Aka's Atelier

-----------------------------------------------------------------------------------------------------------------

*본문에 들어가기 전 주의사항*

1. 해당 게시물은 PS Vita 3.52에서 사용이 가능한 방법입니다.

2. 해당 방법을 이용하여 발생한 불이익은 사용자 자신의 책임이며 Aka's Atelier에는 책임이 없음을 알립니다.

3. 본 블로그에서는 해당 게시물에 한정하여 자료의 일부를 공유하며 자료의 이용으로 인한 피해는 사용자 자신의 책임임을 알립니다.

4. 위 사항에 동의하시는분만 게시글을 열람하여 주시기 바랍니다.

-----------------------------------------------------------------------------------------------------------------

얼마 전 PS Vita 3.52 VHBL의 Distrip버전이 공개되었습니다.

트윗명 @qwikrazor87이라는 유저를 통해 배포된 해당 파일은 3.51의 토귀전:극(Tokiden : Kiwami)이후 시행착오를 거치며 나왔습니다.

이전에 디버그용으로 몇몇 파일이 @qwikrazor87을 통해 배포되긴했으나 어디까지나 디버그용으로써 제대로 된 기능을 하지 못했습니다.

이번 3.52 VHBL에서는 트윗명 @_GUIDOBOT의 138 Menu를 채용되었습니다.

트위터에 포함된 링크로 VHBL을 설치할 수 있으나 해당 파일로는 계속 C1-2858-3에러를 출력하게 됩니다.

C1-2858-3에러를 출력하는 문제 때문에 @qwikrazor87에게 직접 문의하며 같이 방법을 찾아본 결과 Mini계열 게임에서는 1MB이상의 파일을 인식하지 못함을 확인하여 138 Menu를 정상적으로 실행할 수 없었음을 확인했습니다.

그에 138 Menu의 소스를 통하여 간결화 및 용량문제를 해결한 파일을 새로 컴파일링했으며 실행결과 정상적으로 출력됨을 확인했습니다.

다만 1MB가 넘어가는 홈브류의 경우 설치 및 실행을 시도하면 C1-2858-3 에러를 출력하게 됩니다.

현재 @qwikrazor87는 [조만간 Python을 이용하여 용량제한을 해제할 수 있을 것 같다.]라고 답변을 받았습니다.

트윗명 @ManuPAtogamer가 8월 13일 오전 5시 30분경 VHBL에서 nes홈브류를 구동이 가능하다고 전달했습니다.

-----------------------------------------------------------------------------------------------------------------

준비물 : Firmware 3.52 PS Vita, 3.52 VHBL distrip(링크) *1, qCMA, Puzzle Scape Mini(EU) *2, 3.52 VHBL 138 Menu(링크) *3

*1 3.52 VHBL distrip을 다운받고 반드시 3.52 VHBL 138 Menu를 다운받도록 하자. (3.52 VHBL 138 Menu가 없으면 C1-2858-3 에러 출력.)

*2 이번 Exploit으로 발표된 Puzzle Scape Mini는 PSN EU를 통해서 다운받도록 하자. (국내 및 다른 나라의 PSN에도 있는 것을 확인했지만 @qwikrazor87의 말에 따르면 EU버전의 Puzzle Scape에서 실험을 하였다고 한다. 현재 국내 Puzzle Scape Mini에서도 가능한지 확인 중.)(익명 제보로 국내 PSN에 등록된 Puzzle Scape Mini에서도 구동 가능함을 확인.)

*3 이 파일이 없으면 Exploit을 통하여 암만 VHBL를 실행해도 C1-2858-3 에러만 출력하면서 LiveArea로 나가진다. 필히 다운받도록 하자.

다운받은 3.52 VHBL distrip를 압축풀면 NPEZ----------0폴더가 나온다.

해당 폴더에 들어가서 WMENU.BIN파일을 따로 백업해둔뒤 3.52 VHBL 138 Menu내부의 DATA.138파일과 EBOOT.PBP파일을 NPEZ----------0 폴더에 넣어준다.

NPEZ----------0 폴더에 넣은 EBOOT.PBP파일의 이름을 WMENU.BIN으로 바꾼뒤 NPEZ----------0 폴더를 qCMA를 통하여 PS Vita에 전송해준다.

NPEZ----------0 폴더를 qCMA로 전송했다면 PS Vita에서 Puzzle Scape Mini를 실행한뒤 Gallery에서 녹색과 노란색의 배경으로 된 세이브를 로드한다.

