2020. 1. 7. 11:15 [스크립트]
CScript를 사용한 vbs, js 난독화 해제
보통 악성스크립트는 난독화가 돼있는 상태로 인터넷을 돌아다닌다.
위 사진은 악성 파일의 일부로 vD 함수에 의해 디코딩된다.
이러한 난독화는 일반적으로 윈도우에서 제공하는 WScript.echo를 사용하여 변수를 출력하는 방식으로 난독화를 해제한다.
하지만 윈도우에서는 기본적으로 GUI를 사용하는 wscript가 default값이기 때문에 그림2와 같이 msgbox 형식으로 출력이 되기 때문에 복사하기에 어려움이 있다.
파일로 만들기 쉬운 방법 중 하나는 cscript를 사용하는 것이다.
cscript를 사용하면 그림3과 같이 파이프라인으로 쉽게 복호화를 할 수 있다.
그림4는 복호화된 js 파일이다. 위의 3라인만 지우면 깔끔하게 복호화가 된 것이다.(다만 eval 사용으로 몇번의 복호화를 거쳐야할 것 같다.)
마지막으로 cscript를 default로 세팅하는 명령어가 존재한다.
그림5 처럼 wscript.exe //H: CScript 또는 wscript.exe //H: WScript 명령어로 기본설정을 변경할 수 있다.
