前排提醒:文章部分编写可能使用机器(Microsoft Word的文章检查器)/AI(Grok 3-DeeperSearch,WPS AI prompt:润色这篇文章) 若对机器生成内容敏感 请立即退出页面
同时文章不仅在博客上发布 它还同时在我的网易云音乐专栏 微信公众号 B站专栏 酷安发布 欢迎去捧个场
Just Wii
Wii 的成功让任天堂在 200X 年代声名鹊起 但其缺点也一同出现
与同世代的游戏机的分辨率对比 当时的Wii显得十分渺小
看到此般情景 任天堂改进了Wii 发布下一代游戏机 (增强版的Wii)
在2011的E3上 时任任天堂北美总裁的雷吉宣布下一代主机的“面世”
但是就仅仅如此吗?下面就来看看Wii U的其他版本
特别的机型
从2010年末到2011年初开始 任天堂开始做出第一版Wii U原型开发机
但是很可惜没有图片这里贴一个NDEV(Wii初代开发机)的图5(大概和NDev一样 没有配套的Gamepad 而是用Wii的经典手柄来操作)
直到聪哥和团队在开发任天堂大陆6的时候才有gamepad这个概念
到了2011年的中期(E3是 6月份)任天堂的第二版原型开发机[7] 这次附上了gamepad
基本和普通的Wii U没有区别 只是主机后面多了很多给DRC的接口(防零元购
过了一阵子 任天堂做出了第三版的Wii U开发机[9] 这次比第二版来说 有着巨大的进步 因为把机器涂白 比之前整洁很多 加了一个有线网口和300G硬盘 这时候能独立运行系统了
又过了一段时间 最后一台V(Ver)形的第四代测试机出来了[10] RAM的读写和CPU更快了
至此V型开发机落幕 接下来就是可以给第三方开发者的开发机[11]了(MP型)
在Wii U发售之后 这种笨重大铁盒渐渐不再提供给开发者 而是提供了Development Kit的开发机(代号都是CAT-R) 主机外观和普通零售的Wii U一样 但是gamepad和主机各有几款
在2013年 任天堂北美在巴西的Anatel机构上传了几台不同的Wii U拿许可(类似我们的入网许可) 但最大的亮点就是还有一款从来没有出现过的机器[12] 除了主机的前面板和gamepad的后盖是亮SYNC色 玫红色?(想不到有什么颜色可以形容了 大概比主机的SYNC键亮一点)
但很可惜 这一台玫红色的Wii U除了在Anatel的文档里面就再也没有出现了 是唯一一台除了黑色 白色 绿色前面板的机器 也是唯一一台整台Wii U没有RF射频的开发机
到了2014年 任天堂开始提供绿色的前面板开发机
开发机中可以看到DUMMY(系统配置) 这个应用在kiosk8中也出现过
用来设置一些更高级的内容
到这里 Wii U的机型就介绍完了 但是还有更多的
硬件
但事实上 如果破解了主机 逆向系统去看详细信息的话 会发现这种组合很奇怪
CPU
有着三个“百老汇”(Wii的CPU核心)核心的“Espresso”蒸馏咖啡 IBM PowerPC 7XX CPU+AMD/ATi Radeon R700”拿铁“GPU
内存
这部分很有趣 分了三部分 一部分是2G的 512m DDR3L-1600*4 这2G内存 1G内存留给IOS(Internal OS 内部系统 Wii到Wii U都跑着内部系统 类似内核的东西)剩下1G自由分配 第二个部分则是32M的特殊显存 最后一份则是3M的SRAM 用来增强GPU和内存之间的连接
内存最有趣的一点的是 当启动Wii模式的时候 Wii U的IOS会隐藏掉2G的内存 留下32M的内存+3M的SRAM 把自己的三个”百老汇“关剩一个 然后重新启动进到Wii的IOS和系统
这时候Wii U会变成一台真正的Wii 但是你还能用Gamepad显示画面和操作(DRC摄像头两边的是感应光条 顺便吐槽一下 这东西在Wii U的IOS还是默认开启 也没有什么游戏用DRC的光条 纯纯浪费电)
要退出也很简单 指向菜单的Wii U标退出 或者按一下主机的电源键(类似没有固化或者不是稳定的越狱) Wii U自己会再重启 回到Wii U的IOS
它支持1080P输出 虽然GPU大概与Wii一样 但是厂家(ATi➡AMD)和技术不一样了
首先它基于 TeraScale架构 “最明显的特征是使用统一着色器模型,将顶点和像素单元集中到一个单元中, 现在称为 SIMD 单元。” 引用自copetti
任天堂把显卡可以用的渲染API称为GX2 支持 OpenGL GLSL 3.3和OpenGL ESSL 还有新增的H.264硬件解码也同时让这块GPU有着比当时的显卡更好的视频渲染能力(是给Gamepad串流游戏画面用的)
音频
任天堂把声道玩的极致 在原来的电视双声道+4个直柄的基础上把电视和新的大号手柄再做升级