세이브파일을 로드하면 VHBL이 실행되면서 138 Menu로 들어가지면 성공.

-----------------------------------------------------------------------------------------------------------------

*Issue*

Q1) 계속 C1-2858-3에러가 떠요.

A1) 3.52 VHBL 138 Menu 작업을 안했을경우 1MB초과로 인해 뜨는 에러입니다. 위 글의 방법대로 다시 해주시면 됩니다. 

Q2) 국내 스토어의 Puzzle Scape Mini로는 안되는건가요?

A2) 현재 테스트 중에 있습니다.

-----------------------------------------------------------------------------------------------------------------

*Ps*

익명 제보

1. 국내 스토어에 등록된 Puzzle Scape Mini에서도 구동가능.

-----------------------------------------------------------------------------------------------------------------

*주의사항*

1. 해당 게시물은 PS Vita 3.52에서 사용이 가능한 방법입니다.

2. 해당 방법을 이용하여 발생한 불이익은 사용자 자신의 책임이며 Aka's Atelier에는 책임이 없음을 알립니다.

3. 본 블로그에서는 해당 게시물에 한정하여 자료의 일부를 공유하며 자료의 이용으로 인한 피해는 사용자 자신의 책임임을 알립니다.

4. 위 사항에 동의하시는분만 게시글을 열람하여 주시기 바랍니다.

-----------------------------------------------------------------------------------------------------------------

*CCL*

저작자와 출처 등을 표시하면 자유이용을 허락합니다.

단, 영리적 이용과 2차적 저작물의 작성은 동일설정내에서 허용됩니다.

Copyrightⓒ Aka's Atelier All Rights Reserved.

-----------------------------------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------------------------------

*본문에 들어가기 전 주의사항*

1. 해당 게시물은 PS Vita 3.51이하에서 사용이 가능한 방법입니다.

2. 해당 방법을 이용하여 발생한 불이익은 사용자 자신의 책임이며 Aka's Atelier에는 책임이 없음을 알립니다.

3. 본 블로그에서는 해당 게시물에 한정하여 자료의 일부를 공유하며 자료의 이용으로 인한 피해는 사용자 자신의 책임임을 알립니다.

4. 위 사항에 동의하시는분만 게시글을 열람하여 주시기 바랍니다.

-----------------------------------------------------------------------------------------------------------------

이전에 J2EE 개발자인 frangar가 개발한 HandyVITA에 관해 포스팅을 했었는데요.

그로 얼마 지나지않아서 새롭게 2개의 홈브류가 개발되었습니다.

본 포스팅에서는 그 중 1개인 NES4Vita에 관해 소개를 해드릴려고 합니다.

NES4Vita는 2014년부터 PSVita exploit에 힘쓰고 있는 SMOKE(@SMOKE587)에 의해 개발된 홈브류입니다.

https://github.com/SMOKE5/NES4Vita

NES4Vita는 HandyVITA와는 다르게 Libretro QuickNES core 기반으로 만들어진 NES 에뮬레이터라고 합니다.

NES4VITA를 구동할려면 다음과 같은 선행 조건이 필요합니다.

1. Vita에 Rejuvenate가 설치되어있을 것.

1-1 Vita에 PSM Dev가 설치되어있을 것.(PSM Dev for UNITY는 아직까지 지원되지 않음.)

2. FTPVita를 사용 할 수 있을 것.

2-1 arm gcc (devkitARM r44)가 PC에 설치되어있을 것.

2-2 psp2sdk가 PC에 설치되어있을 것.(psp2sdk는 리눅스기반이므로 그에 대항하는 툴 필요.)

Nes 롬의 경우 FTPVita를 이용하여 다음 경로에 넣어주도록 합니다.

Cache0:/VitaDefilerClient/Documents/

롬을 해당 경로에 넣었다면 NES4Vita.velf를 run_homebrew.bat를 이용하여 실행해주면 됩니다.

HandyVITA가 나온지 약 10일지 지난 지금 벌써 Rejuvenate에 대응하는 Vita 홈브류가 3개가 되었습니다.

아직 포스팅 되지 않은 나머지 1개의 홈브류에 관해서는 이 다음 포스팅에서 다루게 될겁니다.

이제 얼마 안있으면 조금 더 다양한 홈브류와 Vita에 다른 OS를 포팅하는 사례도 나올거 같습니다.

