長らくリバースエンジニアリングで遊んでいますが、特にリバエンだと、何か気が付いたことがあったときにそれを迅速に確認したり、仮説をもとにいろいろな実装を組んでみたり、などのエンジニアリング作業が発生することが多いです
しかし、それを実装しようとしても実装に時間がかかったり、試しているうちにやっぱり違った、となったり、うまくいかない理由が実装のミスだったりして、なかなかエネルギーがけずられることになることが多いです。

しかし、最近導入したCursorを使えば、仮説をもとにプログラムを実装してもらったり、ちょっと実装を変えてもらったり、という人に頼んだらブチ切れそうなこまごまとしたプログラミングのトライアンドエラーをいくらでも試すことができます。
これはとてもリバエンと相性がいいと思います。（データ解析とかもそうかもね）

というわけで、今回は部屋に転がっていた２０００年ぐらいのカラオケマシーンの外付け機器である、CD-ROMチェンジャーの中に入っていたカラオケデータCDを解析してみることにしました。

通電不可のジャンクの箱
一般的にはゴミというのでは？
到着時点で前面パネルが脱落しているという良いジャンク感 pic.twitter.com/6ek6aMnbP7

— ひろみつ@技術書典18（う13）「はにらぼ」(会場欠席) (@bakueikozo) September 5, 2024

対象機器はBMBのBeMAX’ sというとうの昔にサービスが終了したマシンです。
通信カラオケは回線経由でデータが送られてくるため、CD-ROMがなぜ必要なの？と今の間隔だと思いますが、黎明期にはまだHDDが高価で容量も小さかったため、それを補うためにリリース済みの曲は外付けCD-ROMなどに収納し、差分だけが回線経由でダウンロードされるという方法だった時期があります。
この機器には４枚のCD-ROMが入っていたため、これだけで約２GバイトのHDD容量が抑えられた、ということになりますね。

以前動画CDだと書かれていたJOYSOUNDのCD-ROMは、ダンプすることはできましたが、ディスク全体に何らかの暗号化がかかっていて解析することができませんでした。

すごい！JOYSOUNDフォーマットのCD-Rだ！
ぜんぜんよめん
これ本体のファーム読まないとわからんな。
何入ってるのかな。 pic.twitter.com/V6dQSQiPoE

— ひろみつ@技術書典18（う13）「はにらぼ」(会場欠席) (@bakueikozo) July 31, 2024

しかし、このCDは普通のISO9600フォーマットで、容易にファイルが取得できることがわかりました。

おお、BeMAXのチェンジャーに入ってたCD-ROM、ファイルレベルで普通に読めるぞ　と思って中を順に開けて行ったら　lh0 の文字　えええ？って思ってlha x したらどんどん出てきた　曲データは中でlh5になってた
中身もベタにMIDIイベントが並んでる pic.twitter.com/BfQ1jvmfA0

— ひろみつ@技術書典18（う13）「はにらぼ」(会場欠席) (@bakueikozo) August 10, 2025

曲データと思われるファイルは拡張子PCTがついています

中身を見てみると。。。。-lh0-という文字列。。。。
ええええ？LHA形式のアーカイブ？？？？？

ということで、lha x　してみると中にファイルが入っていました。
以前誰かがTwitterのリプで何かの機種のデータがLHAだった、って言ってる人がいて、またまたー、とか思ってましたが、本当にあったのか・・・・

解凍してみると、拡張子dat,tmz,pcdのファイルが出てきました。

datは曲メタデータ、pcdは空に近いものが多いですが、もしかすると画像でも入ってそうな気がしました。

で、tmzのファイルはさらにlh5のヘッダ。解凍してみると。。。tmpという拡張子のファイルが出てきます。

なんかそれっぽいデータが出てきました

それっぽいデータ、というのはF0～F7のSysExや、0x9nのノートオンイベントなどです。

バイナリエディタで眺めてみると、これ以上暗号化されている気配はないです。

また、明らかにMIDIイベントのようなデータがたくさん見えてきました。
このままエクスポートできる気がしますが、よくよく見ると、タイムコードがありません。

ChatGPTにhexdumpを食わせてみると、大変寄り添ってくれました。

MIDIイベントの塊の前には、明らかにインデックスっぽいものが入っています。

ChatGPTも私と同じ意見です

このままではChatGPTに勝手にプログラミングを始められてしまうので、ここはCursorにやってもらうことにします。

これがいるのかどうかわからないですが、まず、これからやることを宣言します

・MIDIデータを含むバイナリファイルからSMFファイルを出力する　フォーマットは道なのでこれから解析していく

「未知」を道とtypoしましたが、わかってくれたようで、なんかいきなりやる気を出して、SMFファイルを書き出すpythonスクリプトをいきなり書きやがりました。すげぇ。

