보안초보 광게바라

[2] 자바스크립트 난독화 Tool

  ※ 소개되는 툴들은 난독화해제시 사용하는 것들로 기본적인 사용법을 익혀두면 좋다

1.1.   에디트플러스

 난독화 및 코딩을 도와주는 문서 편집기로 가장 많이 사용하는 프로그램이다 (29.700원)

    에디트플러스 사이트: http://www.editplus.com/kr/index.html

1.2.  TRANSLATOR, BINARY

 Text, binary, hex, base64, ascii code로 변환해 주는 사이트

   TRANSLATOR, BINARY: http://home.paulschou.net/tools/xlate/

1.3.  Malzila

 Malware hunting tool !! (오픈소스)

 난독화해제 및 악성코드 분석에 많이 사용되는 오픈소스 툴로 hex값 Xor 및 다양한

 용도로 이용된다

   Malzilla download: http://malzilla.sourceforge.net/

1.4.  HEX Editor

 무료 HEX 에디터 툴로 hex edit 및 hex 값을 파일로 생성시 사용

   다운로드 사이트: http://mh-nexus.de/en/hxd/

1.5.  PDF Stream Dumper

 PDF 분석 사용하는 툴로 PDF에 포함된 스크립트 및 난독화 분석 시 이용

   다운로드 사이트: http://sandsprite.com/blogs/index.php?uid=7&pid=57

1.6.  Paros(parosproxy)

 Paros는 Web proxy툴로 Web의 취약점 분석과 웹해킹 도구로 사용

 나는 악성코드 유포지로 유도하는 위/변조 사이트를 찾기 위해 주로 사용 한다

☞ Paros는 JDK가 설치되어야 실행가능하며 사용하기 전 웹설정(proxy)이 필요하다

   다운로드 사이트: http://www.parosproxy.org/

1.7.  Java Decompiler

 .jar 파일을 java코드로 디컴파일하여 보여주는 툴

   다운로드 사이트: http://java.decompiler.free.fr/

1.8.  Sothink SWF Decompiler

 .swf(flash file)을 분리하여 볼 수 있는 프로그램

  ☞ Sothink SWF Decompiler가 없다면 다른 swf 분석 프로그램을 사용하여도 된다

   다운로드 사이트: …

※ 개인적으로 사용하는 툴을 소개한 것이며, 각자의 취향에 따라 다른 툴을 사용해도 된다

나는 자바스크립트를 공부해 본적이 없다.

하지만 자바스크립트로 난독화 된 악성코드를 분석하는 것에 흥미가 많고 재미있다.

난독화 공부를 하고 싶지만 관련된 자료가 많지 않아 공부하기 힘든 나같은 사람들을 위해

내가 아는 지식들을 정리해 보기로 했다!!

얼마나 할지는 모르겠지만 ㅎㅎ

[1] 자바스크립트 난독화 기초

1.      난독화란?

프로그래밍 언어로 작성된 코드를 읽기 어렵게 만드는 작업

2.      난독화의 기본 예

예제)

3.      난독화 해제(복호화)의 원리

1)    난독화 되어 있는 스크립트는 실행되기 위해 복호화되어 특정 변수에 저장된다

☞ 복호화된 데이터가 저장된 변수를 ‘key변수’라고 부르겠다

2)    복호화된 데이터를 실행하기 위해서 실행함수가 사용된다

3)    실행함수를 문자로 나타내는 함수로 변환하여 복호화된 스크립트를 확인할 수 있다

4.      난독화 해제에 사용되는 함수

1)    alert(key변수);

2)    document.write(key변수);

3)    document.write(“<xmp>”+key변수+”</xmp>”);

4)    document.write(“<textarea>”+key변수+”</textarea>”);