This post is first in English and then in Spanish
Esta noticia está primero en inglés y luego en español

World Rally emulation is complete. I implemented priorities (that were trickier than I thought), shadows/highlights and a few missing bits in the video hardware. Here are some screenshots of the finished driver:

The game is fully playable from beginning to end without any problem as far as I can tell. I thought there was a bug in the video hardware emulation somewhere when I saw this:

So I plugged my PCB and compared it to the driver:

The problem is also in the original arcade game. Because of the way an arcade monitor works, the problem is nearly unnoticeable in the original game. I also checked if the original PCB had the same “shadow effect” for the tiles:

As you can see, the hardware works that way:

 
Something curious about the protection... Javier told ElSemi that the protection of this game took 8 months of work, so imagine how complicated it was… even the dallas has some code that performs some pseudorandom dummy accesses to the shared RAM to make black box attacks even more difficult.

To clarify a question about the other protected games, having the World Rally dallas code does not help to emulate the protection of them.  As MAME now has a DS5002FP core and the other games are almost fully emulated, if we get the dallas code for a game, it will be playable quickly.

Finally, I want to thank to all the people that made this possible. It was cool to be part of this. It has brought me some good memories and healed my wounds with Gaelco.

Update: Gaelco made public the ROMs for World Rally. You can get them from their web page

For reference here are all the posts about World Rally emulation:

Part 1
Part 2
Part 3
Part 4

Es completamente  jugable sin que haya podido observar ningún problema. Pensé que había algún fallo en la emulación del hardware gráfico cuando vi esto:

Así que enchufé mi placa y la comparé al driver:

Como se observa, el problema también está presente en el juego original. Debido a la forma en la que funciona un monitor de recreativa, el pequeño fallo gráfico es prácticamente inapreciable en el juego original. También comprobé si el juego original hacía el mismo “efecto de sombra” de los puentes:

Como se puede apreciar, el hardware funciona de esa manera:

Algo curioso sobre la protección… Javier le dijo a ElSemi que la desarrollar protección del juego llevó 8 meses de trabajo. Inmaginad cómo de complicada es la protección… Incluso el dallas tiene código para realizar accesos pseudoaleatorios a la memoria compartido con el único motivo de hacer que los ataques de tipo caja negra sean incluso más difíciles.

Sobre la pregunta de si tener el código del dallas para el World Rally sirve para emular la protección de los otros juegos, la respuesta es que no. Se necesita el código de cada uno para hacerlo funcionar. Como ahora el MAME ya dispone de un emulador de DS5002FP y los juegos de Gaelco protegidos están ya emulados completamente, una vez que obtengamos el código del dallas para un juego, será jugable rápidamente.

Por último, me gustaría darle las gracias a toda la gente que ha hecho esto posible. Ha sido muy interesante poder formar parte de esto. Me ha traído muy gratos recuerdos y ha cerrado viejas heridas con Gaelco.

Actualización: Gaelco ha hecho públicas las ROMs del World Rally. Puedes obtenerlas desde su página web

A modo de referencia, aquí están todas las noticias sobre la emulación del World Rally:

Parte 1
Parte 2
Parte 3
Parte 4

This post is first in english and then in spanish.
Esta noticia está primero en inglés y luego en castellano.

Javier sent us (via ElSemi) detailed information about how the encryption process worked. However, he told us that the sheets of paper that contained the encryption info were a bit difficult to read in some places (remember that this protection was designed 15 years ago) so probably there was some mistakes in the excel file he sent us. ElSemi and I tried to add it with the information he gave us but we didn’t have success. Nicola Salmoria did an excellent work (as always) consolidating the information and obtaining the missing information. He generated a working decryption function that not only works for World Rally, but also for Squash and Thunder Hoop.

Mike Coates also completed the interface to get the data from a World Rally PCB, so he was able to supply the encrypted/decrypted data that was needed to get the specific details to decrypt World Rally properly.