先走りしているCursorをなだめながら、わかっていることを叩き込んでいきます

・フォルダ内にある拡張子tmpのファイルが解析対象になる　このファイルは先頭部分に一定サイズのヘッダがあり、続いてMIDIイベントタイムスタンプまたはデルタタイムを含むインデックスエリア、そのあとにタイムスタンプの無いMIDIイベントの羅列が含まれる　タイムスタンプデータをもとに、適切な数のMIDIイベントを拾い上げて、タイムスタンプ付きのMIDIデータに再構成する必要がある

・仮の構造として、0x78バイトまでは未解析のヘッダとして取り扱う　タイムスタンプブロックが始まり、「８バイトのイベントサイズ構造体（先頭４バイトは未解析のビッグエンディアンのDWORD値、２バイトでイベントのバイトサイズ、２バイトは未定義）、続いて８バイトのタイムコード（先頭２バイトは未解析、２バイトのイベントコードA、２バイトのデルタタイム、２バイトのイベントコードB）」の１６バイトセットが続く　イベントコードBが０００３になったところでタイムスタンプは終わる

頼んでもいないのに、ログレベル可変のlogging機能まで実装してくれていますので、注文を追加します。

・TImestamp blockのlogのINFOで、何バイト目を処理中なのかを表示して　また、仮に１０ブロック読んだところでいったん強制終了して

書いてもらった仮コードをもとに、何回か実行してフォーマット仮説をアップデートしていきます

・タイムスタンプブロックに割り当てられるイベントサイズはMIDIイベントの個数ではなく、イベントを構成するバイト数のこと

・イベントブロック一つに対して、既定のバイト数読み込んだらMIDIデータのカーソルはそのバイト分進めて、次のイベントブロックを処理し、そこに割り当てる　いまの動作は違う気がする

・MIDIデータにランニングステータスが使用されているように見える　そのためUnknownと表示されているようだ　ランニングステータスを解釈できるようにしつつ、MIDIイベントとして破綻したデータが発見されたら直ちにそのバイト位置を​表示して異常終了して

・デルタタイムの処理を明確にする　タイムスタンプブロックに入っているデルタタイムは、そのブロック処理後に現在再生Tickに追加される　これをもとに、MIDIイベントの再生ポジションを設定し、表示して　この時点で処理可能ならSMFのためのストリームに設定してエクスポートしてみて

・SMF出力時の時間分解能の値を48に

・absolute tickのカウントアップは、次のTimeBlockを読み込んだ時で、同じTimeBlock内にあるMIDIイベントは同一absolute timeに

・0x48から始まる２バイト、BEがSMFの分解能になる

・４バイトだと思っていたが、１バイト目はどうやらフラグの可能性がある　下位３バイトだけをテンポとし、１バイト目はフラグとして扱ってみて　また、フラグがあったブロックはそれもプロパティとして

細かい注文を付けていきます。これ、興味がない他人にやらせたらブチ切れると思います。

っていうか、何でこの注文を理解して、応答が生成されるのか、マジでもうAI意味わかんないです。

あれやこれややった結果、高々数時間でカラオケ用のデータからSMFファイルをエクスポートすることができました。
AIすごい。
ある程度のリバエンの知識があれば、このような推測をもとに未知のファイルフォーマットから必要なデータを取り出すようなプログラムができてしまいました。

BeMAX'sのMIDI CDからMIDIデータをエクスポートするプログラムができた https://t.co/3izYpkZivR pic.twitter.com/zwGt8iNj4G

— ひろみつ@技術書典18（う13）「はにらぼ」(会場欠席) (@bakueikozo) August 11, 2025

今回マジで一行もコード書いてません。っていうか、私Pythonのコード書けないです。

ソースコードはこちら

https://gist.github.com/bakueikozo/e41a7a788fe19335b5a1ebc7248c4ca5#file-tmp_midi_extractor-py

とはいえ、これは１９９０年代に作られたようなシステムのデータであり、暗号化や復号化のレベルはたかが知れています。
最近のシステムや、もっとがっちりしたプロテクトがかかっているものの解析を、放り込んだだけでできるようなものにはまだまだならない気がします。

ただ、こういった古い機器に埋まっている貴重なデータの解析、今まで自力でコードを書かないといけなかった部分をAIにチャチャっと、マジでチャチャっとやらせることができるため、人生においてリバエンに使うことができる時間を増やし、より多くの収穫を得ることができるようになったと思います。

