SWF를 이용한 Script 디코딩

 

Swf는 Shockwave Flash Object로써 Flash파일이다. 이를 이용하여 악성코드를 다운로드 할 수 있다.
Swf 또한 일반 PE의 실행압축처럼 압축이 가능하다. 

샘플 12.swf파일을 보면 아래의 그림이 바로 압축이 되어 있는 CWS상태이다.

 

우선 CWS로 압축 된 상태를 swfc11.exe(swfdecomp.exe)로 디코딩을 하면 다음과 같이 FWS로 같이 
압축이 해제된다. 

 

그 이후 하단 부분을 보면 원하는 url을 얻을 수 있다. 

(참고사항) 
swfdecomp.exe의 사용방법은 swf파일을 swfdecomp.exe 파일 위로 Drag 하면 된다.

 

 

이번 강좌는 스크립트보다는 SWF파일에 있는 URL을 찾아내는 방법이라고 해야할까??;;

암튼 따라해보시면 쉽다!!