Storia del Console hacking/cracking: Playstation1 (FAT) & PSONE (SLIM)

Con questo articolo vorrei inaugurare una serie di “dossier” sulle varie metodologie di hacking/cracking applicate alle varie console per videogames uscite sul mercato. Iniziamo dunque con Sony Playstation che merita indubbiamente un posto “tutto speciale”, per non dire “d’onore”, avendo in un certo senso rivoluzionato il mercato dell’home entertainment (se non altro per numero di consolle vendute al mondo!).

Allegato 804

Questa console a 32bit è stata presentata in Giappone dalla Sony Computer Entertainment nell’ormai lontano Dicembre 1994. Fu un vero e proprio successo commerciale, complice anche il costo irrisorio di una modifica hardware che consentiva di utilizzare CD duplicati con un semplice masterizzatore, rendendo notevolmente più economico l’approvvigionamento di materiale videoludico (pirateria n.d.r.) rispetto all’acquisto degli originali. Vorrei però farvi riflettere sulla assoluta ed indubbia “buona fede” di Sony in merito a questa osservazione: è da escludersi che avesse mai pensato di avvantaggiarsi sui concorrenti (Nintendo64 e Sega Saturn) immettendo sul mercato un sistema di protezione blando e poco efficace; infatti le rendite delle console casalinghe non derivano quasi mai dalla vendita dell’hardware (sul quale addirittura quasi sempre il produttore ci rimette, soprattutto nel primo periodo), ma dalle royalties sul software. Pertanto anche con un gran numero di unità vendute, i guadagni sarebbero stati scarsi o addirittura in negativo. E’ quindi forse più corretto, come quasi sempre avviene, discutere di aver sottovalutato le capacità della “scena” hacking/cracking sempre vigile nell’undergound, o cmq di aver “studiato a tavolino” la possibilità di “perdite economiche” in tal senso che di sicuro non hanno intaccato (perlomeno non troppo) la voce “bilancio” nel libro mastro di mamma Sony.

Grande operazione di marketing? Chi può dirlo/negarlo….?!

Ad ogni modo, la prima metodologia di booting di “backup masterizzati” risale al 1996 ad opera di un personaggio (si vocifera un ingegnere freelance cinese) operante nella lontana Hong Kong, che tramite un “modchip” riuscì a bypassare il DRM insito nella console stessa. Il concept dell’hack era in verità molto semplice: Immaginate una comunicazione (data stream) tra la CD Controller e la CPU. Questo datastream di 250bps consiste in un una serie di caratteri (SCEI, SCEE, SCEA) che devono “matchare” con la provenienza della console in uso (Asia, PAL o Nord America la cui informazione è inserita nel FIRMWARE/BIOS). Il modchip, in una metodologia hacking definita “man in the middle”, non fa altro che:

da una parte bloccare il datastream “originale” non curandosi più della sua veridicità

dall’altra “iniettare” un datastream “taroccato” andando sempre e comunque a soddisfare il DRM della console poiché a rotazione venivano inviati consecutivamente TUTTI i byte corrispondenti ad ogni supporto esistente e possibile.

Dunque come “effetto collaterale”, la console avviava qualunque tipo di supporto si trovasse a leggere…quindi non solo CD Originali provenienti da altra regione ma anche e soprattutto “copie di backup” nel cui supporto vergine sarebbe impossibile inserire (masterizzare)i subchannel data contenenti le informazioni DRM di regione d’appartenenza.

Inizialmente questi modchip “originali” venivano venduti ad un prezzo che poteva variare dai 40 agli 80 dollari (!), ma successivamente, in seguito ad un lavoro di reverse engineering del modchip da parte di un’anonimo hacker olandese, il prezzo (dei suoi cloni e non)si assestò inevitabilmente sui 25dollari.

Un bello “scossone” avvene poi ad inizio 1997 grazie all’hacker Old Crow (Scott Rider), il quale non solo reversò con successo un “modchip originale made in Hong Kong” ma addirittura ne pubblico il codice sorgente su un sito web. Naturalmente dopo poche settimane il prezzo dei modchip scese ulteriormente andandosi ad assestare tra i 10 ed i 20 dollari.

