К этому выводу я уже давно пришел... но суть еще в том что в консоли хранится больше чем в батарейке, поскольку фатки содержат ключи на первый диапазон 80XX (до 8008 кажись), а вот тонкие наоборот не содержат нижнего диапазона но знают про верхний (от 8008)
Просто эти патенты не дали пока ответа на возможный алгоритм, а то что они используют таблицу ключей - это теперь стало еще очевидней... пока нашел косвенное упоминание про FlexiHash, но там 4 байта работают вроде, а у нас 8... Нужно тащить прошивку...

ANDPSP добавил 24-09-2010 в 20:17
А что значит тупо пандора ? с обрезанным контактом еепрома ? Может стоило одну все же взять - вдруг там чип читаемый...
Просто те которые с переключателем типа ползунка - скорее всего и размыкают нужную ногу - т.е. реализуют аппаратную пандору - это конечно хуже софтовой но прошивка то там есть и может не так уж серьезно запрятана - все же ширпотреб...

Возможно это тоже что и ползунок только в другой интерпритации. Например реализованно полевиком.
Вообще если они выпускают эти батареи , то они либо написали прошивку либо стырили. И если не защитили, то лопухи полные. Yoti, напиши пожалуйста какой там контроллер.

ANDPSP, у Стаса есть такая там тупо вшита прошива и серийник FF ...чип неизвестный...будем пытаться и её ковырнуть...да у меня и кроме неё китайских батареек куча...попробуем из них достать...ну и с горбушки нужно хотябы одну иметь....какая нибудь надеюсь выложит своё содержимое..

Боря, какую или какие посоветуешь купить?(так что бы китайская, китайскее некуда) Закажу себе, а то живу далеко, по месту нигде нет. Попробую тоже вычитать.

пандора с лужи
 

пандора с лужи - названия стёрты - можно попробовать погадать что за микруха
http://zalil.ru/29723267

crashnok, а вот этого я не знаю ..как определить....наверное чем дешевле тем китайские

Boryan, есть у меня пара идей, но
хорошо бы знать каковы таймауты на ответ для psp и батареи,
что делает консоль/батарея при таймауте - генерирует новый код запроса/ответа, пытается повторить старый, отрабатывает алгоритм с нуля и т.д.

Ins|der добавил 24-09-2010 в 21:33
это да

Ins|der добавил 24-09-2010 в 21:38
батареи или приставки?

Ins|der добавил 24-09-2010 в 23:51
похоже в этом вся соль, ответ батареи - он же одновременно запрос:
первые 8 байт удостоверяют подлинность батареи, вторые 8 байт - проверяют подлинность консоли

5A 0B 80 || 08 (ключ?) || 6F C6 18 01 91 82 BC 3B (запрос 1) || BA
A5 12 06 || 8E A9 D7 E3 F6 41 3B E8 (ответ на запрос 1) || 94 49 90 20 9A 35 3E 6B (запрос 2?) || F2
если ответ верен, то отвечаем на запрос батареи, иначе: счетчик неудач + 1, повтор
5A 0A 81 || EF 6A 29 EE 53 D4 2C 03 (ответ на запрос 2) || 54
A5 0A 06 DB 33 42 BE 30 61 50 66 F5 (результат проверки)
приставка делает вывод, опознана ли она батареей (self judge)
если положителен, то продолжаем работу

то есть, возможна двойная авторизация: сначала консоль авторизует батарейку, затем батарея проверяет консоль и уведомляет о результате.

выходит, прям паранойя, ни батарейка ни psp изначально не верят друг другу, а консоль увидев, что батарейка ей не доверяет, также отказывается с ней работать о__о


видимо изначально у Соней батарейки были в приоритете, а теперь приставки =)

p.s. вы только помечайте в логах, где реальные команды, где измененные, а то не всегда понятно

Эрик вот ещё http://www.youtube.com/watch?v=PoBPk...eature=relatedпосмотри и вот ещёhttp://www.youtube.com/watch?v=o3jVW...eature=related прикинь что будет через 10 лет

Boryan добавил 25-09-2010 в 00:09
Ins|der, ипошки одним словом :)

Тогда уж посмотрите фильм Суррогаты :)

люди вот нарыл на китайском сайте)) http://j.mp/9aIVkf

ExMode,
сам то читал? Твоя ссылка абсолютно бесполезна.

