보안위협 (악성코드)/누구냐 넌 ?

3개 Zaxxon (1984)(Sega) 정체는 ?

쿨캣7 2012. 12. 23. 23:05
728x90
반응형

 

요즘 고전게임하는데 한참 빠져있죠.

- 정확하게는 고전게임 정리.. 지금 1992년 게임 정리 중입니다.

 

오래된 게임부터 하나씩 하고 있죠.

오늘 플레이한 게임은 세가 엔터프라이즈 (Sega Enterprises Inc.)의 1984년 작 Zaxxon 입니다.

 

 

어느 정도 나이가 있는 컴퓨터 사용자라면 해봤을 가능성이 높은 게임이죠.

좌우 뿐 아니라 높낮이가 있는 당시에는 혁신적인(?) 슈팅 게임입니다.

 

파일을 정리하다보니 실행 파일이 총 3개 나오더군요.

(저도 다른 사람이 정리한걸 다시 정리하는거라...)

 

 

167ba69413c3312311d916b26b0c3f77 *zaxxon.com
bd4908612f628879b513ab2c291fa375 *zaxxon.nosound.1984.com
26facda431336af10fa4990d92ce038f *zaxxon.sound.1984.com

 

다양한 버전이 존재하는 게임도 있기 때문에 그런게 아닐까 생각했죠.

그런데, 조금 미스테리한 내용이 있습니다.

 

우선 Zaxxon.com (20,736 바이트)를 열어보면 COM 파일인걸 알 수 있습니다.

 

 

zaxxon.sound.1984.com과 비교해보면 처음 부분이 완전히 다릅니다.

 

 

하지만, 자세히 보면 Zaxxon.com의 0x100과 Zaxxon.sound.1984.com 첫부분이 거의 동일한걸 알 수 있습니다.

 

 

Zaxxon.com의 코드를 따라가면 세그먼트와 오프셋 변경하는 코드를 볼 수 있습니다.

쉽게 Zaxxon.com은 파일 오프셋 0x100 (메모리에서는 0x200)의 코드가 실행됩니다.

 

 

Zaxxon.sound.1984.com의 코드를 따라가봐도 비슷한 코드가 있지만...

JMP (0xE9)로 시작하는 코드를 MOV (0xB8)로 수정하네요.

 

 

 

 

결국 Zaxxon.com은 앞부분이 조금 수정되었고 두 파일은 같다고 보시면 됩니다.

 

Zaxxon.com 에 포함된 문자열을 보면 누군가 COM 파일을 조작해서

바이러스처럼 앞부분 (0x100 만큼) 코드를 넣고 복구해주는게 아닐까 생각합니다.

(게임 처음부터 이렇게 되어있는지는 모르겠네요.)

 

 

하지만, 의아한건 파일 끝부분입니다.

Zaxxon에는 볼 수 없지만 Zaxxon.sound.1984.com은 'Booty 1997!'라는 문자열을 볼 수 있습니다.

 

이건 무슨 의미일까요 ?

 

 

바이러스에 한번 감염되었나도 생각해봤는데 해당 문자열을 가진 바이러스는 아직 찾지 못했습니다.

 

아직 모르겠네요 TT

 

고전 게임 정리하다 보니 크랙커(Cracker)들이 수정한 파일도 보이고 게임 이외 다른 것도 보니 재미있네요.

 

다른 게임도 한번 ~

 

 

728x90
반응형