LE PROTEZIONI NELLE CONSOLES - GAMECUBE

​

Il GameCube venne elaborato da Nintendo con il nome interno di "Project Dolphin" ed uscì in commercio nel 2001 con product code DOL-001. Fu la prima console di big N a fare uso di supporti di memorizzazione di tipo disco. Forse non tutti sanno che, verso la fine del 2001, la Panasonic ebbe l'opportunità di rielaborare la console con supporto di DVD e media playing producendo il Panasonic Q, grande insuccesso commerciale, che potete vedere qui sotto:

​

PROTEZIONI

FORMATO DISCO PROPRIETARIO

I dischi del GC sono miniDVD di 8 cm con capacità di circa 1.5 GB; vengono chiamati "GOD" che sta per "Gamecube Optical Discs" e furono prodotti dalla Matsushita (futura Panasonic).

Questo formato fu scelto per:
- ridurre la pirateria;
- ridurre i costi di produzione grazie alla partnership di Nintendo con Matsushita;
- permettere la memorizzazione di filmati/animazioni in-game, dato che le cartucce N64 avevano spazio molto limitato (un miniDVD permette comunque il doppio dello spazio di un normale CD i quali invece spopolavano nelle altre consoles);
- per evitare di utilizzare la console come un normale DVD Player per il (poco credibile) motivo ufficiale sancito in una intervista dal CEO di Nintendo of America’s Howard Lincoln:

Il vero motivo probabilmente risiede nel fatto che, per vendere un dispositivo in grado di leggere DVD, si devono pagare le royalties al DVD Forum che all'epoca ammontavano, a quanto ho potuto leggere, a circa 20$ per unità/console.

STANDARD QUASI-DVD

I dati di questi dischi sono memorizzati secondo uno standard molto simile a quello dei DVD ma con alcune differenze proprietarie che non rendono i GOD perfettamente compatibili con i normali (mini)DVD:

1 - la sezione dati di questi dischi utilizza un metodo di scrambling diverso dallo standard descritto nel documento ECMA DVD Specifications producendo dunque un "offuscamento" dei dati memorizzati;
2 - il Data Frame Layout è diverso da quello standard;

Questi 2 stratagemmi proteggono dalla copia "brutale" effettuata dagli utenti comuni ma con hardware professionale sarebbe ancora possibile riprodurre una copia 1:1. Ecco che entra in scena la vera protezione "fisica" di questi straordinari supporti.

LA PROTEZIONE DA COPIA BCA... PROPRIETARIA !

La Burst Cutting Area (BCA) è quell'area di un qualsiasi disco, visibile ad occhio nudo, compresa tra il raggio 22.3±0.4 mm ed il raggio 23.5±0.5 mm che puo'opzionalmente contenere informazioni incise tramite hardware dedicato (un laser YAG) e leggibile da normali laser dei lettori a cui tuttavia non tutti i lettori DVD sono in grado di accedere perchè necessitano di una circuiteria dedicata. Quest'area di 188 bytes nei dischi GC contiene 2 parti:
- una encrypted table di 124 bytes utilizzata nella protezione (leggere poco più sotto)
- 64 bytes non criptati
I dati della encrypted table vengono decriptati direttamente dal firmware del lettore ottico ed una volta in chiaro si ottiene una cosa a mio avviso strabiliante: 6 valori precisi che, se analizzati nel modo giusto, scopriamo rappresentare la posizione fisica nel disco di qualcosa... e se andiamo a curiosare proprio in quelle posizioni cosa troviamo ? Altrettante "incisure" scritte presumibilmente con lo stesso metodo del BCA però questa volta all'interno dell'area dei dati ! Questi piccoli "tagli" sono chiaramente visibili se il disco è tenuto davanti a una forte sorgente luminosa come potete vedere nell'immagine qui sotto (presa da un disco Wii: funziona nello stesso modo) con relativo ingrandimento di dettaglio su una di queste 6 "tacche" (un'altra è visibile in alto a sinistra nella porzione di immagine non zoomata):

Questa invece è presa da un disco Game Cube per gentile concessione del nostro gentilissimo Francesco:

Questa a mio avviso è ARTE ! E per capire l'arte ci vuole un genio, quello di tmbinc, reverser di grande talento in grado di produrre questo mirabolante articolo dove vengono spiegati i minimi dettagli della protezione che in poche e squallide parole ho cercato invano di spiegarvi poco più in altro (purtroppo sembra non aver mai completato la parte 2 e 3 relative all'articolo linkato); per chi non lo sapesse questo mostro di bravura lo ritroveremo poi nelle file del team Twiizers (futuro team Fail0verflow) !