TV:
Gamepad:
混合:
DRC或者TV单独播放一个都会显得单调
操作系统
Wii U内部跑着四套不同的系统
第一个是IOSU(代号星巴克 内部系统 wii U)是Wii的IOS升级版 不仅升级了性能 也升级了“安全性”(Wii被第一次破解是利用了这里的物理内存bug 两个内存保存着系统 一个是加密的 另外一个是没有加密的 破解的人用外部硬件焊接 结果发现内存的加密被倒转了 但是内存的内容还是一样的 合二为一最后得到了Wii的第一次破解)
第二个是“浓缩咖啡”的真 OS(也被叫做Cafe OS) 刚开机看到的Wii U标就是Cafe OS弄出来的 随后启动”正在连接Nintendo Network“的系统菜单是Cafe OS开机之后做的第一件事 这也说明了它的灵活性 也有着”先进“的系统理念(游戏机的系统不是固件 而是一个真正的系统 让系统服务游戏 而不是硬件直接服务游戏)
(题外话 两台机器已经备份了重要文件 如果Wii U真的菜单坏了还能下回来 然后还原进去 全MLC备份 结果有一个系统app死活备份不进去 应该是坏了) 但灵活性带来的结果是 内存占用暴涨 原来只有2g的内存 被cafe os 吃去1g之后还剩下1g给开发者们支配 第三和第四个系统则是留给兼容Wii用的 一个是上面”内存“部分说过的冷启动Wii 一个是热启动Wii 给Eshop上买的Wii游戏的系统 直接打开Wii游戏
启动和破解
摘抄自Copetti 谢谢你(到时候会买本电纸书支持的)15
Starbuck 被唤醒并进行到…执行在其重置矢量 (vector) 中找到的代码(0xFFFF0000) , 它指向它的掩码 ROM (其中第一个启动阶段是, boot0). 第一个例行 (routine) 让 Starbuck 将 boot0 复制到Starbuck的SRAM, 所以它运行得更快.boot0 然后通过读取 OTP 内存和 SEEPROM 上的标志(flags)来初始化部分 I/O 和附近的区块。 然后从 NAND 中获取下一个引导步骤 (boot1)。boot1 已经被加密和签名,因此 Starbuck 首先检查其签名 (RSA 类型) 以及内容的完整性(比较 SHA-1 哈希校验值) 然后开始解密它 (使用 AES)。 所有需要的密钥和证书都是从 OTP 内存中提取的。更多I/O 的初始化完成后。 然后,SEEPROM 和部分 OTP 将被锁定无法再次访问。 最后, boot1 部分的初始化就暂告一个段落。boot1 初始化更多 I/O 并准备使用 MEM2 和 MEM0 。 然后从 NAND 读取 IOSU 固件 到MEM1 并执行相同的验证 & 解密过程。 如果一切顺利,Starbuck 会禁用使用过的 OTP 内存,并完全清除敏感数据。 最后,它将转到 IOSU 固件。IOSU 固件 是一堆程序的集合。 首次启动的是 IOSU Loader,它加载了剩下的其他固件(像是 IOSU)到特定的内存位置(SRAM 和 MEM0)。 然后它从MEM1中清除自己,跳到了在 IOSU 内核 等待的 SRAM。IOSU 内核 首先快速进行 MEM1 检查 , 一旦完成后, Starbuck 会运行在 IOSU。 为了能正常执行功能,IOSU 的相关模块可以在 MEM0 上找到。Espresso 是下一个,所以IOSU 将 Cafe OS (加密形式) 复制到 MEM2 并启动 Espresso。Espresso 的第一个核心启动后…重置矢量(vector)处于地址 0x00000100, 此处被 Boot ROM 占用, 所以它开始在那里执行.MMU, L1/L2 缓存和注册表被清除。 然后,Espresso 切换到“翻译模式”(激活 虚拟内存)。通过篡改锁定的 L1 缓存和空内存写入,BootROM 被复制到 L1(为了更快地运行),而不会到达外部 RAM。重置向量(reset vector)变成一个无限循环(以阻止试图重置 的 CPU)。OTP 的 AES 密钥已复制到 L1。 然后,OTP 被禁用。Cafe OS 内核的 header 已复制到L1,其签名使用存储的密钥进行验证。Cafe OS 内核的数据通过使用 DMA 将数据散列和解密,以区块的方式来回发送到 L1 缓存。现在未加密的 Cafe OS 内核在 RAM 中映射完毕并准备执行。 L1 和 L2 已被刷新;启动 ROM 已被禁用。 最后,跳转执行 Cafe OS 内核。Espresso,正在运行 Cafe OS 内核,检查用于指引它启动 系统菜单 应用程序的配置文件。系统菜单 是从 NAND 到 MEM2 并像其他加密的程序一样处理的。 如果一切正常, 系统菜单 将被启动。用户现在将可以控制主机了!Wii模式的流程
