PS2のDVDプレーヤーexploitを使ったハック FreeDVDBoot by CTurt

CTurt氏が、無改造のPlatStation 2で内蔵DVDプレーヤーに存在する脆弱性を利用して焼いたDVDからHomebrewを起動したりバックアップ起動を行うことができるFreeDVDBootをリリースしていました。

ps2

FreeDVDBoot: ユーザーがHomebrewゲームを焼いたDVDを無改造PS2本体で純正ディスクと同様に実行することができるようになるPlayStation 2 DVDのexploitです。https://cturt.github.io/freedvdboot.html

PlayStation 5が発売間近という今のご時世にPlayStation 2のexploitです。
PS2と言えばメモリーカードを使ったFreeMcBootやディスク入れ替えを偽装するSwapMagic、HDLoader使ってHDDにインストールして拡張ベイに付けるなどの方法が過去には存在していましたが、最近主流のソフトウェアハック(コールドブートハック)など、特段アクセサリー類を使わないハックはありませんでした。FreeDVDBootはDVDを焼くという作業は必要ですがPS2本体はノーマルのまま、そのDVDを本体に挿入するだけというソフトウェアハックの一種になっています。

公開されたデモ動画では、焼いたDVDからELFファイルになっているエミュレータを起動し、スーパーマリオなどのゲームを実行したりバックアップゲームを起動したりしています。要するに、本来なら不可能なELFフォーマットのHomebrewアプリケーションをDVDディスクから直接起動したりバックアップゲームをノーマルPS2本体で起動していることになります。

通常ELFファイルをDVDに焼いただけではPS2のDVDから起動できません。ただしPS2ではDVDビデオディスクであればそのまま読み込んで再生できるところに着眼しました。

FreeDVDBootはDVD Playerのファームウェアのバージョン3.10E(EU版。US版の3.10Uでも動作確認できたそうなのでリージョンが関係なさそうだとしています)のexploitとなっています。PS2はファームウェアをアップデートできる仕組みではないのでモデル毎にファームウェアがバラバラです。細かく検証するにはPS2のモデルを集めてくるしかないため現状では事実上そのあたりの検証はPS2シーン任せになります。DVDプレーヤーの最終版は3.11J(日本版)らしく、その1バージョン古いだけの3.10E/Uで脆弱性が存在しているため、かなりの確率で数多くのPS2モデルがその対象となっていそうです。

FreeDVDBootを簡単に説明すると、DVDディスク読み込みの際の脆弱性(最初にVIDEO_TS.IFOを読み込んで引き起こすバッファーオーバーフロー)を利用してメモリを確保してペイロードを実行し、DVDの構造に含まれるELFファイルを読み込むという仕組みです。

既存のHomebrewのELFファイルは実はそのままではFreeDVDBootで起動しません。CTurt氏のリクエストに応えたuyjulian氏がFreeDVDBootに対応したPS2SDKを作ってくれ、そのPS2SDKで再コンパイルされたHomebrewであればDVDに焼いてPS2で起動させることができます。

実際ELFファイルをDVDビデオにしてしまうとおかしなことになるので、ゲームをDVDビデオに偽装するESR patcherというものが存在しているのでそれを使い偽装DVDディスクを作成し、exploitとESRパッチしたディスクを読み込むESRローダーを連携させることでELFを焼いたDVDがDVDビデオとして認識され読み込まれます。

そのそも日本版のPS2 DVDプレーヤーにも脆弱性が存在するのかどうかが明確ではありませんし、今後このexploitを使って簡単にディスクを作成できるツールなども出てくると思うので、まだPS2を現役で使っているよというユーザー(ほぼ絶滅していると思いますが…)は楽しみにして待っていてもいいかもしれません、

FreeDVDBootのソースコードはGitHubにて公開されています。

[追記]
CTurt氏は、DVD Playerの最新ファームウェアである3.11に対応して欲しいという声に応え、まずは3.11に
FreeDVDBoot のexploitを移植しました。

