 2A A9 38 58 03 1D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C2 98 F4 2A A9 38 58 03 1D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E F3 EC C4 0A 40 1C 9B 3C F1
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 1B 1A 8C 65 D2 BF 2C 17 D7
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E D9 2A F6 72 62 4F 88 0D 20
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C2 98 F4 2A A9 38 58 03 1D
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E 0A 03 C2 79 0C BD A1 D3 4C
5A 0B 80 08 11 11 11 11 11 11 11 11 8A
A5 12 06 67 A3 DD CB F5 54 68 0E C2 98 F4 2A A9 38 58 03 1D

вариантов ответа скажем так не много
в логе я выделил совпавшие группы
если очень быстро клацать, то ответ почти всегда приходит один и тот же. всё это я наклацал за 3-4 сек в общей сумме
------------------------------------
может у кого-то есть исходник Бат граба 2.1 ? так как у меня 1.3 версия, в которой неверное формирование чек-суммы

stasik007,
лично я про такое вообще не слышал =)

Yoti. я тебе с работы вышлю схему.
а вот подопытная оригинальная батарея + спаяный kline

вот как видно всё сделал аккуратно без лишних проводов извне


коробочка обрела всего лишь посадочную площадку + микруху в ней


вот такой удобный коннектор типа "ПАПА" выпаял с какого-то устройства. давно было, уже не помню с чего именно, но под контакты батареи подошло 1-в-1. этой стороной как раз коннектор торчал помню в самой плате, то-есть контакты для припаивания тут подошли как соединительные :pardon:



ну вот так оно в действии

kolio, ну нафига такие картинки большие делать :) сделай нормальные

Boryan добавил 28-09-2010 в 10:44
вот рабочая прога http://zalil.ru/29737850 исходников у меня нету

Boryan добавил 28-09-2010 в 10:48
kolio, повторяющиеся вторые 8 байт в ответе на 80хх это запрос батарейки к зызе..это говорит о том, что генератор ключей в батарейке паршивенький

:) думаю это не критично для дела

та у меня скомпиленная 2.1 есть. значит исправлю в 1.3 ошибку

а 80D9 для сервиски идет после авторизации?

тот да не тот - это уже МК uPD78F0752 с поддержкой управления LED и битами защиты от чтения, стирания, записи flash и т.д.
вот доки по нему http://zalil.ru/29738333
вряд ли есть надежда что китайцы не выставили биты защиты, да и программатор нужен видать специфичный PG-FP5.

Может выложишь все виды микрух которые удалось наковырять - вдруг кто то найдет что то реальное среди них...

ANDPSP добавил 28-09-2010 в 13:01
не понял что ты имел ввиду... уточни...

фат-батарейка работает именно в резервном режиме, ответа на 8008 она не знает но знает на 8004 - так и работает... а при пандоре она знает ответ на 8002 и тоже пашет...

а вот 8001 не встречали ни разу в логах... может ты путаешь с 81 запросом ?

ANDPSP добавил 28-09-2010 в 13:02
нет там наших неков к сожалению...

ANDPSP добавил 28-09-2010 в 13:11
уточнение - это не совсем наши чипы (семейство 78K0/KB2) - нужно внимательнее смотреть линейки, отличия могут быть минимальными но значительными.
старый чип UDP78F0102H относится к семейству 78K0/KB1+ и в нем нет битов защиты
чип из белой пандоры UDP78F0752 относится к 78K0/IX2
так что читаем доки под конкретные модели а то запутаемся нафиг...