Special mention to Andreas Naive too. The high level information Javier told us a few days ago was already discovered by Andreas and posted in his page a couple of months ago. Before Javier sent us detailed information about how the encryption worked I contacted Andreas Naive about the encryption and he told me that he didn’t have free time at the moment to look at it. However he told me an intuition he had about the algorithm:

"I remember that my last feeling was that to decipher each 16 bits block, it was done in 3 chunks: a first 6 bits chunk and then two 5 bits chunks, each of them based in a/some bits of the first chunk. I don't remember exactly which ones, but the first chunk was the one with a simple structure (based on the tables I published), while the other two were the ones that shown a more complex structure (and carry effects)".
He was completely right as that was how it worked the encryption that Javier sent us.
 
It is good to have geniouses around ;-)

After adding the decryption to the driver the game looks like this:

It has a few graphic glitches that will be fixed soon but it seems to be PLAYABLE ;-)

Update: more progress has been made. You can read about it here

Javier nos ha mandado (via ElSemi) información detallada sobre cómo funciona el proceso de encriptación. Sin embargo, las hojas donde tenía detallado el funcionamiento del algoritmo eran difíciles de leer en algunos sitios (ya que la protección fue diseñada hace 15 años) por lo que probablemente habría alguna errata en el fichero Excel que nos mandó.  ElSemi y yo intentamos en vano añadir la información de Javier. Nicola Salmoria ha realizado un trabajo excelente (como siempre) terminando de pulir esa información y descubrir los detalles que faltaban. El ha implementado una función de desencriptación que funciona no solo para el World Rally, sino también para el Squash y el Thunder Hoop.

Mike Coates terminó el interfaz para obtener datos de la placa del World Rally, suministrando valores encriptados y sus correspondientes valores desencriptados, que permitieron obtener los datos específicos necesarios para la correcta desencriptación del World Rally.

Mención especial a Andreas Naive. La información de alto nivel que Javier nos dio hace unos días ya había sido descubierta por Andreas, que la publicó en su página hace unos meses. Antes de que Javier nos diera la información detallada sobre cómo funcionaba la encriptación, contacté con Andreas Naive sobre el tema. Me dijo que ahora mismo no tenía tiempo disponible para mirarlo. Sin embargo, me dijo que tenía un pálpito:

“Al descifrar cada bloque de 16 bits, se hacía en tres trozos: un primer bloque de 6 bits y luego dos bloques de 5 bits, cada uno de ellos basados en un/unos bits del primer bloque. No recuerdo cuáles eran cuáles, pero el primer bloque era el que tenía una estructura más sencilla (según las tablas que publiqué), mientras que los otros dos son los que mostraban estructura más compleja (y efectos de acarreo debidos a alguna suma).”

El algoritmo que nos había mandado Javier funciona exactamente de esa forma.

Está bien estar rodeado de genios ;-)

Después de añadir el algoritmo para desencriptar los datos, el juego mostraba este aspecto:

El juego tiene algunos fallos gráficos que se corregirán pronto pero es JUGABLE (lo poco que he probado) ;-)

Update: se ha completado la emulación del World Rally. Puedes leer sobre ello aquí

This post is first in English and then in Spanish
Esta noticia está primero en inglés y luego en español

The Dallas DS5002FP core is complete. The additions to the 8051 core are:

- Extra Special Function Registers
- Byte-wide Bus Support
- Memory Partition and Memory Range
- Bootstrap Configuration
- Power Fail Interrupt
- Timed Access
- Stop Mode
- Idle Mode

I didn’t bother to add support for Peripherals, the Reprogrammable Peripheral Controller or CRC-16 support because it isn’t used by the game.

The communication between the Dallas and the main CPU seems to be working, however, the game writes some bytes to the encrypted Video RAM, it reads them back and then makes some calls based on the decrypted data. As the current decryption is wrong, the game doesn’t work yet and never uses the dallas for anything interesting right now.

The decryption of the Video RAM is in the same state as it was. However, ElSemi asked Javier for information about the decryption and he is trying to help us. He didn’t remember how it was performed but we send him the information we got about it in 2002 (when Mike connected the PCB to the fluke) to refresh a bit his memory. Thanks to that, he gave us another point of view about how the encryption may work. Even if he is right, we still need to get data from the original PCB. Hopefully, somewhere in the process we end up with a clean decrypt function that uses no tables.

