6072a7eede1f3b0293289ca096c4ec74 截至目前為止, PlayStation 2仍然穩坐全球最暢銷的遊戲主機寶座,只有 Nintendo DS 能緊跟在後,勉強看到它的車尾燈。在這主機成功的背後,我們還是能夠看到 Sony 重蹈輹轍,讓新主機再次敗在抽換光碟等攻擊手法之下。

前情提要:

家用主機秘辛1:任天堂紅白機導致的破解風潮

家用主機秘辛2:紅白機的防拷晶片歷史

家用主機秘辛3:正版比盜版問題更多,破解萬惡10NES晶片

家用主機秘辛4:進入光碟時代,PS的保護機制

家用主機秘辛5:數秒內抽換光碟, PS 盜版片也能騙過驗證機制

改機晶片更複雜

根據VGChartz的資料,PlayStation 2(文中簡稱PS2),累計銷量為1億5768萬台,DS為1億5488萬台,是唯二突破1.5億的遊戲主機,第三名的GB則為1億1869萬台,遠遠被拋在後面。但憑良心講,隨著時間過去,PS2的保護機制並非沒有進步,而是這些破解手段也與時俱進,此外不需對硬體動手腳的「軟改」方式也隨PS2浮上台面。

雖然PS2的破解大多仰賴改機晶片,然而改機晶片比以往更加複雜,它不只是要騙過光碟機,有些晶片甚至需要替換掉PS2的BIOS,才能執行盜版遊戲。在抽換光碟部分,也因Sony從先前的錯誤中學到了教訓,所以在實作上比PS還要複雜。

即使PS2的安全性比PS高,但並沒有阻止駭客找到更多方法繞過安全檢查,由於PS2的安全性相對複雜,所以在文章中只會集中討論破解方式。

▲PS2榮為史上最暢銷的家用遊戲主機,遊戲的發行款數截止2013年6月已達3870款。

▲PS2的改機晶片比前代主機PS1還要複雜,需要焊接的線路也比較多。

抽換光碟需特殊碟片

PS的抽換光碟技倆,並不需特定「開機片」,只要使用任意正版光碟即可。一樣的方式在PS2上已經起不了作用,但只要使用特殊的光碟片Swap Magic,還是可以達成任務。成功的關鍵在於,PS2遊戲程式可以讀取光碟中的ELF(Executable and Linkable Format,可執行和可鏈接格式,在這邊可視為執行檔)。

在遊戲光碟通過安全檢查後,系統首先會讀取光碟中的SYSTEM.CNF,並繼續讀取該檔案指定的ELF,在這之後遊戲便取得系統的主控權。由於 PS2運作時並不具有作業系統,遊戲是以bare metal模式運作(程式並非架設在實體作業系統上),而主機本身只會檢查光碟拖盤是否開啟(在部分機型上透過讀取頭進行偵測),給了Swap Magic下手的機會。

Swap Magic是透過工廠壓片的光碟,PS2會將它視為正版光碟(實際避開安全檢查的方式不明),在開機之後,系統便會像正常遊戲一般讀取Swap Magic中的主ELF,然而Swap Magic會命令系統去讀取光碟片上的壞軌部分,這些壞軌是刻意製造的瑕疵,當光碟機不斷去讀取這個區塊,而且無法讀出Swap Magic所要求的檔案後(這些檔案原本「應該」存在,但是實際上是刻意製作的壞軌,所以讀不出來),PS2便會關閉光碟機的讀取頭與主軸馬達,這時候玩 家就可以輕鬆地把Swap Magic抽換成盜版或是跨區的遊戲光碟。

由於Swap Magic的ELF還存放在系統記憶體中,所以當完成光碟抽換的手續後,Swap Magic的執行並不會受到影響,此時程式只要開始讀取遊戲光碟的SYSTEM.CNF,系統就會接著讀取指定的ELF,而不進行安全檢查,於是非授權的 光碟就能夠正常地被執行。

Swap Magic的成功是建立於下列2個因素,壞軌讓PS2停止光碟機運作,以及光碟機在重新運作後不會再次進行安全檢查。這個破解手法讓玩家得以在不需改造, 且主機無法偵測的情況下,將Swap Magic光碟抽換為非授權光碟,過程可說是相當精彩,但在PS2的破解方式中,只算是開胃菜而已。

▲PS2的換片破解法需要藉由Swap Magic之類的碟片進行,不像PS1能夠以任意正版片操作。

▲Swap Magic的關鍵在於將ELF存入記憶體,並迫使光碟機停止運作,來取得系統控制權。

下集預告:用假OS進行開機

原文刊載於http://wololo.net/2014/01/16/10-days-of-hacking-day-3-the-ps2

感謝原文作者Acid_Snake同意轉載

Original article by Acid_Snake. Translate by konamigood.

