코드 후킹을 통한 자바 스크립트 deobf

jscript.dll과 mshtml의 특정 함수들을 후킹해서 자바스크립트를 deobf한다.
 
방법도 좋고 다 좋은데, 문제는 실제 IE를 돌려야 한다는 점, 두번째로 export되지 않은 함수를 후킹해야 한다는 점이다. 그래서 VMware에서 돌려야만 하고, 또한 XDE라는 디스어셈블러를 사용해서 코드 패턴 매칭을 통해서 해당 바이트를 찾아 패치해야 한다.
 
이 자료를 발표한 Stephen은 사실 eEye에 있다가 WebSense로 가서 리서치 팀을 만든 장본인이다. 바로 내 앞자리에 앉았었는데 한국인 친구도 많고 한국에 대해서 관심도 많다. 작년 보안업계의 중요 인물 10명 중의 한명으로도 뽑혔는데. 리서치보다는 인맥 형성을 잘하는 타입이라고 볼 수 있다.
 
어쨌든 리서치도 조금씩 하고 있는 듯 하다.

Leave a Reply