アストロシティミニとメガドライブミニのソースコードを比較中。外部パッドやデバイスのVID定義が絞られていたのどうなったかな、というのを見ていたら、メガドラミニでは配列がソースコード内に定義されていたのに、アストロではdtbの中に埋め込まれているのを参照するようになっているようだ。 pic.twitter.com/HieVw2nEOq
— ひろみつ(honeylab) (@bakueikozo) 2020年12月17日

ROM FORESEE FS33ND04GS108TF10 (512MB)

メガドラミニと一緒。メガドラミニは一部違うロットもあったみたいだけど。

RAM Unic　SCB13H2G160 (256M)

パネルのボタンは全部普通のGPIOにつながってるので、必要ならば適当にスイッチを付けるだけでボタン入力に変換できます。

背面USB、ホストサイドはやはりメガドラミニ、PCEミニと同じようにMA8601のHUBチップを介しています。

HDMI出力もEP952。今回の特徴は外部HDMIにも接続できること。

基板の特徴として、チップ番号やピン配置のシルクがきちんと記載され、丁寧なつくりの印象を受けました。

最新の解析状況はtwitterで上げていくと思いますので、よかったらフォローしてみてください。

twitter.com

あと、いまから買うならこのリンク踏んでからから買ってねｗ

アストロシティミニ【Amazon.co.jp限定】アストロシティミニ×バーチャファイター PC&スマートフォン壁紙セット配信

発売日: 2020/12/17
メディア: Video Game

アストロシティミニ

発売日: 2020/12/17
メディア: Video Game

2020-11-26

任天堂 GAME & WATCHを分解してあれこれしてSTM32評価ボードとして使う

「GAME & WATCH スーパーマリオブラザーズ」、例のごとく分解・魔改造していきます。

基板の詳細な画像などは、例えばこちらとか

mazu-bunkai.com

もっときれいに分解しているほかの方のサイトがありますので、
そちらのほうを是非参照してください…

ゲーム&ウォッチ分解した

うええええええ！！！！STM32!!??!!!?まじか！！ pic.twitter.com/3hhfWqPacW
— ひろみつ(honeylab) (@bakueikozo) 2020年11月13日

はい、我々甘ちゃんなので、このハード、いつものようにLinux+エミュで構成されているものと思い込んでNintendoのOSSサイトをリロードしまくっていたのですが、その期待を全力で裏切って、STM32という極めて効率的なハードを選定してきました。

改めてゲーム＆ウォッチのスペック
CPU：STM32H7B0 最大280MHz,Flash128kB内蔵。たぶんここにメインのプログラムも書かれてる（と思う）
最近のミニのLinux SoCじゃなくて、「マイコン」寄りのチップ。
いわゆるOSは入っていなくて、普通にマイコンのプログラム。https://t.co/Z7uHmWtxZ3 pic.twitter.com/nqZ6Qfz7fk
— ひろみつ(honeylab) (@bakueikozo) 2020年11月13日

基板をよく見るとわかるのですが、メインクロックの水晶振動子は実装されず、代わりに32.768の時計 RTC用の水晶が実装されています。

メインクロック端子が未接続で、時計用のだけ繋がってる。ほんとにスリープ時に時計動作に切り替えてるみたいだな。メインクロック内部なのかな？ pic.twitter.com/qiVR2Ijaek
— ひろみつ(honeylab) (@bakueikozo) 2020年11月14日

このため、スペック表にきちんと月差を記載することができたんですね。

任天堂さすがすぎる。

液晶はINNOLUX製おそらく320x240と思われました。

なか開いたところ pic.twitter.com/hXn0tOKQGq
— ひろみつ(honeylab) (@bakueikozo) 2020年11月13日

この形のフレキ/コネクタ　なんて名前で探せばいいんだろう pic.twitter.com/1skhkwNKLL
— ひろみつ(honeylab) (@bakueikozo) 2020年11月15日

この型番でググっても何の情報も出てきません。カスタムだと思われます。

基板上にはゲームのROMや動画像データが収録されていると思われるFlashが実装されていました。

ROM:MXIC MX25U8035F (8MBit = 1メガバイト)
吸い出しはできたけど、中身はデコードできてない。
CPUにアタッチしたハッカーによればこの中に暗号化されたROMが入ってるのは確定っぽい。https://t.co/Yz89UkPaeS pic.twitter.com/XHVeJhZSKn
— ひろみつ(honeylab) (@bakueikozo) 2020年11月13日

中身を読みだしてみましたが、完全にランダムであり、圧縮か暗号化が全体にかけられているものと推測されました。この時点で私は割とスキル不足で完全解析をあきらめましたｗ

