Shockwave Flash Player 파일의 Magic Signature은 SWFFWS이다. 하지만 이는 SWF 파일은 코드를 쉽게 볼 수 있기 때문에 SWF 파일의 컨텐츠 보호가 필요하게 되었다. 그래서 압축기술, 난독화 기술, 암호기술 등 생겼고, CWS라는 Magic Signature는 SWF 파일의 압축에 의해 생겨난 Signature이다.
SWF의 Action Script 기능을 이용하여 악성코드 유포지로 활용하기도 하며, 때로는 악성 소프트웨어 위치를 SWF에 저장하기도 한다. 또한 Adobe Flash Player의 취약성을 SWF 파일에 담아 악성 소프트웨어 유포를 위한 취약점을 유발시키는 코드가 포함되기도 한다.
다음 도구는 CWS Magic Signature를 decompressor 및 decompiler 해주어 여러가지 기능적으로 분석하는 도구이다. 최신버전은 7.4이지만 기능이 많아져서 분석하기에 귀찮을 수가 있다. 3버전대를 구해서 사용하는 것이 더 편할 수 있다.
이름 : Sothink SWF Decompiler
플랫폼 : Windows
제작사 : http://www.sothink.com/
반응형
'Information Security > Malware' 카테고리의 다른 글
| 공다팩(Gondad EK) 분석 #01 (0) | 2014.06.27 |
|---|---|
| jjencode 분석 (10) | 2014.03.14 |
| 알고리즘을 이용한 16진수 변형 + 메소드 치환 난독화 / DOM을 이용한 Script 실행 (0) | 2014.01.02 |
| Base64를 이용한 JavaScript 난독화 (0) | 2013.09.24 |
| Network Tool - Fiddler Web Debugger (2) | 2013.09.17 |
