이상하게 보이는 악성 페이지
페이지를 이러 저러한 방식으로 꼬아놓고, 암호화 해놓는것도 모잘라서 이젠 별 이상한걸 다 만든다... 처음에 이 모습을 봤을때의 그 황당함이란.... 이걸 어떻게 분석해~~~ 를 떠나.. 과연 이런게 돌아가? 라는 생각이 들게 하는 이 모습... -_-;; (실제로 FireFox 에서는 동작 되지 않는다..)
그런데 이건 생각보다 어렵지 않게 풀수가 있다...
Jerry 님이 나같은 귀차니스트를 위해 쉽게 풀수 있는 프로그램도 공개 하였지만...
이런 간단한 것들은 직접 풀어 보자.. :)
우리가 자주 보고 사는 ASCII 는 통일성 있는 정보 교환을 위해 만들어진 코드 테이블로서, 7비트로 정보를 나타내고 있다...
네이버 백과사전의 설명을 빌리자면...
1963년 미국표준협회(ASA)에 의해 결정되어 미국의 표준부호가 되었다. 미니컴퓨터나 개인용 컴퓨터(PC)와 같은 소형 컴퓨터를 중심으로 보급되어 현재 국제적으로 널리 사용되고 있다.
아스키는 128개의 가능한 문자조합을 제공하는 7비트(bit) 부호로, 처음 32개의 부호는 인쇄와 전송 제어용으로 사용된다. 보통 기억장치는 8비트(1바이트, 256조합)이고, 아스키는 단지 128개의 문자만 사용하기 때문에 나머지 비트는 패러티 비트나 특정문자로 사용된다.
라고 한다... 어렵지 않으니 이해가 쉽게 될것이다. ^^
charset 을 US-ASCII 로 셋팅을 하게 되면, 7비트 표현 방식에 맞추어 마지막 비트는 과감히 무시하게 된다...
정말인지 확인해보기 위해 직접 프로그램을 짜보았다.. (이거 한줄이면 된다..)
변환해서 확인한 실제 내용
MS07-004 와 MS06-014 의 취약점을 공격 하는것으로 예상 되는 코드를 삽입 하고 있다.
별것도 아닌걸 가지고 Super IE 0Day 라고 구라 치고 있다. ^^
아무튼 마지막 비트를 과감히 무시하면 이렇게 원래의 코드를 볼수가 있게 된다.
더 인심을 써보자면...
변환 코드
반복문과 괄호를 제외 하면 단 한줄의 코드로 변환이 가능 하다는걸 볼수가 있다. ^^
원래 이런 방식의 변환은 더 이상 안 쓰일줄 알았는데, 우연히도 변환 코드를 만들은 다음날에 해당 샘플을 접수하게 되서, 잠잠한 블로그에라도 올려보게 되었다. ^^
원래는 짧막한 한줄의 소개와 함께 제작한 파일만 공개할려고 했는데...
별거 아닌 내용을 가지고 궁금해할 사람들을 위해 기법(?) 까지 설명 하였다. :)
블로그에 올리려고 부랴 부랴 몇줄의 설명을 추가한 제작자의 노고를 위해서라도...
한번쯤 사용해주셨으면 하는 바램이다.
사용법
8to7.exe [변환할 파일]
변환된 파일 저장을 위해서는
8to7.exe [변환할 파일] > [저장할 파일]
8to7.zip
다음 글은, 패치도 발표 되었으니 하루 동안 열심히 분석을 하였던 ANI 취약점에 관한 내용을 실어 보도록 하죠. 언제가 될지는... ^^
최근 덧글