FLASH読んでみた。とりあえずなんかしらの暗号化かな。キーはMCUの中、多分リードビットは落ちてるんだろう。
わかんない他人向けに書くと、さっと他のROMを突っ込むのは今は出来ないです。

というわけで、I/Fを生かしてSTMでなんか描くことのできる良い評価ボードにはなり得る、かなw pic.twitter.com/fx5wxeRRn3
— ひろみつ(honeylab) (@bakueikozo) 2020年11月13日

仮に内蔵されているROMイメージを既存の別のROMイメージに書き換えたとしても、内蔵エミュレータはおそらくマリオブラザーズほぼ専用になっていて、それ以降に発売された、標準マッパー以外のROMイメージなどに対応させるのは困難だと思われます。
そのため、そういった改造を行うには汎用のNES エミュレータをポーティングすることが一番の近道になります。

この評価基板（言い切った）、CPU内蔵Flashへの書き込みやデバッグのためのSWDポートがきちんと残されています。

SWDポートにSTLink繋いで適当にビルドして突っ込んだら動くよ。
ああその前にRDPv1をunlockしないとだけど。その時に内蔵ファーム飛ぶけど。 pic.twitter.com/rndpsNFzJ3
— ひろみつ(honeylab) (@bakueikozo) 2020年11月19日

ST謹製の開発ツールでCPUを指定し、C言語でプログラムを書き込むことで自由にプログラムを動作させることができます。
また、通常の開発環境であれば、書き込まれたプログラムの読出しやデバッグが可能ですが、さすがにこの辺はプロテクトがかかっていて、単純に読み出すことは不可能でした。加えて、私の持っているツールでは高度なデバッグ操作ができないようで、その辺はもうあきらめることにしました。

ということで、この基板をSTM32H7の評価基板として使い倒すための調査を行いました。

ボタン配線などは割と簡単にパターンをたどることでわかります。
LCDの配線もデータ、クロックなどはSTM32内蔵のLCDドライバのピンアサインをもとに推測、およびトレースで判別させました。

STM32とLCDフレキの根元当たって、LTDCのデータピンマップがあってることは確認できたけど、肝心のENが見つからないなぁと考えてたが、どうやらSPIでの初期化っぽい。ここまでわかればLCDONにできるやろ pic.twitter.com/Ckk3b2oAMh
— ひろみつ(honeylab) (@bakueikozo) 2020年11月24日

f:id:honeylab:20201126011227p:plain

しかし、どうやらLCDの初期化にはSPIでコマンドを投げてやる必要があるらしいということがわかり、ロジックアナライザでの解析を行いました。

うーんうーん… pic.twitter.com/kn31szlNse
— ひろみつ(honeylab) (@bakueikozo) 2020年11月24日

どうにか初期化シーケンスが判明し、LCDにフレームバッファの内容を表示させるところまでは到達しました。
後はボタン、音声周りですが、ここはまぁそんなに難しくないと思います

STM32評価ボード、LCD初期化コードに辿り着くまで時間がかかったのでようやくここです

FramebufferをARGB8888で取ってフル転送なので、これで10fpsぐらいしか出てないね
565にすれば事実上倍は出るはず pic.twitter.com/b5SnIvFKwN
— ひろみつ(honeylab) (@bakueikozo) 2020年11月25日

が、まぁここから先はぶっちゃけ誰でもできるので…ｗ

なんか面白いネタ無いかなぁ…ｗ

海外のハッカーの人がFlash内の解読、再Packに成功したようで、ROMイメージの書き換えなどには成功しているようです。

おそらくこちらの方が最速で突っ走っているかと

twitter.com

ところで、みんなが期待している簡単にROMを差し替えるツール的なもの、
今回のハードに関してはそもそも、USBコネクタの配線がSoCまで届いていないこと、
プログラムの書き換えには専用のハードがいることから、

