난독화는 메모리에서 복호화가 되어 변수에 저장 및 실행된다.
이것(?)을 노려서 저장 및 실행되는 변수를 파일로 저장시키고자 잔머릴 굴려서 찾아본 내용이다.
단점은 난독화가 여러번 되어 있다면 좀 난감한 코드를 보게 된다...
음... 그냥 x64dbg에 올려서 분석을 추천한다
- VBS
1. 파일 및 폴더 생성 -> 내용보기
Dim objFS, objFile, path
set objFS = CreateObject("Scripting.FileSystemObject")
Set WshNetwork = WScript.CreateObject("WScript.Network")
path = "C:\Users\"& WshNetwork.UserName &"\Desktop\vbscript"
objFS.CreateFolder(path)
Set objFile = objFS.CreateTextFile(path & "\demo.txt")
objFile.WriteLine(출력할 변수) -> 변수만 가능하다.
번외 [ 800A003A 오류 해결 ?]
같은 이름이 존재하면 다른 이름으로 저장시키도록 if문 사용 ?
폴더가 생성된 놈을 바꿔준다.
2. 메세지로 출력시키기
EXECUTE -> msgbox
출처 : VBScript 13 - FileSystemObject(파일 시스템 오브젝트)|작성자 하프|
- JS
var objFSO, objTextFile;
var sRead, sReadLine, sReadAll;
var ForReading = 1, ForWriting = 2, ForAppending = 8;
objFSO = new ActiveXObject("Scripting.FileSystemObject");
objTextFile =objFSO.CreateTextFile("C:\Users\JYP\Desktop\HowToDemoFile.txt", true);
objTextFile.WriteLine("This line is written using WriteLine().");
출처 : https://panic910.tistory.com/archive/20100813 [일쌍다반사]
- PowerShell
Start-Transcript <경로명>
실행 코드
Stop-Transcript