Sega Dreamcast Consoleのコピー保護をハックする方法

DOOM Black Bookのリリース後、私は休暇で日本に行きました。そこで、東京の秋葉原地区の台東HEYゲーミングルームで実際のアーケードマシンで斑鳩をプレイしました。 この経験は、再び最新のセガビデオゲームコンソールであるドリームキャストへの興味を蘇らせました。



ネットワーク上では、問題の調査プロセスを大幅に促進する多くのドキュメントを見つけることができます。 誰でもすぐに最新情報を入手できる2つの優れたリソースがあります。GPUレジスタに至るまですべてを説明する素晴らしいMarcus Comstedt Webサイトと、Jockel のリソース「Sega Dreamcast用のゲームをゼロから作成しましょう 。 」



車を研究していたとき、ハッカーがゲームのコピーの保護を素早く破り、SEGAの最新のハードウェアの希望を台無しにしたという驚くべき話を発見しました。

第一レベルの保護：GD-ROM

紙面では、SEGA Dreamcastのコピー防止機能は非常に強力に見えました。 ゲームはGD-ROMと呼ばれる特別な媒体で提供されました。 GDは、「ギガバイトディスク」（「ギガバイトディスク」）の略です。つまり、記録密度の増加により、最大ボリュームが1 GBになりました。これは、従来のCD-ROM（700 MB）の機能をはるかに上回りました。















GD-ROMの物理的寸法はCD-ROMと同じでしたが、マクロレベルでは肉眼で区別できる2つの領域で構成されていました。



最初の（暗い）ゾーンは、最大35 MBを含むCD-ROM互換の低密度領域です。 ディスクの内容はCDプレーヤーではなく、SEGA Dreamcast向けであることをユーザーに思い出させる音声オーディオトラックが含まれていました^[1] 。 また、開発者は、著作権情報などのテキストファイルと、ゲームのアートなどのプロモーション資料を含むトラックをそこに追加しました。



高密度エリア（ライト）は最大984 MBまで保存され^[2] 、ゲームのすべてのコンテンツがそこに配置されました。



ハッカーがゲームをディスクから取り出して、配布のために再度書き込むことは不可能に思えました。

GD-ROMからの起動：IP.BINおよび1ST_READ.BIN

海賊がゲームをコピーする方法を説明する前に、ロードシーケンスを理解する必要があります。 Dreamcastにはオペレーティングシステムがありませんでした。 Windows CEを使用しているという一般的な誤解がありますが、実際、Microsoft OSは、Dreamcast開発者がDirectX、DirectInput、およびDirectSoundを使用して接続できる追加の静的ライブラリにすぎません^[3] 。 一部のゲームではWinCEが使用されていました^[4]が、ほとんど（たとえば斑鳩）では使用されていません。 開発者が使用したものに関係なく、OSとDreamcastが完全に接続されたゲームは常に同じ方法で開始されました。



新しくアクティブ化されたDreamcastでの公式ゲームの通常の使用および起動中に、BOOTROMが起動され、ブートストラップがGD-ROMからRAMにロードされました。 この小さなプログラムは、最後のGD-ROMトラックにあり、コミュニティに「IP.BIN」として知られ、SEGAライセンス画面を表示し、ハードウェアレジスタのセットアップ、CPUスタックの作成、およびVBRの初期化のために2つのブートレベルを実行しました^[5] 。



さらに重要なことに、IP.BINにはゲームの実行可能ファイルの名前が含まれていました。 この名前はGD-ROMファイルシステムで検索され、0x8C010000でRAMにロードされた後、そこにプログラムが転送されました。 通常、実行可能ファイルは「1ST_READ.BIN」と呼ばれていました。









CPUがアドレス0x8C010000に到達した後、ゲームは本来どおりに開始されました。

第2レベルの保護：暗号スクランブラー

ハッキングの理論的可能性は、GD-ROMからではなくCD-ROMから起動するDreamcastの表面上は取るに足りない能力のために生じました。 当初、「MIL-CD」と呼ばれるこの機能は、音楽CDにマルチメディア機能を追加するために考案されましたが、7つのカラオケアプリケーションを除き、実際には使用されませんでした。



SEGAのエンジニアは、MIL-CDのロードが攻撃ベクトルとして使用できることを理解していたため、保護を追加しました。 コンソールがCD-ROMを認識すると、BOOTROMは通常の方法でIP.BINをロードしましたが、一見ランダムに1ST_READ.BINを暗号化しました。 実行可能な実行可能ファイルがカオスハッシュに変わり、コンソールがフリーズしました。









