恶意javascript分析手段

典型的exploitkit流程：

1. 入口点：网站被挂马，被插入恶意js代码
2. 分发：重定向到外部网站，可能是个虚假的登陆页面
3. 利用：获取客户端的指纹，版本，插件等，探测可利用的漏洞，利用已武器化的工具攻击
4. 感染：木马在客户机上下载更多的病毒，建立持久化访问，RAT 勒索软件等
5. 执行：病毒执行

如何分析js代码：

1. 使用debug设置断点，截获对象
2. 模拟真实环境 浏览器环境
3. 通常恶意js代码有很多垃圾变量名函数名，观察代码 搜索并替代这些命名
4. 使用代码美化器 cyberchef等
5. 下断点 step in 跟随代码执行
6. 找到反混淆的切入点
7. 解释程序

需要下断点关注的几个函数：

1. eval()
2. document.write()
3. document.writeln()
4. document.appendChild()

需要关注的事件对象：

1. onload()
2. onUnload()
3. onSubmit()
4. etc

用于混淆的函数：

1. fromCode(),chr(),ord()
2. base64
3. string split
4. unescape
5. etc

下一篇会更新一个实例分析