Understanding some code I was able to guess some decrypted values and get this:

It looks really ugly as the colors for the tiles aren’t decrypted properly but this finally confirms that World Rally uses the same Video Hardware as Target Hits. The only change seems to be the additional palette entries for the night races. I have seen how the palette was configured in a night race and I have an idea of how the palette works for the night races (not very different from World Rally 2), but we’ll have to wait until the game works to implement it.

So, the current status is that if the Video RAM is decrypted properly and we are lucky, the game should work without the light effects (and maybe some priority problems) and be playable. If we are not that lucky, hopefully the problems are not difficult to find and fix.

Update: more progress has been made. You can read about it here

El emulador del Dallas DS5002FP está completado. Lo que se ha añadido al emulador del 8051es:

- Registros de funciones especiales (SFRs) extra
- Soporte del Byte-wide bus
- Partición y Rango de memoria
- Configuration de arranque
- Interrupción por falta de energía
- Acceso temporizado
- Modo Stop
- Modo Idle

No he añadido soporte de periféricos ni el Controlador Reprogramable de Periféricos, porque no son usados por el juego.

La comunicación entre el Dallas y la CPU principal parece estar funcionando correctamente. Sin embargo, el juego escribe algunos bytes a la memoria de Video encriptada, luego los lee desencriptados y hace unos saltos dependiendo del valor desencriptado. Como la desencriptación actual es incorrecta, el juego sigue sin funcionar todavía y no utiliza el dallas para nada interesante todavía.

La desencriptación de la memoria de Video sigue igual. Sin embargo, ElSemi le ha pedido a Javier información sobre la encriptación y nos está tratando de ayudar. Javier no recordaba cómo funcionaba la encriptación por lo que le hemos mandado la información que obtuvimos en 2002 (cuando Mike conectó la placa al fluke) para refrescar su memoria. Gracias a ello, Javier nos ha dado otro punto de vista de cómo podría funcionar la encriptación. Aún si está en lo cierto, con lo que nos ha dicho aún necesitamos obtener datos de la placa original. Con un poco de suerte, en algún momento terminaremos con una función de desencriptación clara que no usa tablas.

Entendiendo un poco de código he podido intuir unos cuantos valores desencriptados y obtener esto:

Se ve realmente feo porque los colores de los bloques no están desencriptados correctamente pero esto confirma finalmente que el World Rally utiliza el mismo hardware gráfico que el Target Hits. El único cambio son unas entradas adicionales de la paleta para las carreras nocturnas. He podido ver como se configuraba la paleta en una carrera nocturna y tengo una idea de cómo va (parecido al World Rally 2), pero habrá que esperar a que el juego funcione para poder implementarlo.

Por lo tanto, el estado actual es que si la RAM de Video se desencripta correctamente y tenemos un poco de suerte, el juego debería funcionar sin los efectos de luz (y quizás con algún problema de prioridades), pero sería jugable. Si no somos tan afortunados, con un poco más de trabajo encontraremos y arreglaremos los problemas que surjan.

Actualización: se ha avanzado un poco más. Puedes leer sobre ello aquí

This post is first in English and then in Spanish
Esta noticia está primero en inglés y luego en español

If you have tried to execute World Rally since it was added to MAME you have seen the precarious state of the driver. The protection of World Rally is double:

Encrypted Video RAM:

The encrypted Video RAM transforms a 32 bits value written to it to another value that is really complex to derive from the original value. This protection was also used in Thunder Hoop and Squash. Mike Coates connected a fluke to his PCBs and got a 4 GB file will all possible combinations (2^32) for Thunder Hoop and Squash.  Using that file, the encryption process was replicated.  However, it was not very practical to require a 16 GB file to run the game. Nicola Salmoria studied the file and generated some code (about 400 lines) that replicated the original encryption. That’s why you can play Thunder Hoop and Squash.

Why World Rally encryption is incomplete? All of us wanted to see World Rally running before any other game, so we started studying World Rally before Squash and Thunder Hoop. In that time, we thought that the encryption was only performed in 16 bits, not 32. Unfortunately, when Mike got all decrypted values (2^16), the code was clearly showing that the decrypted values were not correct in most cases (for example, one of the methods that draws the tiles uses a decrypted value for the number of tiles to draw. That’s why the power on self test results and other screens look horrible right now).  After we find that out, the decryption efforts were centered in the other games. As World Rally was not going to be playable unless the dallas code was dumped (something that seemed unlikely), it has remained that way.

