특정 메소드를 이용한 JavaScript 디코딩 (2)

앞서 본 Replace와 같이 JavaScript 메소드를 이용하여 풀어야 하는 파일이 있다.
이번에 중점으로 봐야할 메소드는 “.substr( )” 메소드이다.

 

Substr 메소드는 지정한 위치부터 지정한 길이 만큼의 문자열을 리턴하는 메소드이다.

그럼 악성파일을 살펴보자.
String("http:P5v".substr(0,5)+"//panHSOY".substr(0,5)+"3aPiplusP3a".substr(3,5)+".com.V4Hq".substr(0,5)+
"mx/1.0Xq".substr(0,5)+"HFkhtmlFHk".substr(3,4))

하나씩 따져보면 다음과 같이 나온다.
"http:P5v".substr(0,5) -> 0부터 5개의 문자열 반환 -> http:
"//panHSOY".substr(0,5) -> 0부터 5개의 문자열 반환 -> //pan
"3aPiplusP3a".substr(3,5) -> 3부터 5개의 문자열 반환 -> iplus
".com.V4Hq".substr(0,5) -> 0부터 5개의 문자열 반환 -> .com.
"mx/1.0Xq".substr(0,5) -> 0부터 5개의 문자열 반환 -> mx/1.
"HFkhtmlFHk".substr(3,4) -> 3부터 4개의 문자열 반환 -> html

결론적으로 "http://paniplus.com.mx/1.html" 의 문자열이 조합이 된다.

이 샘플도 Replace와 마찬가지로 자바스크립트의 기본 메소드로써 알아두면 편리하다^^