Addirittura, successivamente, a fine 1997, con l’uscita sul mercato dell’economico “PIC 12C508” venne eseguito un porting del codice ad opera di Old Crow e di un anonimo programmatore tedesco (che sia stato Tmbinc “Felix Domke” poi famosissimo nella scena Xbox360? N.d.r.) andando ad operare un ulteriore ribasso del chip di modifica che si assestò a circa 5-15 dollari.

Allegato 803

A partire da questa data, l’unico tentativo (poi rivelatosi infelice n.d.r.) da parte di mamma Sony per contrastare un simile scenario (parliamo del 1998), fù quello di introdurre una protezione “anti-chip”, una sorta di “check” all’interno di alcuni videogiochi che andavano a richiamare nuove routine implementate nel firmware della consolle le quali richiamavano (randomicamente od in certi punti specifici del gioco) un “check-region” non più soddisfatto dal solo punto di vista della CD-Controller (ingannabile dal modchip), ma piuttosto anche dal punto di vista del firmware stesso (non ingannabile dal modchip) in una specie di contesto di “tavola della verità” che se soddisfatta andava a bloccare miseramente il gioco/i in questione.

Un simile approccio, benché fastidioso, venne completamente “smontato” dalla nuova generazione di modchip, o per meglio dire, dalla nuova generazione di microcodice al loro interno. Tali nuovi chip vennero definti “Stealth”, ovvero “Invisibili”: sostanzialmente il modchip andava a stoppare ogni sua attività dopo aver soddisfatto il requisito di boot del gioco, non andando più a falsare “la tavola delle verità” eventualmente richiamabile dal gioco stesso una volta startato.

Ecco un immagine del logo che appariva quando veniva detectato un supporto NON ORIGINALE/NON REGION FREE

Allegato 801

Un ulteriore metodologia, che veniva incontro a tutti quelli che avevano ormai installato un modchip NON STEALTH, era quella di patchare direttamente i giochi dotati di una simile protezione, andando in parole povere a rimuovere quella porzione di codice responsabile del check di bontà del supporto utilizzato.

Allegato 802

E’ interessante riferire anche della presenza sul mercato dei cosiddetti “antipiracy modchip”, ovvero una particolare categoria di chip che bloccava esclusivamente l’avvio di copie di backup (cd masterizzati) o dei bootlegs (cd stampati provenienti dalla Cina che riscuotevano un discreto successo dalle nostre parti grazie alla loro diffusione by “VùCumprà), startando però regolarmente gli originali di qualunque regione. Tali chip erano molto popolari tra i “Game Store” che volevano importare e commercializzare giochi originali senza perdere denaro provocato dalla pirateria creata indirettamente (?) dai classici modchip. Tale “hack” , anche se più “etico”, sempre “hack” rimaneva…..e veniva attuato in questo modo:
Invece che bloccare interamente l’intero data stream proveniente dalla CD Controller, venivano fatti passare solo i prime 3 byte della sequenza composta da 4 byte, e solo quest’ultimo byte veniva “falsato”. Un po’ come dire, se sono presenti i subchannel data di regione nel cd, qualunque essi siano, procediamo con il boot, altrimenti, se non è presente alcun subchannel di regione (non masterizzabile/inseribile su un CD Vergine) blocca il boot.

Nell’ultimo periodo della scena underground PSX1 (2009) è doveroso ricordare anche il lavoro dell’hacker “Garyopa” che ha eseguito un ulteriore porting del codice per PIC 12C508 sul più diffuso PIC 12F629

Beh..che dire..ora magari ne sapete "qualcosa" in più...o no?

Non ho parole, spero semplicemente in altri articoli simili ^_^

Articolo bellissimo!! Complimenti!!

complimenti davvero, ora non puoi far altro che continuare con altri articoli...

bellissimo articolo

Ottimo articolo... Mi mancava la parte PS1 (ero piccino all'epoca xD )

http://youtu.be/rdkecMOT1ko

Ciao a tutti,
vorrei fare solo un paio di precisazioni riguardo l'articolo che forse pochi sanno.

Il chippettino di controllo, era un banalissimo processore a 8 bit con flash e ram interna (da qualche parte ho l'esatto processore, dovrebbe essere 6502 o hc11 ma non ricordo).

Questo dialogava tramite un bus i2c alla logica del cd (non parlo dell'ottica) e tramite altri pin, riceveva il famoso segnale SCEx.