Dallas DS5002FP secure MCU:

The Dallas MCU in the Gaelco games has some critical code that handles inputs, objects manipulation and other complex calculations that prevent the game from working properly (Take a look at World Rally 2 if you don’t know what I mean). The DS5002FP MCU has been one of the best chips for protecting information on its era making emulation of these games impossible for now. There are some specialized labs that claim to be able to get the code from a DS5002FP but it is an incredibly expensive process we can’t afford.

I have to admit that I thought that I’d never see World Rally emulated, as I approached some people at Gaelco and Zigurat for the Dallas code without luck. However, the other day I received an email that changed my mind. Miguel Angel Horna (ElSemi) did a talk at Lleida Lan Party about emulation. At the party he met one of the Gaelco founders (Javier Valero) that was there to speak about the arcade game industry. ElSemi and Javier talked about the protection in some Gaelco games and Javier was kind enough to provide the dallas code for World Rally. With the internal code of the DS5002FP it is just a matter of time to finally have a working driver in MAME.

I have been completely inactive from MAME development for a while but as I worked on the drivers of all the Gaelco 2D games (except Master Boy) and I spent a lot of time and money on them, I thought it was a good time to resume my work on MAME.

Mike Coates is trying to get all the possible values from World Rally Video RAM so we can advance in that area too.

Currently I am writing a DS5002FP core to run the dallas code. The DS5002FP is just a 8051 MCU with some additions and as MAME already has a 8051 core things are going fast. For example, the initial coprocessor test works (although it is a trivial test to pass without the dallas code):

Also, adding the Power Fail Interrupt of the dallas I managed to see this screen that is supposed to be seen when the dallas is dying:

After the both protections are emulated the driver will need more work as probably the video hardware emulation isn’t complete and needs some tweaks here and there but I’m confident that World Rally will be playable in a not so distant future. I don’t know if Javier will give us more dallas code or not, but hats off to him for this one. Also, thanks a lot to ElSemi for being able to get the dallas code from him.

Update: more progress has been made. You can read about it here

Si has tratado de ejecutar el World Rally desde que fue añadido al MAME habrás visto el estado tan precario del driver. La protección del World Rally es doble:

Memoria de Video Encriptada:

La memoria de video encriptada transforma los valores de 32 bits que se escriben en ella, de forma que el valor resultante es extremadamente difícil de obtenerlo dado el valor original. Esta protección también se utilizó en el Thunder Hoop y en el Squash. Mike Coates conecto un fluke a su placa y obtuvo un archivo de 4 GB con todas las combinaciones posibles (2^32). Usando ese archivo, se pudo replicar la encriptación. Sin embargo, no era muy práctico necesitar un archivo de 16 GB para ejecutar el juego. Nicola Salmoria estudió el archivo y obtuvo un código (cerca de 400 líneas) que obtenía los mismos valores de la encriptación. Por ello se puede jugar al Thunder Hoop y al Squash actualmente.

¿Por qué la encriptación del World Rally está incompleta? Todos queríamos ver el World Rally funcionando antes que cualquier otro juego, por lo que empezamos a estudiar el World Rally antes que el Squash y el Thunder Hoop. En esa época, pensábamos que la encriptación solo era de 16 bits, no de 32. Cuando Mike obtuvo los valores desencriptados (2^16) pudimos comprobar la cruda realidad. El código mostraba claramente que los valores desencriptados no eran correctos en la mayoría de los casos (por ejemplo, uno de los métodos que dibuja los fondos de las pantallas usa un valor desencriptado como el número de bloques a dibujar. Por eso la carta de ajuste inicial que muestra los resultados de los tests iniciales se ve tan mal actualmente). Después de percatarnos de nuestro error, los esfuerzos se centraron en el resto de juegos. Como el World Rally no iba a ser jugable a no ser que el código del dallas se obtuviera  (cosa que parecía altamente improbable), se ha mantenido como estaba.