特定の電子工作マニア以外にはおそらくできないものになると思います。

例えばCPU内蔵のプログラムの書き換えには

こういうのが必要

Hobbyant st リンク/v2 の st リンク v2 (CN) STLINK デバッガエミュレータダウンローダマネージャ STM8 STM32

メディア: エレクトロニクス

とか

FlashROMの書き換えには

こういうのとか

zmart ROMライター USB BIOS 書き換え復旧マザーボード EEPROM フラッシュ SPI Windows

メディア: エレクトロニクス

ここはハードの制限なので、ソフトではどうにもならんですねぇ。

2020-11-12

オリックス給油カード＆リパークの駐車後払い法人カードを拾ったので届けてみたら

♪三井のリパーク～♪

先日、保育園の送り迎えに使用している駐車場の精算機で
カード挿入口にカードが置き忘れられていることに気づきました

f:id:honeylab:20201105163953j:plain

説明書を隅から隅まで読むタイプの人は気づいているかもしれませんが、

クレジットカード等には習得時の連絡先と、会社によっては

「薄謝進呈」

f:id:honeylab:20201112101732p:plain

と書かれていることがよくあります。皆さん自分のカードを確認してみましょう。

さて、クレジットカード、交番に届けたところで実はお礼なんてもらえません。

しかし、センターに連絡するとお礼がもらえるそうです。

これはこれは。

いや、マジでお礼が欲しいわけではなく、その内容そのものに興味があったのでセンターに電話してみました。

拾得したことを伝えると、時間、場所、こちらの連絡先を聞かれ、
後日返送用封筒を送るので、カードにはさみを入れて返送してくれ、とのことでした。
特にここでお礼についての話はありません。

ははーん、返信用封筒とともに送られてくるか、送付後に別途そっと送られてくるんだな？？

大体、なんかしらのお礼、って言ったらQUOカードやろ。５００円か？ええんやで？？

などと思いつつ数日、返送用封筒とお礼の手紙が到着しました。

f:id:honeylab:20201112095210j:plain

「ささやかではございますが、お礼の品を同封いたします」

おっなんやなんや

f:id:honeylab:20201112095241j:plain

ど　どーん！！！！

ボールペン！！！

オリックス　バッファローズの　ボールペン！！！！

…ありがとうございます！！！！！

googleで検索してみると、クレジットカード会社によってはQUOカードだったりすることはあるみたいです。
これが、只の法人支払いカードだからなのか、ご時世なのか、会社の力やそのほか諸々のことなのかはわかりませんが、とりあえずこのカードを届けると、バッファローズのボールペンがもらえることがわかりました。

2020-10-08

ゲームギアミクロのLCDに何か出す & 1.15インチの謎に迫る

この手のハードの解析について、みんなの興味があるところなのは
ほかのゲームのエミュとかROMを入れられるとかそういうところなんだと思いますが、
それははっきり言って最終的には「できる」んですよ。

でも、それをすること自体には、いろいろな問題、
情報発信の責任がついてきてしまいます。

「ネタ」としてその手のことに近いことをやることはあると思いますが、
例えば簡単な入れ替えツールや明確なROMの引っこ抜き方はこのブログには出てきませんのであしからず。

さて、このハード、Linuxとしてデバイスが抽象化されていますので、その辺のハンドルを試してみます。

内蔵LCDはST7789VWというわりとハイスペックな240x240の液晶が搭載されています。

shikarunochi.matrix.jp

Linuxから画面に表示させるには、フレームバッファというデバイスに何かしらのデータを書き込むと、割り当てられたディスプレイに何かが表示されます。
普通のマシンでは、 cat /dev/urandom > /dev/fb0 として、画面にごみが表示されることを確認することが多いです。

seenaburns.com

ゲームギアミクロでも同様に、/dev/fb0が存在していますのでこれを試してみます…

ゲームのUIをストップさせてこのコマンドを実行させてみますが…何も表示されません。

あれれ？どういうことだろう。

ゲームのUIを動かしたまま、上記コマンドを実行すると一瞬画面にごみが表示されました。

おやおや。どうやらこのマシンでは、fbに書き込んだデータは別の仕組みでlcdに転送されているようです。

いろいろ調べてみると、"/sys/kernel/screen_update/update”　というファイルが見つかりました。このファイルに"1"を書き込むと、ドライバがfb0からlcdに転送してくれる仕組みになっているようです。

では改めて、urandomからfbに書き込み。

さらに、クロスコンパイルしたfb-testを実行してみます。

コマンドだけ打ち込んでもLCDが変わりません。

ここは手動で/sys/kernel/screen_update/updateを更新します

実行している動画です。

ゲームギアミクロのlcdになんか出すテスト pic.twitter.com/MgyedXrmpM
— ひろみつ(honeylab) (@bakueikozo) 2020年10月7日

このように、一応fb0に連動してlcdを更新させることができました。
fbを使用するアプリケーションはlcdへの転送を組み込むか、別途バックグラウンドで転送するアプリを動作させれば(syncの問題は出ますが)
普通のLinuxのアプリのように動作させることが可能です。

もしくは、このdispドライバが非同期更新の仕組みを持っていると助かるのですが…

ところで、公式スペックによると画面サイズは1.15インチということになっています。

f:id:honeylab:20201008023329p:plain

発売前、液晶の解像度とこの1.15インチという値から、内蔵されるLCDを探していたのですが見つかりませんでした。
こんな中途半端(160x144)の値の液晶をカスタムで作るわけはないため、オーバーサイズの液晶をマスクして使うことは想定していました。

