디코딩을 하다보면 이건 분명히 기본적인 Java Script는 맞는데, 가지고 있는 툴로는 도저히 풀리지 않는 것들이 있다. 특히 최근 등장하는 파일에서 JavaScript 문법에서 사용하는 특정한 메소드를 이용하여 문서를 재구성하는 경우가 많이 있다. 이러한 경우에는 당황하지말고~ 찬찬히 풀어보면 답이 보인다. 위의 그림을 보면 분명 “p='hNtTt?p?:F/?/?pTi@a?zNz@aNcFrFe?a?tNiNv?eF.?c?o@mF/?zF.NhNt?mTlF'” 이 부분이 http://를 표현한 듯은 한데, 정확히 알 수 없다. 하지만 뒤에 .replace라는 메소드가 보일 것이다. Replace 메소드는 검색 한 문자열을 다른 문자열로 치환하는 메소드이다. 그럼 실제 악성코드를 살펴보자. 'hNtTt?p..