REGION CHECK

Reversando le .iso prodotte da un tool che modifica la regione ho notato che questa è memorizzata in 2 punti del disco:

All'offset 0x003 abbiamo l'ID del gioco che contiene la lettera della regione:
45 - E (USA)
4A - J (JAP)
50 - P (PAL)

All'offset 0x45B del disco è invece memorizzato il country code/codice regione:
00 - JAP
01 - USA
02 - PAL

Per patchare la regione vanno modificati entrambi; in allegato a questa discussione trovate i tools appositi per farlo.

BIOS/BootROM

Il BIOS (o BootROM), di 2MB, è memorizzato in un chip apposito della Macronix (vedere foto sopra) ed è criptato mediante un algoritmo basato su XOR; tale algoritmo è stato scoperto dal reverser Segher (ve lo ricordate questo nome dalle precedenti puntate, vero ?) ed è dunque noto.
Il bios è trutturato in 2 parti:
BS1: Bootstrap Stage 1 [BS1], scritta in ASM che inizializza l'hardware e carica il BS2;
BS2: Bootstrap Stage 2 [BS2 o IPL], scritta in C come qualunque altro programma per GC;
Il suo reversing ha portato anche alla creazione di un BIOS homebrew. Se vi è venuta la domanda "ma dunque possiamo modificare il BIOS del GameCube ?" la risposta è SI !

SUPERARE LE PROTEZIONI

Come abbiamo avuto modo di capire i dischi GOD richiedono particolari DVD-ROM drives per essere letti ad esempio su un PC; in particolare è necessario che abbiano al loro interno il microcontrollore Hitachi MN103 perchè tale chip supporta degli specifici comandi di debug necessari ad effettuare il "RAW DUMP", cioè la lettura 1:1, di questi particolari dischi che vengono sfruttati da applicazioni per Windows come RawDump per effettuare appunto un dump corretto:

Nello specifico i drives supportati sono quelli contenuti nello spoiler sottostante:

Spoiler

LG GH20NS15
Optiarc DVD RW AD-7203A
PHILIPS DVD+RW SDVD8441 PA48 IDE (GC only)
GDR-3120L (dentro alcune vecchie xbox360)
GDR-8082N
GDR-8084N
GDR-8160B
GDR-8161B
GDR-8162B
GDR-8163B
GDR-8164B
GDR-H10N
HL-DT-STDVD-ROM GDR8082N0L03
HL-DT-STDVD-ROM GDR8082N0007
HL-DT-STDVD-ROM GDR8082N0010
HL-DT-STDVD-ROM GDR8082N0C07
HL-DT-STDVD-ROM GDR8082N0120
HL-DT-STDVD-ROM GDR8082N0106
HL-DT-STDVD-ROM GDR8161B0042
HL-DT-STDVD-ROM GDR8161B0043
HL-DT-STDVD-ROM GDR8161B0100
HL-DT-STDVD-ROM GDR8161B0102
HL-DT-STDVD-ROM GDR8162B0015
HL-DT-STDVD-ROM GDR8162B0018
HL-DT-STDVD-ROM GDR8163B0D20
HL-DT-STDVD-ROM GDR8163B0B26
HL-DT-STDVD-ROM GDR8163B0L23
HL-DT-STDVD-ROM GDR8164B0B07
HL-DT-STDVD-ROM GDR8164B0L06
HL-DT-STDVD-ROM GDR8164B0B10
HL-DT-STDVD-ROM GDRH10NB0B10
HL-DT-STDVD-ROM GDRH10NB0F03

Oppure un altro sistema è quello di dumparli direttamente da Wii grazie all'homebrew CleanRip:

COME AVVIARE I TITOLI BACKUPPATI

Come in ogni scena che si rispetti ci sono vari metodi:

MODCHIP

I più famosi sono:

VIPER

si collega direttamente al drive ottico rendendo anche possibile la lettura di "normali" miniDVD e bypassa le protezioni sopra menzionate; possiede un software di gestione dedicato avviato sulla console.
Qualcuno è stato in grado di reversarlo (producendo un modchip homemade) ed è emerso ciò che è in grado di fare:

Spoiler

- Initialize the diskdrive into a reset state (by setting HW register cc003024)
- Unlock the drives' debug feature by sending two special commands named "ff 01 MATSHITA 02 00" and "ff 00 DVD-GAME 03 00"
- Sending some small codeblock into the drives' memory by using a command named
"fe 01 01 00 "
- Starting this codeblock by hooking it into a system call within the drive
- Unlocking the drive by performing a ReadDiscID command (A8000040) to be able to read sectors
- Enable audio streaming depending on the setup of the DiscID
- Reading , parsing and starting the apploader of the swapped disc, resulting in booting the application on it

XENOGC

Modchip più semplice che permette l'esecuzione di copie di dischi di backup ma non possiede (per lo meno nella descrizione che ho studiato) un software di gestione dedicato.