NES4VITA도 github를 통해 소스를 공개중이므로 사용자가 소스를 수정해서 사용이 용이합니다.

-----------------------------------------------------------------------------------------------------------------

*본문에 들어가기 전 주의사항*

1. 해당 게시물은 PS Vita 3.51이하에서 사용이 가능한 방법입니다.

2. 해당 방법을 이용하여 발생한 불이익은 사용자 자신의 책임이며 Aka's Atelier에는 책임이 없음을 알립니다.

3. 본 블로그에서는 해당 게시물에 한정하여 자료의 일부를 공유하며 자료의 이용으로 인한 피해는 사용자 자신의 책임임을 알립니다.

4. 위 사항에 동의하시는분만 게시글을 열람하여 주시기 바랍니다.

-----------------------------------------------------------------------------------------------------------------

*CCL*

저작자와 출처 등을 표시하면 자유이용을 허락합니다.

단, 영리적 이용과 2차적 저작물의 작성은 동일설정내에서 허용됩니다.

Copyrightⓒ Aka's Atelier All Rights Reserved.

-----------------------------------------------------------------------------------------------------------------

금일 국전에 볼일이 있어서 들렀다가 집에 와서 PC를 켜니까 뭔가 CPU랑 SDD가 요상하게 돌고 있더군요.

CPU와 메모리의 점유율이 90~95%를 계속 왔다 갔다 하는 상황이 발견되어 급히 실행중인 프로세스와 인접 프로세스들을 전부 점검해본결과 여러가지의 악성코드와 Malware들이 충돌을 일으키며 PC에 부하를 주고있는 부분을 확인했습니다.

알약을 돌려서 검사를 해봤으나 검사결과 바이러스가 검출되지 않았습니다.

혹시나 싶어서 알약을 제거한뒤 V3를 설치하여 검사를 진행했으나 역시나 검사결과 바이러스가 검출되지 않았습니다.

이전에도 이와 비슷한 경우를 발견한적이 있어서 바로 샘플을 뽑아 알툴즈와 AhnLab에 제보를 했었습니다.

이번에는 마지막으로 Avast를 이용하여 검사를 진행해봤습니다.

Avast로 검사를 해본 결과 2개의 결과물을 발견하게 되었습니다.

바로 해당 경로로 들어가 샘플을 확보하고 어딘가에 또 숨어있을 바이러스를 찾아 하드내부를 일일히 폴더 하나하나 다 뒤져보았습니다.

확인 결과 Avast로 발견된 2개를 제외하고 의심스러운 파일 5개를 발견했습니다.

이렇게 발견된 7개의 바이러스 및 악성코드들이 어떤 효과를 가지고 있는지, 격리된 가상머신에서 해당 7개의 파일들을 실행해봤습니다.

1. Google Chrome의 확장프로그램 취약점을 이용한 광고표출 애드온 1개

AllDeeaalAppP라는 이름을 가진 해당 악성코드는 사용자가 특정 사이트를 접속 시 보이지 않는 Chrome을 하나 열고 확장프로그램 관리자에 접속하여 해당 애드온 스크립트를 실행하여 사용자의 동의없이 실행하도록 만들어진 악성코드였습니다.

해당 악성코드가 Google Chrome에 설치되었을 경우 사용자는 사이트 이동을 할때마다 화면에 광고를 띄우고 광고가 나오는 부분의 프레임을 제외한 나머지 부분의 프레임을 건들지 못하게 비활성화 시켜버립니다.

이 경우 광고창에서 X표시를 누르면 사라지나 일정 확률로 다른 사이트로 강제 이동되버립니다.

해결방법 : Google Chrome을 실행한뒤 주소창에 chrome://extensions/ 를 입력한뒤 AllDeeaalAppP를 찾아 지워주면 됩니다.

지운 후에는 윈도우의 검색을 이용하여 AllDeeaalAppP를 검색하여 나온 잔재들을 삭제해주시면 됩니다.

*일부 PC에서는 삭제할려고 하면 Google Chrome이 강제 종료되거나 삭제가 되지 않는 경우가 있습니다.*

*이 경우에는 chrome://extensions/ 의 우측 상단에 [개발자 모드]라는 체크 박스가 있습니다.*

*해당 체크 박스를 체크한뒤에 삭제를 시도하시면 정상적으로 삭제됩니다.*

2. Google Chrome 및 Internet Explorer, Mozilla FireFox의 js취약점을 이용하여 사용자의 동의없이 애드온 설치 2개

1개는 최근 해외 포럼에서 발견된 js스크립트로서 이름은 CutThePRicE라고 합니다.

