Byuu offre 2500$ pour un DUMP du bios de la WonderSwan - Page 1

Bonjour,
Je prends 5 min pour faire un message et relayer cette information.
Byuu, le créateur de l’émulateur Bsnes/Higan ( entre autre) propose une récompense de 2500$ à celui qui arriveras à extraire le bios de la WonderSwan.
Celui-ci est en effet nécessaire pour améliorer la qualité de l'émulation sur cette console et avoir le spash screen et le menu de réglage.

Il me semble que pour le démarrage , jusqu’à maintenant les émulateurs se contentait d'écrire une partie de la mémoire qui avait été dumper ?

source :
https://twitter.com/byuu_san/status/1162220643099672576

Arf, j'ai vendu (échangé contre un Atari Portfolio) ma WS FF2 il y a peu, c'est clairement un projet qui m'aurait intéressé. Y-at'il du monde qui a envie de tenter l'aventure ici (pas forcément pour les $2500 mais au moins pour le défi technique) ?

Je ne suis pas au fait de la scene WS mais à mon sens essayer de fuzzer le BIOS pour trouver un porte d'entrée ou générer un clock glitch pour bypasser les flags anti lecture sûrement présents ou dissoudre le bon IC dans de l'acide pour s'user les yeux à décoder le BIOS pourraient être des idées de départ. D'autres idées ?

EDIT: eh ! et bien on dirait qu'en effet c'est la solution du clock glitching qui soit la plus probable :

The ROMs are stored inside an SoC. It is not known if optical readout will work, but it would require delayering if so. Clock glitching akin to how all of the Game Boy boot ROMs were extracted is the most likely strategy. (image credit @furrtek) pic.twitter.com/9SWzFYpgME

— byuu (@byuu_san) August 16, 2019

Godzil s'était déjà penché sur la question il me semble.

(mon premier call en 13 ans de Yn )

On peut juste pas dessouder la puce et lui envoyer?

Suffit pas de dessouder, sinon ce serait fait depuis longtemps

Byuu veut dumper toutes les versions de BIOS WS (en commençant déjà par la Color), au vu de la rareté de certaines version je pense qu'il va falloir trouver une solution non destructive (logicielle a priori donc)

My next step is to take some gorgeous photos, scan everything (including this *143 page manual*), and dump the ROM.

...Oh, and research the hell out of it and bring you guys my weirdest video yet.

— kelsey lewin (@kelslewin) August 15, 2019

Le clock glitch est impossible et si byuu comprenais un peu ce qu’il fait il le saurais.

*shots fired*

Godzil > tu peux rappeler pourquoi ça marchera pas ? J'ai oublié.

Oui et aussi pour ceux qui lisent le topic et qui se pose la même question accessoirement 😋

1 - CPU statique
2 - Segmentation
3 - vecteur de reset

Bonus:
- la boot rom semble effacer l’IRAM
- cpu avec pipeline

Ça complique les choses c'est sûr, mais je suis pas convaincu que ça rende cette technique inutilisable pour autant.

Merci Godzil pour ces précisions. Du coup en dehors d'une surprenante découverte il ne resterai que le fuzzing et une attaque hardware destructive du genre décapping+lecture au microscope ?

Je ne vois pas trop quoi à vrai dire. Comme CS n’est jamais modifié hors far jump, tu ne peux rester que dans le segment où tu te trouve, don’t a moins que CS ne soit pas à 0000 (c’est impossible de savoir il est vrai) tu ne peux pas laisser de code dans l’IRAM car elle est nettoyé, le CPU étant statique les glitch power/clock sont très improbable de marcher pour corrompre un registre

Le pipeline rend le comptage de cycle compliqué, et même si tu arrive à faire foirer le blocage de la boot rom, quand le code dans l’iram va lancer la cartouche c’est avec un JMP FFFF:0000 donc il va relancer le bios...

Godzil (./17) :
le CPU étant statique les glitch power/clock sont très improbable de marcher pour corrompre un registre (...) Le pipeline rend le comptage de cycle compliqué

Corrompre un registre ça semble difficile, par contre je pense qu'il y a une chance de faire foirer le fetch et/ou l'exécution d'une instruction avec une impulsion d'horloge trop courte pile poil au bon moment. Le pipeline complique un peu les choses, mais il est déterministe, donc il suffit de décaler le glitch de quelques cycles en conséquence.

Godzil (./17) :
et même si tu arrive à faire foirer le blocage de la boot rom, quand le code dans l’iram va lancer la cartouche c’est avec un JMP FFFF:0000 donc il va relancer le bios...

Ça c'est vrai que c'est un problème.
Mais si on arrive à perturber l'exécution d'une instruction, je vois un moyen possible :

1) copier le code de dump en RAM, juste après l'emplacement du JMP FFFF:0000
2) reseter le CPU
3) glitcher l'instruction qui efface la RAM (si c'est un rep stos), ou le saut conditionnel de la boucle qui le fait
4) glitcher l'instruction qui verrouille la ROM interne
5) glitcher le jmp à FFFF:0000
6) pouf !

Faudrait faire des tests de glitches avec des bouts de code simples en RAM et en ROM, pour voir si on peut en tirer quelque chose...

Et pas moyen de brancher quelque chose physiquement entre la ROM et la RAM pour copier le programme chargé à la volée ?
(Je n'y connais rien, mais ça me paraît quand-même être le truc le plus "simple" à faire quand on a accès au hard et qu'on ne veut pas l'abimer)

Le CPU, la ROM et la RAM sont intégrés dans la même puce, c'est là tout le problème ^^

Zéro: c’est beaucoup de glitch à faire sans rien savoir du code, ça me parait très irréaliste sans passer des années à 100% dessus

Et par curiosité, comment tu "glitch" une instruction ?

0² > ah, ok, foooorcément

Brunni : les méthodes courantes sont d'overclocker massivement juste pendant la durée de l'instruction, ou de faire descendre la tension d'alimentation en-dessous de la normale.

Le prodige a encore sévi, bien joué Furrtek !

Courtesy of the extremely talented @furrtek, the WonderSwan boot ROM has at last, after more than twenty years(!!), been dumped via clock-glitching! Up next will hopefully be the WonderSwan Color~. See it in action here: https://t.co/Ds71LiwxCl

— byuu (@byuu_san) August 18, 2019

Tu disais quoi, Godzil ?

(sinon, quelqu'un peut faire coucou à Furrtek sur Twitter pour qu'il nous explique comment il a fait ?)

t1 la brute

Zerosquare (./26) :
Tu disais quoi, Godzil ?

(sinon, quelqu'un peut faire coucou à Furrtek sur Twitter pour qu'il nous explique comment il a fait ?)

C'est fait ! Il fini la wonderswan color et écrit un article sur la technique de dump. Mon héros quoi

Merci

Ha bah ça ne devrait plus tarder

:O pic.twitter.com/shOW209Gxv

— Furrtek (@furrtek) August 18, 2019

Décidemment il y en a certains qui sont plus productifs que moi le dimanche