Le protezioni che rilevavano il chip, andavano a richiamare delle funzioni del bios che leggevano semplicemente un contatore di quante volte era arrivata la stringa di controllo. Da li e' stato facile bloccare i chip. Stranamente questo tipo di protezione, fu utilizzata su pochissimi giochi come poket muumuu , poporogue e solo nella versione giappo. Non ho mai sentito parlare di un gioco usa o eu che avesse tale controllo.
I vari programmatori, iniziarono a cambiare la filosofia del chip. Anziche' inviare continuamente le stringhe, provarono ad inviarne un certo numero , poi cambiarono inviandole per un tot di tempo aspettando il controllo per poi ripartire. Purtroppo queste tecniche risultarono molto instabili e capitava spesso che il chip funzionasse su una console ma non su un altra. Alla fine, si passo' a controllare l'attivita' sul bus i2c, in modo da capire quando venivano realmente richieste le stringhe. Qualche chip, non si limitava a controllare solo l'attivita', bensi' ad analizzare realmente la comunicazione ed agire di conseguenza. Fu cosi' che i chip iniziarono ad utilizzare 2 fili in piu'.

Con l'evolversi della console e l'ottimizzazione dei costi, la sony inizio ad integrare i tanti chip in grossi "chipponi". Questo primo grande passo fu fatto con la 750x e nei primi tempi, tutti i chip vennero messi fuori combattimento. Non c'erano piu' riferimenti su dove e come collegare i segnali.
Poco tempo dopo, qualcuno (sony?), mise in rete le informazioni necessarie. Il primo chip per questa versione utilizzava un clock esterno con cui 'frammentare' la stringa. La successiva e semplice evoluzione fu quella di prendere il segnale di clock e collegarlo direttamente al segnale SCEx in modo da poter utilizzare i vecchi chip. Solo da quel momento, si inizio' a parlare di un certo numero di fili piu' il ponticello. I chip piu' evoluti cambiarono ulteriormente il loro programma per eliminare il ponticello generando internamente il segnale nel modo giusto aggiugendo anche ulteriori features (color mod, spegnimento)

Ultima cosa, si e' dimenticato di parlare anche delle swap disk che sfruttavano un firmware modificato delll'action-replay

Spero di aver aggiunto qualche informazione in piu' :-)

Citazione:

---

Originariamente Scritto da the_old_man

Ciao a tutti,
vorrei fare solo un paio di precisazioni riguardo l'articolo che forse pochi sanno.

Il chippettino di controllo, era un banalissimo processore a 8 bit con flash e ram interna (da qualche parte ho l'esatto processore, potrebbe essere 6502 o hc11 ma ricordo).

Questo dialogava tramite un bus i2c alla logica del cd (non parlo dell'ottica) e tramite altri pin, riceveva il famoso segnale SCEx.

Le protezioni che rilevavano il chip, andavano a richiamare delle funzioni del bios che leggevano semplicemente un contatore di quante volte era arrivata la stringa di controllo. Da li e' stato facile bloccare i chip. Stranamente questo tipo di protezione, fu utilizzata su pochissimi giochi come poket muumuu , poporogue e solo nella versione giappo. Non ho mai sentito parlare di un gioco usa o eu che avesse tale controllo.
I vari programmatori, iniziarono a cambiare la filosofia del chip. Anziche' inviare continuamente le stringhe, provarono ad inviarne un certo numero , poi cambiarono inviandole per un tot di tempo aspettando il controllo per poi ripartire. Purtroppo queste tecniche risultarono molto instabili e capitava spesso che il chip funzionasse su una console ma non su un altra. Alla fine, si passo' a controllare l'attivita' sul bus i2c, in modo da capire quando venivano realmente richieste le stringhe. Qualche chip, non si limitava a controllare solo l'attivita', bensi' ad analizzare realmente la comunicazione ed agire di conseguenza. Fu cosi' che i chip iniziarono ad utilizzare 2 fili in piu'.