Data la particolare ottica del lettore originale questi modchip non garantiscono completa compatibilità con tutti i supporti vergini ed inoltre non hanno totale compatibilità con i giochi backuppati indipendentemente dal supporto utilizzato.

SOFTMOD

La primissima "primitiva" softmod richiedeva l'utilizzo di una copia del gioco Phantasy Star Online 1&2 (non 1&2plus nè 3) e di un adattatore Broadband (BBA);

il gioco permetteva di scaricare dal server ufficiale degli aggiornamenti in locale; il protocollo di comunicazione utilizzato era quello scelto nella versione Dreamcast del gioco ed era già stato studiato; il programma chiamato PSOload/PSUL (ultima versione PSOloadV2.0a) emulava in locale il server ufficiale a cui si connetteva il gioco (DNS faking) ed attraverso di esso poteva essere caricato ed avviato nella console codice arbitrario !


La softmod successiva prevedeva invece l'utilizzo di un adattatore SDGC Memory Card (tipo SDGecko - le SD card sono nativamente compatibili con il GC se i pin vengono collegati nel modo corretto):

nel quale copiare l'eseguibile gamecube (estensione .GCI) ed eventualmente i files per gli exploit. L'eseguibile più utilizzato sembra essere Swiss, un homebrew all-in-one:

è inoltre necessario un sistema per avviare tale eseguibile; i 2 metodi utilizzati per farlo sono:
1 - l'utilizzo di un disco (Action Replay per GC, DATEL SD MEDIA LAUNCHER, ecc) per GC: una volta avviato ci permette di avviare (o selezionare ed avviare a seconda del sistema utilizzato) l'eseguibile dalla memory card:

2 - un salvataggio exploitato di un gioco che avvia l'eseguibile dalla memory card. Un elenco dei nomi degli exploit dei giochi attualmente disponibili:

• 007: Agent Under Fire
• ac-exploit (Animal Crossing)
• BMX HAX
• fzero-hx
• ghostrecon2
• Home Bros.
• pandoratomorrow
• PokéLoad
• Splinter Cell
• Twilight hack (Zelda: Twilight Princess)
• ww-hack (Wind Waker)

Visto che il GameCube non dispone di una memoria interna scrivibile dove poter salvare cio'che ci interessa l'avvio degli exploit deve essere rieseguito ad ogni accensione.

Questi sistemi sono anche in grado di disabilitare il region check.

Una cosa curiosa è che questi dischi Datel hanno un sistema che rende difficile la loro copia; solo a fine 2019 tale copia è stata resa facilmente fattibile (anche se servono quasi 3 ore per il dump!) grazie alla versione 2.1.0 dell'homebrew CleanRip.

ODE (Optica Drive Emulator)

A Novembre 2019 il sito dansprojects propose un ODE dal nome GC Loader che va a sostituire il lettore ottico originale della console (il cui connettore andrà dunque dissaldato) per la modica cifra di 80 dollari:

Questo dispositivo è installabile piuttosto facilmente facendo delle saldature già predisposte (non necessarie con la successiva versione "PNP" che ha già un connettore "PlugNPlay") sull'apposito connettore preservando indefinitamente la console dalle rotture che possono colpire il suo lettore DVD. Il prodotto lavora molto bene se abbinato all'homebrew Swiss di cui sopra ed i tempi di caricamento risultano addirittura più rapidi rispetto al lettore ottico originale; supporta schede SD formattate in FAT32 testate fino a 512GB nelle quali copiare le ISO dei titoli (viene lanciato automaticamente il file boot.iso che copierete nella radice della SD - si consiglia di utilizzare la ISO di Swiss per lavorare agevolmente).

CURIOSITA'

Esisteva anche la possibilità di sostituire la scocca in plastica in modo tale da farle accettare anche la dimensione dei normali DVD (grazie a @toti84wii toti84wii per la info !):

Se anche voi siete rimasti a bocca aperta leggendo le caratteristiche della BCA proprietaria significa che potreste gradire anche il prossimo articolo riguardante una console sconosciuta ai più e che non è stata ancora reversata data la sua scarsissima diffusione ma che fa da ponte con i futuri sistemi di protezione ! Sarà un articolo probabilmente breve ma curioso: si parlerà infatti di iQue !

 

Hai ragione, su vwii può dumpare solo dischi Wii, correggo! Grazie

 

Il minidvd è uno standard che nintendo ha in parte modificato in modo proprietario con l'azienda matsushita.

Si vorrei coprire anche le consoles sega tempo permettendo.

No la prossima non sarà il pippin. Sempre nintendo ma dubito che qualcuno di voi l'abbia mai vista

 

Aggiunte info sul region check e su come bypassarlo (in allegato al primo post i tools necessari per farlo in automatico).

Aggiunte info sul BIOS della console.

No, non è il virtualboy