この観点から、コンソールは確実に保護されているように見えました。 Dreamcastは、海賊版のゲームのコピーを認識し、ダウンロードプロセス中に実行可能ファイルを破壊し、海賊を倒す可能性があります。

私の長い剣を出す！

破損したファイルの問題は、1999年の終わりにKatana SDK（ドリームキャストの公式Sega SDK）がハッカーチーム「ユートピア」によって盗まれたときに解決されました^[6] 。 スクランブラーは、「不明瞭さによるセキュリティ」原則の実装にすぎないことが判明しました。 SDKにはリバーススクランブラーが含まれていました。リバーススクランブラーは、正しい実行可能ファイルを「リバースハッシュ」に変換し、CD-ROMからの起動時にDreamcastコンソールをロードおよびスクランブルした後に再び実行可能ファイルになりました。

GD-ROMでゲームを取得する

盗まれたSDKは、必要なすべての海賊版でした。 マシンでコードを実行できる機能のおかげで、Dreamcastはゲームコンソールとしてではなく、GD-ROMドライブとして使用できるようになりました。 SDK ^[7]の「エンコーダケーブル」により、コンソールをPCに接続し、物理的な接続を確立できました。 コンソールがGDトラックの内容をダンプするために、特別な実行可能ファイルが作成されました。 その後、再スクランブルされてCD-ROMに書き込まれ、コンソールのシリアルポートを介してすべての1 GBのデータが出力されました。 エラーが発生しやすいプロセスで、最大18時間かかりました^{[8] [9]} 。 結果は、特別に作成された「.gdi」形式で保存されました。

  ikaruga.gdi 153バイト
 track01.bin 13 982 640バイト
 track02.raw 2,088,576バイト
 track03.bin 1185760800バイト 

興味深い事実 ：上記のように、データの合計量は1 GBではなく、1.2 GBであることがわかります。 これは、2352バイトのGD-ROMセクターが、同期に12バイト、ヘッダーに4バイト、ペイロードに2048バイト、エラー検出コード/エラー修正コードに288バイトを使用するRed Book形式に従うためです^{[10 ]} 。

  $猫ikaruga.gdi 
 3
 1 0 4 2352 track01.bin 0
 2 5945 0 2352 track02.raw 0
 3 45000 4 2352 track03.bin 0 

1000メガバイトのGD-ROMを700メガバイトのCD-ROMに収める方法

700メガバイトのCD-ROMにゲームを収めるために、ゲームリソースが作り直されました。 GD-ROMで使用されているISO-9660ファイルシステムにより、ビデオと音楽の離散化を簡単に変更したり、完全に削除したりできました。 ただし、ほとんどのゲームでは、1 GB全体を占有していないため、このような複雑なプロセスは必要ありません。 たとえば、TreasureのIkarugaは150 MBしか使用せず、そのコンテンツのほとんどはゼロで埋められていました。 このような場合、塗りつぶしデータを編集するだけで十分です。



実際、ISO-9660は非常によく知られた形式であるため、.gdiアーカイブの内容を調べるために単純なPythonスクリプト（たとえばgditools.py ）でさえ書かれています。

パッケージングと配布

プロセスの最後の2つのステップは、1J_READ.BINを逆スクランブルし、すべての情報を.cdiアーカイブにパックして、 DiscJugglerがイメージをCD-Rに書き込むことができるようにすることでした。 得られた結果は、修正チップを必要とせず、バニラドリームキャストで問題なく機能しました。

セガの反応と結果

SEGAは、MIL-CDを完全に無効にしたDCコンソールの2番目のバージョンをすぐにリリースしましたが、損害はすでに発生しています。 壊滅的な収益の減少と競合するPS2のリリースの後、開発者はDreamcastを放棄し、SEGAはソフトウェアの開発に専念して機器の開発を中止しました。

参照資料

[1]出典： SEGA GD Workshop

[2]ソース： segaretro.org：GD-ROM

[3]出典： マイクロソフトはWindows CE Toolkit for Dreamcastを発表

[4]出典： Windows CEを利用したDreamcastゲーム

[5]ソース： IP.BINおよび1ST_READ.BIN

[6]出典： Sega Dreamcastゲームをゼロから構築しましょう

[7]出典： PCシリアルアダプター

[8]出典： Dreamcastのセキュリティに関するより正確で詳細な説明

[9]出典： DCのブロードバンドコネクタを使用して、より高速な方法が最後に設計されました

[10]出典： Dreamcastの神話：GD-ROMストレージ容量