해당 악성코드도 AllDeeaalAppP와 마찬가지로 설치가 되면 광고가 노출됩니다.

광고 노출과 더불어 고의적으로 사이트를 불러오는 속도를 느리게 만들며 광고창을 강제로 오버랩시켜 버립니다.

더불어 CutThePRicE는 설치되는 경로가 계속 바뀌는 것을 확인하게 되었습니다.

그렇기에 매번 설치위치를 확인해줘야 합니다만….약 10회가량 설치하고 지우고를 반복하다보니 설치할때마다 위치가 바뀌지만 중복되는 위치에 설치됨을 확인했습니다.

나머지 1개의 악성코드는 TotalRecipeSearch라는 이름을 가진 광고 형태의 스크립트입니다.

CutThePRicE에서 [고의적으로 사이트를 불러오는 속도를 느리게 만든다.]부분을 뺀 단순 광고형 스크립트입니다.

해결방법 : Google Chrome 및 Internet Explorer, Mozilla FireFox를 프로세스단위까지 종료를 한뒤 아래의 폴더를 확인 후 삭제한다.

1. C:\ProgramData\

2. C:\Program Files\ -- 64비트 유저는 C:\Program Files (x86)\ 도 같이 확인바랍니다.

3. C:\Users\사용자명\AppData\ 내부의 Local, LocalLow, Roaming 폴더들을 확인바랍니다.

4. 사용중인 브라우저의 설치폴더 내부

*CutThePRicE 추가 설명*

위의 경로들 중 한군데에 영어나 영어+숫자로 무작위 입력된 폴더가 하나 있습니다.

그 폴더를 열어보면 background.html파일과 content.js, lsdb.js, manifest.json파일과 더불어 영어+숫자를 무작위로 대입한 js파일이 하나 더 있습니다.

발견되었다면 해당 폴더째로 삭제해주시면 됩니다.

3. 효과를 모르지만 다른 바이러스와 충돌하여 PC 과부하를 일으키는 악성 프로그램 3개

정확한 명칭을 모르지만 프로그램에 명시된 이름은 다음과 같습니다.

Frothy Kill.exe

Sad Shoal.exe

3130153822461107897b.exe

정확한 효과를 모르겠지만 3가지 다 어셈블리를 통해 만들어졌으며 3개중 2개만 실행되고 있어도 메모리에 과부하가 걸려 PC의 속도가 느려짐을 느낄 수 있었습니다.

3가지 전부 실행 할 경우 심할경우에는 블루스크린이 뜨며 블루스크린이 뜨지 않을경우에는 PC가 저사양인데 억지로 고사양 게임을 실행한듯한 현상을 일으킵니다.

위의 3가지는 전부 설치되는 위치가 제각각이기에 작업관리자에서 명령줄 참고를 활성화 시켜서 일일히 추적하는 수밖에 없습니다.

4. 어디서 숨어들어온지 모를 코드 1개

ini파일을 이용하여 정체모를 코드를 적어놓은 파일 4개가 따로 따로 흩어져 있었습니다.

첫번째 파일을 발견한곳은 %systemroot% 입니다.

숫자로 된 폴더가 있길래 의심스러워서 내부를 보니 영어+숫자 조합의 ini파일이 하나 있었습니다.

메모장으로 열람을 해보니 이상한 코드들이 적혀 있었으며 유심히 보던중 반복되는 구절이 있음을 확인하였고 확인결과 해당 반복구절이 폴더명과 동일함을 확인했으며 혹시나 싶어 폴더명과 ini파일명을 ini파일의 정체불명의 코드에 검색을 해보니 둘다 코드 내부에 반복되고 있음을 확인.

폴더명과 ini파일명 사이에 존재하는 코드를 윈도우 검색을 이용하여 검색해보니 %systemroot%\Resources\영어+숫자조합의 폴더에 똑같이 ini파일로 존재함을 확인했습니다.

처음과 마찬가지로 계속 코드에 대입하여 찾아봤으나 처음에 말한 4개를 제외하고 나오질 않았습니다.

우선 해당 7개의 프로그램 및 악성코드들은 전부 감지를 하지 못한 백신의 고객센터를 통해 샘플과 같이 제보된 상태입니다.