Yoti, проверяешь сколько идиотов клюнет на бесплатный даун ? :)))))...уже 35 :)))

Boryan добавил 25-09-2010 в 13:26
ExMode, ну а по поводу ..за бугром всё есть..есть то есть, но как это достать ...да как можно скорее.

Boryan добавил 25-09-2010 в 13:27
Alex14435, в фильме можно что хочешь показать..а тут реальные вещи

ну разобрал я хитрую китайскую батарейку...и вот что увидел:
http://s02.radikal.ru/i175/1009/ed/4204bea439b3t.jpg
http://s53.radikal.ru/i140/1009/9d/78f8787bfeaat.jpg

Boryan добавил 26-09-2010 в 22:20
всё тот же NEC...а вот

Как видно батарейка знает только алгоритм старых команд. Это говорит о том что китайцы знают алгоритм батарейки раз могли написать на контроллер собственную программу....а не тупо повторяют дамп снятый с оригинала. Но писать алгоритм от новых батареек им нет смысла...все 2000 работают и в нижнем диапазоне 80...и этого достаточно.

Как я и думал, было бы глупо не защитить то, что выпускаешь (особенно такой коммерческий продукт).
А вот эта фотография http://zalil.ru/29723267 , намного интереснее, где бы прикупить такую.

именно обрабатывает алгоритм с нуля, если ответа нет вовремя или ответ батарейки не нравится консоли, то консоль начинает опрос снова с первой команды и так далее - 32 попытки если ты забыл :-)))

батарейки от фаток держат нижний диапазон, батарейки от слим - верхний диапазон - таким образом Сони видать закладывала возможность отсекать старые батарейки от новых консолей... а консоли тоже разделены по запросам к батарейкам, и вроде начиная со слимок запросы отличаются после получения обычного серийника и сервисного

фатка - идентификация 8000 (основной режим и сервисный),
88v3 работает с 8008(сервисный) и 8002(резервный сервисный),
3000я - 800A(основной), 8004(резервный, если батарейка не знает ответа на 800A) и 80D9 (сервисный)

все это было в моих логах этой ветки, но можно еще поуточнять и другие логи поанализировать, просто больше всего мучили именно 3000ю - так что с ней все четко...

Boryan, не закралась ли в лог ошибка?
вторые 8 байт в ответе на команду 8006 начинаются с BF, далее в ответах на неизвестные команды уже с 00.

Похоже батарейка запоминает ответ на последнюю известную команду и упорно его повторяет

Ins|der добавил 27-09-2010 в 11:40
ANDPSP, спасибо за уточнение)
но что насчет ответа батареи?

насколько я помню, фат-батарейка работает со слим-консолью (в том числе в сервис режиме), выходит нужные команды она знает?

вроде ещё 8001 была, если мне память не изменяет)

Как понятно, старые батарейки знают ответы на команды до 8006.
Но ведь ТА-088v3 переводится в сервисный режим обычными старыми батарейками.

Есть глупая идея...
Если сискон PSP-3000 знает запросы и ответы на все новые команды, то может просто выпаять этот умный NEC из PSP-3000 и впаять в WiteBlueTool, тогда батарейка тоже будет знать, как ответить )))
Или на его основе сделать K-Line.

Вот по моему умная мысля. Я так понял, ты прочитал дизасемблированный алгоритм драйвера сискона ТА-088v3.

Допустим мы сможем декриптовать и дизасмить драйвер сискона ТА-090v2, который у нас есть в зашифрованном виде, то возможно-ли вычислить формулу просчёта и вбить её в твой BatteryGrab, чтобы она при ответе на заданный запрос выдавала просчитанный алгоритм?

Стоп, чё-та я тупанул. Драйвер сискона одинаков на ТА-088v3 и ТА-090v2, так как PSP-3000 так-же откатывается с помощью того-же набора драйверов. Это ТА-093 работает на новом.

ErikPshat, это вольный перевод части патента Сони, который я попытался приспособить под наш случай ;)
ссылку на него выше по теме приводили

ты имеешь в виду прошивку сискона приставки?
как я понял, вся дилемма в этом и заключается, добыть прошивку контроллера приставки или батареи

Нет, не самого сискона, а драйвер syscon.prx.enc