重启 Espresso.将 Espresso 降频并禁用两个额外的核心。上传用于 DMCU 视频编码器的固件。将 旧字体(Gamecube的字体) 上传到 MEM1 的区域 它们可以从 EXI 接口访问(为了创建 旧的 EXI 路由)。启用 AHCI 接口上的兼容模式(即连接到SATA 光盘驱动器的接口),以便可以使用旧的 光盘接口 (DI) 协议来命令它。将 OTP 内存中的密钥复制到其内置的 SRAM,因为 vWii 会认为内部的 SRAM 是 传统的 SEEPROM。禁用 Wii U-exclusive I/O,但 GamePad 除外 (除非它被用户或游戏停用)。启动 IOS。 IOS 槽 的选择取决于使用哪种 vWii 模式,如果在 HAI 模式中,则取决于游戏。为vWii设计的 IOS 软件包已经略有改动,增加了一些模块。 这包括 DI2SD 来模拟光盘驱动器和 OHCI1 将来自GamePad 的输入转换成蓝牙命令 (以此来使用 Wii 手柄)。上传 Wii 系统菜单 或 NAND 启动程序 (运行Wii 图标的二进制文件) 到 MEM2, 选择取决于使用的 vWii 模式。由于 Espresso 将从 启动ROM 起就启动,它只能使用 Wii U 的安全模型接收二进制。 因此,Wii 的相关程序都进行了修改以进行兼容。启动 Espresso,让它处理并运行指定的二进制文件。用户现在将又可以控制主机了!破解
破解的话 大家还是想要玩游戏或者是免签 而要做到这一切都来自于Cafe OS和IOSU(又一次题外话 如果重置了主机 原来外置硬盘的游戏因为主机重置了系统 新系统的密钥和硬盘对不上 导致硬盘的游戏完全作废 只能重新安装 存档也是一样的)
回到正题 Wii U的破解现在都主要来自浏览器 而最初的破解也来自浏览器
任天堂不吸取Wii的经验 没有封上硬件bug-在Wii模式下面能提取BootROM-分析 破解BootROM 拿到AES加密密钥-浏览器是开源的 而且已经发现有漏洞了-用浏览器尝试在Wii U的IOSU运行bug 结果成功了
到了现在 虽然任天堂封堵了上面的软件漏洞 但是新的方法是还是用了硬件漏洞(GPU访问共享显存部分 刚好那一部分能绕过大部分IOSU的限制)
固化
在破解之后 就要做固化
虽然破解完成了 但是断电/关机 破解的环境就消失了 这时候我们就需要固化来自动破解系统
破解要寄生在系统里面才能防止每次都要走一次破解的步骤 这时候IOSU启动的步骤帮了大忙(任何东西都跑在Cafe OS上 而IOSU启动之后会叫醒Cafe OS Cafe OS会叫”Wii U菜单“这个【频道】起来) 而谁又不知道怎么找到了Wii U官方模拟DS的模拟器读取ROM的时候也能执行任意代码 于是就有了前几年很热门的脑锻炼(大部分DS游戏都行 但唯独这个脑锻炼在eshop最便宜)固化破解
安装了脑锻炼之后 就是一个Wii U频道了 也就说明它能在Cafe OS启动完的时候代替预先设置的”Wii U菜单“ 从而完成破解的固化
然而免费和杞人忧天推动着固化的发展
如今的破解 只需要在sd卡放入神奇文件fw.img和别的东西 打开浏览器 就可以完成破解了
最后与评价
Wii U于2012年11月出货~2017年1月31日停产
对应的服务
2015年8月11日 关停Nintendo TVii
2017年11月8日 关停Miiverse
2024年4月9日把任天堂网络和老eshop完全关了
2024年7月3日 官方没配件了 Wii U完全停产
关于 任天堂网络 可以去B站搜搜下图的视频 挺有趣的
个人的观点
Wii U确实是一台不错的”扮猪吃老虎“游戏机 虽然很笨重 又没有什么第三方好游戏
但是它仍然是一台好游戏机(许多新概念 任天堂当时放不下的双屏 无线串流 2012年的NFC 视频通话) 还是一台真正的”任天堂“游戏机 not only Wii but also U
最后拿聪哥的一句话来结束这篇我写了快两个月的文章
“在我的名片上,我是任天堂的社长,在我的脑海里,我是一名游戏开发者,而在我内心深处,我是一名玩家。”
鸣谢和引用
谢谢Copetti的《Wii U 架构》 前人栽树 后人乘凉 没有这篇文章 我就写不了后面的部分了
感谢 Consolevariations和GaryOderNichts做的WiiUIdent 把主机不敏感的信息上传到数据库 能给人们看到Wii U实际存在的机型(Wii U版鲁大师)
也感谢 Rare Gaming Dump 组织和 Luckless Heaven 他们把有趣的东西保存下来
部分信息可能已经过时