아아 닷지크롬이 막혔습니다.

인터넷에서 소식을 들으니까 닷지크롬이 막혔다고 하네요.

하지만 저희는 it인 이기때문에 그정도로는 저희를 막을수 없습니다.

바로 크롬사용자에게는 veilduck이란 프로그램이 있기 때문입니다.

이렇게 귀여운 아이콘을 하고있는 veilduck이란 프로그램은 어떻게 해서 warning.or.kr을 뚫을수 있는지를 지금부터 분석해보겠습니다.

예전에 awardhotspot바이러스를 분석했을때 사용했던 방법을 이용하겠습니다.

C:\Users\사용자이름\AppData\Local\Google\Chrome\User Data\Default\Extensions\

이 폴더중 하나가 바로 veilduck이 있게됩니다.(veilduck을 깔았다면 말이죠)

그래서 찾아서 들어가게 되면 _metadata,assets라는 폴더 두개와 background.js,manifest.json파일이 있습니다.

먼저 manifest.json은 프로그램의 전반적인 설명같은게 써있습니다.

hex editor를 이용해서 뜯어보겠습니다.

{..   "background": 

{..      "scripts": [ "background.js" ]..   },..   

"browser_action": {..

     "default_icon": "assets/icons/icon_off.png",..

     "default_popup": "",..      

     "default_title": "VeilDuck",..      

     "name": "Click to enable VeilDuck"..   

},..   

"description": "Provides secure web surfing.",..   

"icons": {..      "128": "assets/icons/icon_on.png"..   },..  

"key": ~~~~~~~

"manifest_version": 2,..  

"minimum_chrome_version": "28.0",..  

"name": "VeilDuck",.. 

 "permissions": [ "tabs", "webRequest", "webRequestBlocking", "proxy", "*://*/*", "unlimitedStorage", "background", "management", "notifications" ],.. 

 "update_url": "https://clients2.google.com/service/update2/crx",.. 

 "version": "1.0.1"..

}..

이렇게 나오게 되는데요, 별거 아니지만 해석하면 background.js파일을 소스로 하고, tab,webRequest등등을 permissions로 가지는 프로그램이라는 설명이 됩니다.

여기서 중요한게 permissions에서 proxy가 있는걸로 봐서 proxy서버를 이용한 프로그램이란걸 알수 있겠죠.

좀더 확실히 보기위해 background.js파일로 들어가보겠습니다.

     function o() {

        chrome.proxy.settings.set({

            value: g,

            scope: "regular"

        }, function () { }), m = l, n()

    }

-----------------------------------------------------

    function i() {

        chrome.proxy.settings.set({

            value: x,

            scope: "regular"

        }, function () { }), m = r, n()

    }

------------------------------------------------------

   data: 'function FindProxyForURL(url, host)

맨처음에는 소스들이 다닥다닥 붙어서 일자로 되있지만 javascript소스를 정리하는 프로그램을 이용해 펼쳐본 모습중 일부를 가져왔습니다.

이렇게 보시면 proxy를 사용한다는 부분이 좀더 확실하게 표시되어 있습니다

proxy를 이용해 ip를 바꾸기 때문에 이 veilduck프로그램을 사용하면 dodgechrome처럼 막히는 일은 없을것 같네요.

제 사용느낌으로는 확실히 vpn을 사용하는 zenmate보다는 proxy를 사용하기때문에 더 빠르긴 하지만

proxy기술의 특징때문에 익명성을 좀더 강력하게 원하신다면 veilduck보다는 dodgechrome을 사용하시는게 좋을것같습니다.

저는 느려도 proxy보다는 vpn이 좋은것 같네요.