Con l'evolversi della console e l'ottimizzazione dei costi, la sony inizio ad integrare i tanti chip in grossi "chipponi". Questo primo grande passo fu fatto con la 750x e nei primi tempi, tutti i chip vennero messi fuori combattimento. Non c'erano piu' riferimenti su dove e come collegare i segnali.
Poco tempo dopo, qualcuno (sony?), mise in rete le informazioni necessarie. Il primo chip per questa versione utilizzava un clock esterno con cui 'frammentare' la stringa. La successiva e semplice evoluzione fu quella di prendere il segnale di clock e collegarlo direttamente al segnale SCEx in modo da poter utilizzare i vecchi chip. Solo da quel momento, si inizio' a parlare di un certo numero di fili piu' il ponticello. I chip piu' evoluti cambiarono ulteriormente il loro programma per eliminare il ponticello generando internamente il segnale nel modo giusto aggiugendo anche ulteriori features (color mod, spegnimento)

Ultima cosa, si e' dimenticato di parlare anche delle swap disk che sfruttavano un firmware modificato delll'action-replay

Spero di aver aggiunto qualche informazione in piu' :-)

---

si puo' solo che imparare da persone come te e paolone, complimenti

Ottimo intervento da parte di the_old_man! Grazie 1000 per le precisazioni! Difficile ricordarsi "tutto"!


Sent from my iPhone using Tapatalk

Citazione:

---

Originariamente Scritto da jonblu

si puo' solo che imparare da persone come te e paolone, complimenti

---

quoto in pieno che personaggi c' e' tanto da imparare da voi complimenti.

Questi interventi mi fanno pensare di aver centrato l' obbiettivo che mi ero prefissato fondando questo sito, vedere elementi capaci discutere liberamente e creare contenuti di alto livello semplicemente allo scopo di condividere la propria passione. Sono sempre stato convinto che l'utente "niubbo" sia parte fondamentale di una comunità ma sono le voci autorevoli che determinano il livello qualitativo e la direzione che prenderà il forum stesso, è per questo che rimane fondamentale saper valutare e riconoscere l'importanza del dar spazio ad un utenza capace piuttosto che dar voce a tutto e tutti solo per vantare inutili numeri.

Articolo bellissimo!! :)
Complimenti a Pa0l0ne, ho letto solo un paio di articoli scritti da te ma ti posso fare solo complimenti! hai uno stile da invidiare e non perdi mai il filo :)
Continua cosi!!!

Complimenti, tutto molto interessante!!
Fa piacere trovare anche articoli di "retrohacking" per le consolle non più in commercio.
Continuate cosi!:D

Tanto per aggiunta, qui ci sono 2 video che ripropongono i bootscreen delle migliori console da 25 anni a questa parte ;) fonte GXmod.

http://www.youtube.com/watch?v=45un7KSnHv4

http://www.youtube.com/watch?v=RCEhpvykJzI

attendo con ansia l'articolo sulla PS2... sono curioso di sapere se le varie leggende che conosco hanno una base di verità

Citazione:

---

Originariamente Scritto da D@rio

attendo con ansia l'articolo sulla PS2... sono curioso di sapere se le varie leggende che conosco hanno una base di verità

---

Vado OT in questo thread, riassumo in breve gli albori: il primo chip per ps2 e' stato un banalissimo 508 in grado di far andare i psx, poi e' arrivato lo swap per i ps2 (sempre con un pic) e poco dopo quasi in contemporanea, un chip che usava il patch bios + inizializzazione psx ed un altro che patchava il mechacon. Il messiah, primo chip non swap, utilizzava patch del bios e mecha (copiate spudoratamente dai precedenti).

Citazione:

---

Originariamente Scritto da the_old_man

Vado OT in questo thread, riassumo in breve gli albori: il primo chip per ps2 e' stato un banalissimo 508 in grado di far andare i psx, poi e' arrivato lo swap per i ps2 (sempre con un pic) e poco dopo quasi in contemporanea, un chip che usava il patch bios + inizializzazione psx ed un altro che patchava il mechacon. Il messiah, primo chip non swap, utilizzava patch del bios e mecha (copiate spudoratamente dai precedenti).

---

e ultimo il dvd swap magic e la modifica alla memory card con usb loader:)

hd loader per le ps2 fat e freemc boot

Citazione:

---

Originariamente Scritto da the_old_man

Vado OT in questo thread, riassumo in breve gli albori: il primo chip per ps2 e' stato un banalissimo 508 in grado di far andare i psx, poi e' arrivato lo swap per i ps2 (sempre con un pic) e poco dopo quasi in contemporanea, un chip che usava il patch bios + inizializzazione psx ed un altro che patchava il mechacon. Il messiah, primo chip non swap, utilizzava patch del bios e mecha (copiate spudoratamente dai precedenti).