さらに多くの収穫を得るため、CD-ROMの内容をいったんハードディスクにコピーし、
この中身を再帰的に解凍し、メタデータとともにファイル名を付ける上位スクリプトを作成してもらいます。

できちゃった。すげぇ。
手元にある４枚のCD-ROMのタイムスタンプを見るに、どうやら２０００年ぐらいまでのデータが入っているっぽいです。

これはとっても大事なコレクションができました。わいわい。

仕事でBLEペリフェラルデバイスと、それに繋げるアプリを作っていて、
自分で作ったBLEデバイスに絞ってパッと一覧を出したかったので、

https://zenn.dev/tomo_devl/articles/d58abecf10c599

に書いてある

scanForPeripherals(withServices:options:) を使用するとペリフェラルを検索でき、stopScan() を使用するとペリフェラル検索を停止させることができます。
サンプルでは接続されているかどうか確認し、されていなければペリフェラルを検索しています。
scanForPeripherals の withServices にUUIDを指定してあげれば特定のペリフェラルに絞ることができ、nil を指定してしてあげればすべてのペリフェラルを検索することができます。

を実装したところ、全く思った通りに動かなかったので仕方なく名前とかの検索で進めてたんだけど、流石に不便で、接続してサービスを取得する、を繰り返す、しかないのか？？？と思ってたんだけど、デバイス（ペリフェラル）側のサービス一覧に載せるだけではなくて、
アドバタイズパケットの提供サービスのところに記述を追加しないとセントラル側からはサービスがあるかないか、接続しない限りはわからないのだった。

今はBLEのパケットについて一通りわかったのでそうわかれば納得だが、始めた頃に手探りで実装していたので全然気づかなかった。

このへんの流れを書いてある系の記事を何個か見たけど、そこまで書いてあるところには辿り着いてなかった。大体はすでにできてるデバイスのわかってるアドバタイズを拾えば十分だからだろう。

記述例（ESP32 Arduino）

// Create the BLE Service

// このサービスは接続してからしか取得できない

BLEService *pService = pServer->createService(BLEUUID(SERVICE_UUID_XXXXX),32);

// Create a BLE Characteristic

pTxCharacteristic = pService->createCharacteristic(CHARACTERISTIC_UUID_TX,

BLECharacteristic::PROPERTY_NOTIFY);

// pTxCharacteristic->addDescriptor(new BLE2902());

BLECharacteristic * pRxCharacteristic = pService->createCharacteristic(

　 CHARACTERISTIC_UUID_RX, BLECharacteristic::PROPERTY_WRITE );

pRxCharacteristic->setCallbacks(new MyCallbacks());

InitBLEParams(pService,new MyCallbacks());

 

pService->start();

// Start advertising

pServer->getAdvertising()->addServiceUUID(SERVICE_UUID_XXXXX); // アドバタイズパケットに載せる

pServer->getAdvertising()->start();

iOSアプリ側

centralManager.scanForPeripherals( withServices: [serviceUUID], options:  nil)

ESP32側でaddServiceUUIDをしておかないと、withServicesをnilにしないと検索されない

ーーーーーーーーーーーーーーーーーーーーーー

珍しくプログラムのこと書いてるけど、まぁ、そういうのも書いといた方がアクセスあるかもだし、と思ってこういうこともこれから書くことにしてみる。
毎日分解ばっかりはしてられないらしい。

ここまでのまとめ

honeylab.hatenablog.jp

さて、すでに分かっているように、こいつの中にはZUIKIの手下の開発会社がカスタムしたDDR専用のMAMEがインストールされています。
完全にそれ以外を除去したわけではありませんので、それ以外の関連のゲームは少しの手直しで動作させることができる可能性があります。

Kinda broken in some ways (savestates don't work) but it is playable. The background videos cause some hitching though but that also happened in normal MAME too so I guess that's to be expected. pic.twitter.com/qEpJiWkM85

