Cómo hackear la protección de copia de la consola Sega Dreamcast

Después del lanzamiento del DOOM Black Book, me fui de vacaciones a Japón, donde logré jugar a Ikaruga en una máquina arcade real en la sala de juegos Taito HEY en el barrio Akihabara de Tokio. Esta experiencia nuevamente revivió mi interés en la última consola de videojuegos de SEGA: Dreamcast.

En la red puede encontrar muchos documentos que facilitan enormemente el proceso de estudiar el problema. Hay dos recursos excelentes que pueden actualizar rápidamente a cualquiera: el maravilloso sitio web de Marcus Comstedt, que describe todo hasta los registros de la GPU, y el recurso de Jockel " Creemos un juego para Sega Dreamcast desde cero" .

Mientras estudiaba el auto, descubrí una historia increíble sobre cómo los hackers rompieron rápidamente la protección de copias de juegos y arruinaron las últimas esperanzas de hardware de SEGA.

Primer nivel de protección: GD-ROM

En el papel, la protección de copia para SEGA Dreamcast se veía muy fuerte. Los juegos se entregaron en un medio especial llamado GD-ROM, que solo SEGA podía producir. GD significa "Gigabyte Disc" ("disco gigabyte"), es decir, su mayor densidad de grabación proporcionó un volumen máximo de 1 GB, que era mucho más que las capacidades de un CD-ROM convencional (700 MB).



GD-ROM tenía las mismas dimensiones físicas que el CD-ROM, pero a nivel macro, consistía en dos áreas distinguibles a simple vista.

La primera zona (oscura) es una región de baja densidad compatible con CD-ROM que contiene hasta 35 MB. Contenía una pista de audio de voz que le recordaba al usuario que los contenidos del disco estaban destinados a SEGA Dreamcast, y no a un reproductor de CD ^[1] . Además, el desarrollador agregó una pista allí con archivos de texto, por ejemplo, información de derechos de autor y, a veces, materiales promocionales, por ejemplo, arte del juego.

El área de alta densidad (luz) se almacenó hasta 984 MB ^[2] y todo el contenido del juego se encuentra en él.

A los piratas informáticos les parecía imposible expulsar el juego del disco y volver a grabarlo para su distribución.

Arranque desde GD-ROM: IP.BIN y 1ST_READ.BIN

Antes de hablar sobre cómo los piratas lograron copiar juegos, necesitamos entender la secuencia de carga. Dreamcast no tenía un sistema operativo. Existe una idea errónea popular de que usaba Windows CE, pero de hecho, el sistema operativo de Microsoft era solo una biblioteca estática adicional que los desarrolladores de Dreamcast podían conectar para usar DirectX, DirectInput y DirectSound ^[3] . En algunos juegos, se utilizó WinCE ^[4] , pero en la mayoría (por ejemplo, Ikaruga) no se usó. Independientemente de lo que usara el desarrollador, un juego con un sistema operativo totalmente conectado y Dreamcast siempre comenzó de la misma manera.

Durante el uso normal y el lanzamiento del juego oficial en el Dreamcast recientemente activado, se lanzó BOOTROM, cargando el programa de arranque desde el GD-ROM a la RAM. Este pequeño programa, ubicado en la última pista de GD-ROM y conocido por la comunidad como "IP.BIN", mostró una pantalla con licencia SEGA y realizó dos niveles de arranque para configurar registros de hardware, crear una pila de CPU e inicializar VBR ^[5] .

Más importante aún, IP.BIN contenía el nombre del ejecutable del juego. Este nombre se buscó en el sistema de archivos GD-ROM y se cargó en la RAM a 0x8C010000, después de lo cual el programa se transfirió allí. Típicamente, el ejecutable se llamaba "1ST_READ.BIN".


Después de que la CPU fue a la dirección 0x8C010000, el juego comenzó como debería.

Segundo nivel de protección: codificador ransomware

La posibilidad teórica de hackear surgió debido a la capacidad aparentemente insignificante de Dreamcast para arrancar no desde GD-ROM, sino desde CD-ROM. Inicialmente, esta funcionalidad llamada "MIL-CD" fue concebida para agregar funciones multimedia a los CD de música, pero prácticamente no se usó, con la excepción de siete aplicaciones de karaoke.

Los ingenieros de SEGA entendieron que cargar un MIL-CD podría usarse como un vector de ataque, por lo que agregaron protección. Cuando la consola reconoció el CD-ROM, BOOTROM descargó IP.BIN de la manera habitual, pero cifró 1ST_READ.BIN, a primera vista al azar. El ejecutable de trabajo se convirtió en un hash caótico que hizo que la consola se congelara.