上記の動画を見るとわかるように、左上の点が下にオフセットされています。

つまり、こんな感じでゲームギアミクロでは正方形の液晶の上下をマスクして長方形に見せています。

f:id:honeylab:20201008023201p:plain

ドライバのパラメータを見てみると、以下のように設定されていました。

f:id:honeylab:20201008021515p:plain

内部fbは256x238として使用されていて、エミュレータでは160x144に描画、
これをLCDの[0-240,38-180]の範囲に拡大表示する、という動作です。
つまり横方向1.5倍、縦方向…ちょっと合わない…？

まぁ、最終的に整数倍にならないのはたぶんそれをやるとゴリゴリの表示になっちゃう、とかいう理由で調整したんじゃないですかね。たぶん。
（計算でぴったり合わせてドヤ顔するつもりだったんだけどなぁ…）

ところで、このLCD、スペック的には1.3インチということになっています。

では、公式スペックの1.15インチはどこから来たのでしょう。

f:id:honeylab:20201008024442p:plain

…出た！！！1.15インチ！！！　この中途半端な値はここから来たのね！

ふぅ、すっきりした…三平方の定理ってこうやって使うのよ。

2020-10-07

ゲームギアミクロを分解＆解析(システムにログイン)

honeylab.hatenablog.jp

↑前回からの続き

/etc/shadowを引っ張ってきてhashcatにかけたけど全然終わらん

これは過去の例を見て対策されたに違いないｗ

ということでいったんパス解析をあきらめてfs直接書き換えてログインを試みようとするが、手持ちのflashリーダではggミクロに乗っているspi nandにアクセスできないことが分かった

もともとのrootfsパーティションはsquashfs ファイルシステムでnand上にあり、uboot上からパッチをあてるのは結構難しい

いろいろ考えていると、どうやら搭載nand上のhパーティションががら空きであることが分かった。
もともと存在するrootfsパーティションは結構でかいサイズだが、中身は大した量ではないようだ。

そこで、いったんシングルユーザモードでrootfsにアクセスしてシステム軌道に必要なファイルをnandh上にコピーし、

(/etc/shadowも書き換えてパスワードを削除する)ubootでのkernel起動パラメータを書き換えて、nandhをrootfsにして起動させてみることにした。

f:id:honeylab:20201007052016p:plain

ログイン成功

さて、ログインできたはいいが、今のところ外部から何かを持ち込む手法がないな…
起動ログを見るとandroid_usb0は生きてるみたいなのでrndisを試してみるが、なんかバグってるらしくて動かない

あとはmass_stroageかな。

2020-10-06

ゲームギアミクロを分解＆解析(初報)

ゲームギアミクロブラック

発売日: 2020/10/06
メディア: Video Game

届いた

箱に対して小さいｗ

分解

SoC Allwinner F1C200s (ARM926EJ-S [41069265] revision 5 (ARMv5TEJ))

メガドライブミニなどに使用されていたAllwinner

…違った！あれはZUIKIだ！！（棒読み）…

ゲフン、 Allwinner製のARM CPUが採用されています。

f:id:honeylab:20201006161629p:plain

小型LCDが使用されていることから、Licheeあたりに使われてるこの辺だと想定はしていましたが、まさにその通りでした。

SPI Flash ROM に bootloader/linux/game/romが書き込まれています。

f:id:honeylab:20201006161701p:plain

フォームファクタ考えると妥当。予想通り。

FELモード用ボタン

基板上にタクトスイッチがついています。

f:id:honeylab:20201006161731p:plain

このボタンを押しながらUSBを接続するとFELモードになりますが、
一般的なユーザには今のところ使い道はありません。

ファミコンミニなどから続く、書き換えツールなどはこのモードを使用することになります。

シリアルコンソール

分解して基板上にあるこのJP2の端子がシリアルIOです。

f:id:honeylab:20201006161759p:plain

15200bpsで接続し、各種操作ができます。

bootloaderの起動中に's'を送り続けることでu-bootのシェルに残れます。

その後、Linuxのコンソールの表示、ログインプロンプトまではスムーズに進めます。

f:id:honeylab:20201006161432p:plain

ログインのためのパスワードは現在調査中です。

LCD

ゲームギアの解像度は160x144ですが、
これをちょうど満たすようなこの大きさのLCDはありませんでした。
そのため、これより一回り大きな液晶を使うのだと考えていましたが、やはりその通りでした。ドライバ上からは240x240と認識されているので、1x1等倍ではなくもしかしたら1.5倍になってるのかも？？

f:id:honeylab:20201006161924p:plain