延伸閱讀:

【模擬器改造】PlayStation 2:超越輝煌的刺客主機

知名 PS2 模擬器終於推出正式版,用電腦暢玩 HD 高畫質遊戲

12 年賣 1.53 億台榮耀!PS2 停產確定

使用 Facebook 留言

國寶大師 李文恩
1人給推

2.  國寶大師 李文恩 (發表於 2014年5月30日 22:15)
※ 引述《KoGaSenRx》的留言:
> SEGA 的 Dremcast 不改機破解不知道是前面那種還是本篇這手法..
基本上Dreamcast沒有保護機制,唯一的安全防線是採用高密度光碟(在一般CD塞入1GB資料),所以只要用一般CD-R燒錄遊戲即可通過安全檢查。
KoGaSenRx
1人給推

3.  KoGaSenRx (發表於 2014年5月30日 23:24)
※ 引述《國寶大師 李文恩》的留言:
> 基本上Dreamcast沒有保護機制,唯一的安全防線是採用高密度光碟(在一般CD塞入1GB資料),所以只要用一般CD-R燒錄遊戲即可通過安全檢查。

是喔..但是當年我的機子怎麼都不吃 盜版片

還需要借一片 破解光碟,進畫面出現破解圖示再放盜版片..

(⊙ˍ⊙)
國寶大師 李文恩
4.  國寶大師 李文恩 (發表於 2014年5月31日 08:56)
※ 引述《KoGaSenRx》的留言:
> ※ 引述《國寶大師 李文恩》的留言:
> > 基本上Dreamcast沒有保護機制,唯一的安全防線是採用高密度光碟(在一般CD塞入1GB資料),所以只要用一般CD-R燒錄遊戲即可通過安全檢查。
>
> 是喔..但是當年我的機子怎麼都不吃 盜版片
>
> 還需要借一片 破解光碟,進畫面出現破解圖示再放盜版片..
>
> (⊙ˍ⊙)

不好意思,我可能講的不是很清楚
你說的沒錯,如果要執行非授權遊戲的話,需要引導片的協助
不過引導片本身也是非授權光碟,所以我才會這麼說
KoGaSenRx
5.  KoGaSenRx (發表於 2014年5月31日 10:48)
※ 引述《國寶大師 李文恩》的留言:
> 不好意思,我可能講的不是很清楚
> 你說的沒錯,如果要執行非授權遊戲的話,需要引導片的協助
> 不過引導片本身也是非授權光碟,所以我才會這麼說

恩,我的疑問在於 引導片這種方式 是為了 繞過檢查驗證 ?
類似 PS 的做法

還是說

引導片本身只是讓主機載入驗證碼進RAM再替換非授權光碟片使用的方式? 類似 PS2 的方式

或者 DC 本身就沒有驗證碼,
引導片單純是觸發某些機制讓主機可讀取盜版光碟 ?

或是...後面有DC的破解,所以等後面發表比較乾脆..
國寶大師 李文恩
6.  國寶大師 李文恩 (發表於 2014年6月01日 08:55)
※ 引述《KoGaSenRx》的留言:
> 或者 DC 本身就沒有驗證碼,
> 引導片單純是觸發某些機制讓主機可讀取盜版光碟 ?
> 或是...後面有DC的破解,所以等後面發表比較乾脆..

據我所知,DC引導片的來源則是官方釋出的Debug模式光碟,功能是解除主機對燒錄片和跨區遊戲的鎖定,而引導片本身似乎可以使用燒錄片(或是壓片,我還未確認)。

由於原作者的文章中沒有DC的部分,所以在這系列中並不會提到。

發表回應

謹慎發言,尊重彼此。按此展開留言規則