---

questo lo sapevo, anzi posso dire di piu': il primo chip montato sulla mia V5 era proprio un PIC che non faceva "vedere" alla PS2 l'apertura del carrello... funzionava in accoppiata con il DVD REGION X

il fatto dei due chip complementari lo sapevo anche io: uno era il NEO4, l'altro quello dei fratelli Origa; prima dell'uscita del Messiah c'era chi li montava entrambi per avere una modifica completa, che avviasse sia CD che DVD, oltre ai giochi PS1


PS: the_old_man ti vedo informato sull'argomento... usavi qualche altro nick in passato?

Piccola "lista della spesa" di ciò che accadde su Ps2:


Chip SWAP:

Neo - Codice del team Neo Technologies basato su PIC12C508.
Origa Chip - Sviluppato dai fratelli Origa, basato su Scenix SX28. Prima patch sul controller.
Neo4 - Sviluppato da Herben. SWAP per DVD, diretto con CD. Sostituzione di alcune parti del bios.


Chip NO SWAP non aggiornabili:

Messiah - Sviluppato da HDL & KVaks e commercializzato da Channeltechnology. Basato su Actel-A500K.
TitanFull - Sviluppato dai fratelli Origa. Basato su Xilinx XCR-32256.
TitanLight - Sviluppato dai fratelli Origa. Basato su Xilinx XC-95144.
Magic 2/3/V - Prodotto e commercializzato da cinesi.
Messiah 2 - Utilizza Actel APA075.
Messiah 2/SX - Utilizza componenti come Ubicom SX-48/SX-52 o Xilix.
MX3 - Sviluppato dal Matrix Team. Utilizza una CPLD ed un pic.
MXL - Sviluppato dal Matrix Team. Utilizza due CPLD.
MXL2 - Sviluppato dal Matrix Team. Utilizza Actel A54-SX.
MXL4 - Sviluppato dal Matrix Team.
MYTH - Sviluppato da team cinese. Clone del Matrix Infinity. Probabile uso di processore Ubicom.
MODBO - Realizzato dal Team Modbo. Ennesimo clone del Matrix Infinity.
Ripper/Ripper 2/3 - Sviluppato probabilmente da team tedesco. Utilizza un Actel EX-256 abbinato ad una memoria flash.
Ghost 2 - Sviluppato dal Ghost Team. Utilizza un Actel APA075 abbinato ad una memoria seriale.
Ultra - Sviluppato dal Team Enigma. Utilizza una cpld QuickLogic
F14 - Sviluppato dal Fractal Team. Utilizza un Actel A54SX. È l'unico chip ad usare solo 14 fili.
Lisa - Sviluppato dal Team Enigma. Utilizza una cpld QuickLogic QL-4016
Lisa XP - Sviluppato dal Team Enigma. Utilizza una cpld QuickLogic QL-4016 ed una memoria seriale.
G0 - Sviluppato dal Team Enigma. Utilizza una cpld QuickLogic
Gloria - Sviluppato dal Team Enigma. Utilizza una cpld QuickLogic
Marvel V9 - Stesso codice del chip Gloria, ma con il chip rimarchiato.
RSM-MOD - Stesso codice del chip Gloria, ma con il chip rimarchiato.
Sara - Sviluppato dal Team Enigma. Utilizza una cpld Actel APA-075
Iridium Zen - Sviluppato dall'Iridium Team (Godzivan e Alcema). Utilizza un Actel APA-075
Magic
Titan SX - Sviluppato inizialmente dal Team Enigma. Modificato successivamente da BadBoy. Utilizza un Scenix SX-28.
Mega SX - Evoluzione del Titan SX
Prodigy - Sviluppato inizialmente dai fratelli Origa su Titan SX. Successivamente rielaborato da BadBoy.
DUO2
NEO12
XENO PS
MarsIII
MARS CHIP 2
BlueChip


Chip NO SWAP aggiornabili:

DMS3 - Primo chip riprogrammabile da disco. Utilizza Actel APA-075 ed una flash da 512KByte.
DMS4 - Evoluzione del DMS3, con la sola aggiunta di una memoria flash più grande.
O2MOD (Origa Chip 2) - Realizzato dai fratelli Origa. Software creato, probabilmente, da Hermes. Utilizza componenti QuickLogic QL4016 o Actel APA-075 abbinati ad una flash da 512KByte
Matrix Infinity - Sviluppato dal Matrix Team. Utilizza Actel APA-075 ed una memoria seriale Saifun.
Cristal chip 1.0 - Utilizza Actel APA-075 ed una memoria eeprom da 4 KByte
Cristal chip 1.1 LITE - Utilizza Actel APA-075 ed una memoria eeprom da 4 KByte
Cristal chip 1.2 LITE - Utilizza Actel APA-075 ed una memoria flash da 128 KByte
Cristal chip 2.0 PRO - Utilizza Actel APA-075 ed una memoria flash da 1 MByte
Cristal chip 2.0 PRO SLE - Utilizza Actel APA-075 ed una memoria flash da 2 MByte
PRODIGY CHIP - Utilizza UBICOM SX28 ed una memoria flash da 2Mbyte

Come non dimenticare poi la Romeo Acacelli-fix per salvare la lente delle Psx2Slim..(chissà che fine ha fatto?! E' umbro come il sottoscritto!)

AD OGNI MODO UNA PRECISAZIONE IMPORTANTE: tutti possono contribuire a questo THREAD, magari poi ne tiriamo fuori una bella FAQ.....personalmente ho sempre seguito la scena ma mica posso sapere e ricordarmi tutto?!

il realtà il primo fix salva-lente risale alle PS2 fat V9 e V10, conosciuto in tutto il mondo come ROSM o Romeo-Fix... solo un genio come lui poteva scoprire che alimentando il driver della lente a 5V anzichè a 12V funzionava lo stesso ma non c'erano più problemi di frittura bobine!!!

il fix sulle PS2 slim V12 in origine fu proposto dal Team Matrix, con due diodi 1n4148 in serie, ma a volte non faceva bene il suo dovere e le lenti si friggevano lo stesso quando la console andava in blocco all'avvio; fu Romeo stesso a condurre ulteriori esperimenti, proponendo la sostituzione dei due 1n4148 con un solo diodo zener montato in polarizzazione diretta.

PS: nella lista mancano il primo IriDiuM, basato su SX28 (sempre del team composto da Alessandro "AlcemA" e Ivan "Godzivan") ed il NaNo, sempre da parte dello stesso team.

per pignoleria RoSM e non ROSM :)
poi seguito dal summOne o summ0ne...


il chip più particolare però era questo:

Allegato 812Allegato 814

Io sono particolarmente legato al MegaSX avendo sviluppato il software per il dev1 su mc. Ah che bei tempi!!!

Citazione:

---

Originariamente Scritto da sincro

Io sono particolarmente legato al MegaSX avendo sviluppato il software per il dev1 su mc. Ah che bei tempi!!!

---

gran bel chip... quanti ne ho montati!!!

ho ancora il Fluffy per programmarli (lo presi da Luigione) e qualche SX28 (titansx3, messiah750)

ricordo anche che per un periodo erano diventati difficili da trovare, perchè la Ubicom cessò la produzione, che venne ripresa qualche tempo dopo dalla Parallax

Citazione:

---

PS: the_old_man ti vedo informato sull'argomento... usavi qualche altro nick in passato?

---

Si, ne ho usati diversi. Ci siamo anche conosciuti, sempre e solo tramite forum.

Per quel che riguarda i fix della lente, ne esistevano due tipi diversi. Credo che ben pochi sappiano il motivo reale delle ottiche bruciate. In sintesi, a causa di una cattiva progettazione da parte di sony, capitava spesso che alle bobine arrivasse una corrente continua per un lungo periodo (per capire cosa intendo dire, prendete un filo molto sottile, fate un po di giri intorno ad una matita e le due estremita' le collegate ad una batteria da 9v ed aspettate pochi secondi).

Detto questo si capisce bene che i fix erano di due tipi. Quello piu' comune limitava la tensione e la corrente (diodi e/o resistenze) ma diminuiva il rendimento dell'ottica. Quello meno comune (in spagna era utilizzato moltissimo) altro non era che un filtro passo alto, bloccava il segnale continuo ma diventava "invisibile" durante le normali operazioni di lettura.