DVD playerのバージョンが3.11をお持ちのみなさまへ、3.11に対応して欲しいという声が大きいのでまずは3.11にexploitを移植しました。コードはリポジトリにプッシュしてあります。移植のプロセスも書いておきました(2時間くらいかかりましたけど)。
https://github.com/CTurt/FreeDVDBoot

実機でテストしていないので動いたら教えてください。エミュレータ上の3.11Jではテストしました。E/Uだと動かないかも。

実際ユーザーがテストしてみたところ3.11Uだと動かなかったようで、CTurt氏は明日アップデートしてみると言っているのでそのうち治るかもしれませんが、日本版の3.11Jはどうも大丈夫そうです。

また、記事内で出てくるツール類を探しました。
FreeDVDBootのリリースに伴い今回新たに公開されたものも含めてお伝えしておきます。

・PS2向けのファミコンエミュレータFCEUとスーパーファミコンエミュレータSNES StationをFreeDVDBootで起動できるよう調整したlibcdvdを使って再コンパイルしたFCEU-HWCとHWC – SNES Station 0.2.0 MOD with updated libcdvd
FreeDVDBootのデモ動画で使われたエミュレータです。

・ゲームディスクのISOイメージにパッチを当ててDVD-VIDEOに偽装したディスクを起動するためのESR r9c
FreeDVDBootで使いやすくなるよう起動時にESRのロゴを表示しないようにして速やかに起動するようになっています。

・ゲームディスクのISOイメージにパッチを当ててDVD-VIDEOに偽装するためのESR Disc Patcher
LinuxとWindowsのコマンドライン版やJava版などもあります。ESRPatcher Proというバージョンもあります。

[追記2]
DVDのファームウェア毎の調整は必要ですが、最終的にはファームウェアごとにISOファイルを作成して焼くと要った作業をしなくても1つのISOファイルに統合することができるっぽいです。日本リージョンだけ別、ということもなさそうです。
現時点でPS2最終版DVDファームウェアの3.11に対応していることからそのうち全PS2向けのディスクが作成できるようになりそうです。

3.10と3.11(全リージョン対応)を1つのハイブリッドISOファイルにして動作するようにしました。最終的にはすべてのファームウェア用が同じ1枚のディスクで作れるようにできると思います。

GitHubのPREBUILT ISOsに、言語は英語表記だけになりますがhybrid 3.10 and 3.11 – all regionとしてISOファイルが公開されています。

[追記3]
DVDファームウェアの3.04がサポートされました。

3.04は問い合わせが多いので、サポートを追加しました。エミュレータでのテストしかしていませんので、実機で動作したら報告して下さい。そのうちREADMEを更新します。

『PS2のDVDプレーヤーexploitを使ったハック FreeDVDBoot by CTurt』へのコメント

  1. 名前:wawawa 投稿日:2020/06/28(日) 20:53:53 ID:36c5a97e3 返信

    焼く際にイメージファイルにelfを仕込むのかな
    メモカブートの利便性考えると今後このやり方で使おうとは思えないけど

  2. 名前:とおりすがり 投稿日:2020/06/28(日) 22:01:37 ID:17b7f0dac 返信

    メモリーカードアダプタ高かったから、DVD-Rでelf起動できるようになると助かる人結構いるのでは?
    主にPCSX2使いたい人とか

    • 名前:wawawa 投稿日:2020/06/29(月) 00:24:35 ID:a97887fac

      PS3の事?PS3でPS2のelf起動できるの?
      PS3改造済みならメモカイメージがPCSX2と規格一緒だからコピペすれば普通に使えるしやっぱ使わないのでは。

  3. 名前:とおりすがり 投稿日:2020/06/29(月) 09:31:18 ID:4a0511d8a 返信

    いや、実機のメモリーカードにfreeMCbootを書き込むのに使う
    ていうか、他に書き込む方法があるんですか…?

    • 名前:wawawa 投稿日:2020/06/29(月) 12:06:34 ID:a97887fac

      あぁMCBOOT初導入時に使えば便利ってことね。