— 987123879113 (@_987123879113) October 10, 2024

しかし、それ以外のゲームを動かすためのコードは入っていない可能性がありますし、通常のMAMEで使用できる各種機能やパッドのカスタマイズなどは使用できません。

この機械、８コアのARM64が入っているというこの手の機器としてはかなり高性能な演算機能を持っていますので、エミュレーション性能もかなり高いはずです。

それを利用するために、どうにかしてMAMEを入れてみたいところでしたが。

MAME全然わからんｗ

さらにクロスビルドということもあって全然わからん。

あちこち探したところ、似た環境のARM64であるRaspberryPiように一発でMAMEをクロスビルドしてくれるツールキットを見つけたのでこれを使ってみました。

github.com

途中、変な制約につかまってまともにコンパイルできるまで２日ほどかかってしまいましたが、最終的に見事動作する環境を作ることができました！

よっし！！！！
MAME 0.270 on DDR mini
パフォーマンスが出るかはわからん！が、動いたらもうあとはすぐやろ！

昼寝する pic.twitter.com/PcHy5dj5Av

— ひろみつ@リバエン屋 (@bakueikozo) October 11, 2024

音声・音量周りの調整ができないなど不便な点はまだまだ残っていますが、HDMIも簡単に使用できるため結構なんでもできる気がします。

これだけ動くDDR筐体の形をしたMAMEマシンなら、まぁクッソ高いわ！というところから、ちょっと高いかも、ぐらいまで楽しめるんじゃないでしょうか。

とりあえずは、DDRやBEMANIシリーズがどのぐらい動くのかは気になるところです。

ただし、内蔵のMAME（シュリンク版）は、ver0.24ぐらいからのフォークっぽく、一応は謹製扱いのパッチワークがされていると考えると、もしかしたら内蔵のやつの方が再現度が高かったりするんでしょうか。わかんないですけど。

まぁ、本当に必要ならバックポートしたらいいんだと思うんですけどね。逆アセンブルするしかないけど。

で、動きました、とはいうけど、残念ながらみんながみんなぱっとインストールできる状態にはなっていません。少なくとも私はSDカードのはんだ付けからrootfsを書き換えて、USBへのバックドアを作っています。

それに対して、いつものようなFELモードでの書き換えの道も開かれたようです。

Here's the rough write up. I included all of the patches, tools, and scripts I made for this project. I suck at writing docs so someone should probably make an easy step by step guide on how to use everything.https://t.co/DKEz6fb8cD

— 987123879113 (@_987123879113) October 9, 2024

これを使えば、はんだ付けなし、本体を分解して基板を開いてボタンを押しながらUSBを接続してインストール、という手順でインストールすることができるようになるでしょう。それまで、もうちょっとだけこの戦いは続くんじゃ。

Avaota-SBCというDDRMiniにかなり近い構成のボード用にビルドしたバイナリが断片的に動くので、これを使ってファームウェアを吸い出しつつ、逆アセンブルを続けているところではあります。

やったーeMMCの中身をSDカードにまるっと書きだすプログラムができたぞー… pic.twitter.com/Bute6RmR34

— ひろみつ@技術書典お07 カラオケハック本 (@bakueikozo) September 17, 2024

・UART0(PB9,PB10)が明確にデバッグ用に出ているがLinuxの先ではDTSで無効化されているのでほとんど何も出てこない。が、最初のBOOTの間はdの先行入力でちょっとだけメッセージが出る。

・BOOT0 (emmc上0x2000)がboard_initした後、MMCからTOC1パッケージを読み込んでいる。このへんはこの二つのページの機材がよく似ている。

Allwinner H700 Firmware extraction - KNULLI Wiki

Teclast P85T - linux-sunxi.org

・上にあるように、u-bootのエリアがあるけど実はu-bootじゃないのかな、と思って読み込んで逆アセンブルしているけど、本当にu-bootっぽい。

「U-Boot 2018.07-00009-g40a0e96-dirty (Jul 24 2024 - 13:19:23 +0800) Allwinner Technology」

このツリーは、ベースの2018に山ほどのパッチをしてようやく動かしているものらしい。

・このTOC1がemmcのbootパッケージから!ANDROIDを読んで起動している

・その次のパーティションがrootfs、ここにゲームもROMも入っている

・ゲームのROMは独自の暗号化がされている。

・rootfsを書き換えるだけである程度動かせるとは思うけど、現状何も出力できないしシェルにログインできないので大変やりにくい

・どうにかシェルを使うためシリアルコンソールの有効化を試みている

・UART0はLinuxのDTSで無効化されているので起こすのは難しい

・配線を辿るとUART2もつながっている。

うーん、これPB9,10が出てるってことはPB0-6ぐらいが出てる可能性あるな
PB0,1が出るならuart2が生きてるんだよな pic.twitter.com/kB3e9OCcAX

— ひろみつ@技術書典お07 カラオケハック本 (@bakueikozo) September 20, 2024

・ENVのパラメータをいじればttyS2でコンソールが起きるはず

・ENVをいじって書き戻そう！

・書き戻した

・壊れた。

壊れた。

書き戻す場所を間違えたのか、値がおかしいのか。

もっかいeMMCのフルダンプを取ってどこを壊したのか調べてみる。

遠い。