Desde este punto de vista, la consola parecía estar protegida de manera confiable. Dreamcast podría reconocer una copia pirateada del juego, corromper el archivo ejecutable durante el proceso de descarga y derrotar a los piratas.

¡Sirve mi espada larga!

El problema con el archivo dañado se resolvió cuando a finales de 1999 el equipo de piratas informáticos Utopia robó el Katana SDK (Sega SDK oficial para Dreamcast) ^[6] . Resultó que el codificador no era más que una implementación del principio de "seguridad a través de la oscuridad". El SDK contenía un codificador inverso, que convirtió el ejecutable correcto en un "hash hacia atrás", que nuevamente se convirtió en un ejecutable después de cargar y codificar con la consola Dreamcast al arrancar desde un CD-ROM.

Recuperando un juego con su GD-ROM

El SDK robado era todo lo que los piratas necesitaban. Gracias a la capacidad de ejecutar código en una máquina, Dreamcast ahora podría usarse no como una consola de juegos, sino como una unidad GD-ROM. El "cable codificador" del SDK ^[7] hizo posible conectar la consola a una PC y establecer una conexión física. Para que la consola descargue el contenido de las pistas de GD, se escribió un archivo ejecutable especial. Luego se volvió a codificar y se grabó en un CD-ROM para generar todos los 1 GB de datos a través del puerto serie de la consola. Fue un proceso propenso a errores que tomó hasta 18 horas ^{[8] [9]} . El resultado se guardó en un formato ".gdi" creado especialmente.

  ikaruga.gdi 153 bytes
 track01.bin 13982 640 bytes
 track02.raw 2,088,576 bytes
 track03.bin 1 185 760 800 bytes 

Un hecho interesante : puede ver que la cantidad total de datos no es 1 GB, como se mencionó anteriormente, sino 1.2 GB. Esto se debe a que los sectores de GD-ROM de 2352 bytes siguen el formato del Libro Rojo, que utiliza 12 bytes para la sincronización, 4 bytes para el encabezado, 2048 bytes para la carga útil y 288 bytes para el Código de detección de errores / Código de corrección de errores ^{[10 ]}

  $ cat ikaruga.gdi 
 3
 1 0 4 2352 track01.bin 0
 2 5945 0 2352 track02.raw 0
 3 45000 4 2352 track03.bin 0 

Cómo adaptar un GD-ROM de 1000 megabytes a un CD-ROM de 700 megabytes

Para ajustar el juego en un CD-ROM de 700 megabytes, se rediseñaron los recursos del juego. El sistema de archivos ISO-9660 utilizado en GD-ROM facilitó cambiar la discretización de videos y música, así como eliminarlos por completo. Sin embargo, para la mayoría de los juegos, no se requería un proceso tan complejo porque no ocupaban el total de 1 GB. Por ejemplo, el Ikaruga de Treasure ocupaba solo 150 MB, y la mayor parte de su contenido estaba lleno de ceros. En tales casos, basta con editar los datos de relleno.

De hecho, ISO-9660 es un formato tan conocido que incluso los scripts de Python (por ejemplo, gditools.py ) se escribieron para estudiar el contenido de los archivos .gdi.

Empaque y distribución

Las últimas dos etapas del proceso fueron la codificación inversa 1ST_READ.BIN y el empaquetado de toda la información en un archivo .cdi para que DiscJuggler pudiera grabar la imagen en CD-R. El resultado obtenido funcionó sin problemas en cualquier Dreamcast de vainilla sin la necesidad de un chip de modificación.

Reacción y consecuencias de SEGA

SEGA lanzó rápidamente la segunda versión de la consola DC con el CD de MIL deshabilitado por completo, pero el daño ya está hecho. Después de una caída catastrófica en los ingresos y el lanzamiento de la competencia PS2, los desarrolladores abandonaron Dreamcast y SEGA abandonó el desarrollo de equipos, centrándose completamente en la creación de software.

Referencias

[1] Fuente: Taller SEGA GD
[2] Fuente: segaretro.org: GD-ROM
[3] Fuente: Microsoft anuncia el kit de herramientas de Windows CE para Dreamcast
[4] Fuente: juegos de Dreamcast que utilizan Windows CE
[5] Fuente: IP.BIN y 1ST_READ.BIN
[6] Fuente: Construyamos un juego Sega Dreamcast desde cero
[7] Fuente: Adaptador serial de PC
[8] Fuente: Una mirada más precisa y profunda sobre la seguridad de Dreamcast
[9] Fuente: Las formas más rápidas se diseñaron en último lugar, utilizando el conector de banda ancha de DC
[10] Fuente: Dreamcast Mito: Capacidad de almacenamiento GD-ROM