Microcontrollador Dallas DS5002FP:

El Microcontrolador Dallas en los juegos de Gaelco contiene código crítico que maneja la entradas de los jugadores, la manipulación de objetos u otros cálculos complejos que hacen que los juegos no funcionen correctamente (prueba el World Rally 2 si no sabes a lo que me refiero). El DS5002FP ha sido uno de los chips con más éxito a la hora de proteger información en su época, haciendo que la emulación de estos juegos fuera imposible. Hay laboratorios especializados que presumen de poder obtener el código de un DS5002FP pero es un proceso increíblemente caro que no nos podemos permitir.

Debo admitir que pensé que nunca vería el Word Rally emulado, ya que contacté con varias personas de Gaelco y Zigurat preguntando por el código del Dallas pero no hubo suerte en ese momento. Sin embargo, el otro día recibí un email que me hizo cambiar de opinión. Miguel Angel Horna (ElSemi) dio una charla en la Lleida Lan Party sobre emulación. En la party conoció a uno de los fundadores de Gaelco (Javier Valero) que estaba allí para hablar acerca de la industria de los juegos recreativos. ElSemi y Javier hablaron sobre la protección en algunos juegos de Gaelco y Javier tuvo el detalle de dar el código del dallas que usa el World Rally. Con el código interno del DS5002FP es sólo una cuestión de tiempo de que finalmente el juego pueda funcionar correctamente en el MAME.

He estado completamente inactivo en el desarrollo de cosas para el MAME bastante tiempo, pero como trabajé en los drivers de todos los juegos 2D de Gaelco (excepto el Master Boy) y me he dejado un montón de tiempo y dinero en ellos, he pensado que sería un buen momento para trabajar un poco más en el MAME.

Mike Coates está tratando de obtener los posibles valores de la memoria encriptada del World Rally para ir avanzando en ese aspecto.

Por mi parte, estoy escribiendo un core para el procesador DS5002FP de forma que se pueda ejecutar el código del dallas en MAME. El DS5002FP es un microcontrolador 8051 con ligeros cambios, y como ya hay un core del 8051 en MAME, la cosa avanza rápido. Por ejemplo, las comprobaciones iniciales del coprocesador funcionan (aunque es un test tan sencillo, que se puede parchear sin tener el código del dallas, pero bueno):

Emulando la interrupción de fallo de tension del dallas, he conseguido ver esta pantalla que se muestra cuando se le acaba la pila al dallas y su contenido deja de funcionar:

Después de que ámbas protecciones hayan sido emuladas el driver necesitara un poco más de trabajo porque probablemente la emulación de video requiera unas mejoras pero estoy convencido de que el World Rally será jugable en un futuro no muy lejano. No se si Javier nos pasará más códigos del dallas para otros juegos o no, pero me quito el sombrero por lo que ya nos ha dado. Muchísimas gracias a ElSemi por conseguir el código del Dallas.

Actualización: se ha avanzado un poco más. Puedes leer sobre ello aquí

Andreas Naive, the spanish guy behind one of the greatest decryption jobs of all time, the Capcom Play System 2 (CPS2), has done it again!

In a really short period of time, and with virtually no data to work with, he was able to crack the CPS3 encryption. You can read how it happened in his blog (spanish only):

http://andreasnaive.blogspot.com/

If you don't speak spanish, probably you will not understand anything. Don't worry, even if I'm spanish it is very difficult to follow his conversations because he's a genious and a step for him could be 4 or 5 steps for a "normal person".

Congrats Andrea.

Nicola Salmoria was able to decrypt a complete CPS2 game algorithmically without using any table!

Well, to be fair Andreas Naive played a key role here. Andreas started with the Feistel Network theory and lead the break out. It is amazing what you can get making two genius work together!

In case you haven't heard of Andreas, he's a very clever spanish guy that also helped to reverse engineer the DSP-1 chip used in Mario Kart and the S-DD1 used in Star Ocean.

There are some pieces of the puzzle to complete to fully understand the encryption but having reached that far it can only get better ;-)

Take a detailed look at their blogs to know more about this amazing achievement!

http://andreasnaive.blogspot.com/

http://mamelife.blogspot.com/

Hats off to you guys!