PDF를 이용한 Script 디코딩 (2)

샘플 16.pdf는 PDF안에 stream을 넣어서 동작시키는 방식이다. 

  
inflater.exe를 다운로드 하자. inflater.exe는 PDF 스트림을 빼내어 폴더에 저장하는 역할을 한다.

사용 방법은 “inflater.exe 원본파일 스트림을 추출할 폴더이름” 으로 실행하면 되며, 추출이 성공적으로 되면 다음 그림과 같이 Done가 표시된다.

Un_16.pdf 폴더에 가면 1.tmp파일이 생성되었으며, Ultra로 확인결과 일반적인 Script임을 알 수 있다.

여태까지 모두 실습을 해왔다면, 큰 무리 없이 디코딩을 할 수 있을 것이다.
AsciiCode를 1차 디코딩으로 하고, 2차 디코딩으로 ShellCode를 풀면 url을 얻을 수 있다.

 

뭐 아직까진 거의 툴에 의존하여 디코딩을 하기 떄문에 어렵지 않죠?

따라와~~!!!