恶意javascript分析手段

最新推荐文章于 2021-03-26 13:18:06 发布
最新推荐文章于 2021-03-26 13:18:06 发布
阅读量259 收藏
点赞数
文章标签: javascript ViewUI
原文链接:http://www.cnblogs.com/m1cha31/p/10568442.html
版权

典型的exploitkit流程:

  1. 入口点:网站被挂马,被插入恶意js代码
  2. 分发:重定向到外部网站,可能是个虚假的登陆页面
  3. 利用:获取客户端的指纹,版本,插件等,探测可利用的漏洞,利用已武器化的工具攻击
  4. 感染:木马在客户机上下载更多的病毒,建立持久化访问,RAT 勒索软件等
  5. 执行:病毒执行

如何分析js代码:

  1. 使用debug设置断点,截获对象
  2. 模拟真实环境 浏览器环境
  3. 通常恶意js代码有很多垃圾变量名函数名,观察代码 搜索并替代这些命名
  4. 使用代码美化器 cyberchef等
  5. 下断点 step in 跟随代码执行
  6. 找到反混淆的切入点
  7. 解释程序

需要下断点关注的几个函数:

  1. eval()
  2. document.write()
  3. document.writeln()
  4. document.appendChild()

需要关注的事件对象:

  1. onload()
  2. onUnload()
  3. onSubmit()
  4. etc

用于混淆的函数:

  1. fromCode(),chr(),ord()
  2. base64
  3. string split
  4. unescape
  5. etc

下一篇会更新一个实例分析

 

转载于:https://www.cnblogs.com/m1cha31/p/10568442.html

weixin_30312557
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
25个恶意JavaScript 库通过NPM官方包仓库分发
smellycat000的专栏
02-23 541
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
遭了!JavaScript 代码被投毒了
最新发布
IT界那些事儿
06-18 106
不知大家是否还记得两年前 Github 出现的一个名为 Evil.js 的项目,其号称专治 996 公司,实际就是给前端项目“。原型污染是一种很少被关注但潜在风险严重的安全漏洞,它影响基于原型的编程语言,例如 JavaScript。这种漏洞。
病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御
热门推荐
Gleam的专栏
03-26 1万+
前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术。之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经被自动分析系统拦截下来了)。而且这类的样本甚至还有愈演愈烈之势,很可能会长盛不衰。JS脚本木马之所以会如此泛滥,与它的编写简单、易于免杀以及难以封堵等特点息息相关。而我们本次的课程也会
恶意JavaScript代码检测文献阅读(一)
VM_Alike的博客
04-09 1313
《A machine learning approach to detection of JavaScript-based attacks using AST features and paragraph vectors》 《一种基于javascript的攻击,使用AST特征和段落向量的机器学习检测方法》 作者:Samuel Ndichu ,Sangwook Kim ,Seiichi Ozaw...
javascript 恶意代码检测
05-06
一篇关于网页中恶意JavaScript代码的检测,供恶意网页检测 恶意代码检测的研究,论文名是“Detecting Malicious JavaScript Code in Mozilla”
混淆恶意JavaScript代码的多特征检测识别与分析.pdf
01-03
"混淆恶意JavaScript代码的多特征检测识别与分析" 本文主要研究了混淆恶意JavaScript代码的检测识别与分析,提出了一种基于多特征的检测方法。通过对大量JavaScript恶意代码的研究,对混淆恶意JavaScript代码进行...
JavaScript表达式:URL 协议介绍
12-11
1. **安全性**:由于这种机制允许执行任意JavaScript恶意用户可能创建钓鱼链接,通过`javascript:`协议执行有害代码。因此,对于未知来源的URL,尤其是包含`javascript:`的部分,应保持警惕。 2. **跨域限制**:...
JavaScript_一个针对ChromeOS的攻击列表.zip
05-20
标题"JavaScript_一个针对ChromeOS的攻击列表.zip"暗示了这个压缩包可能包含了一些关于利用JavaScript进行针对Chrome OS操作系统的攻击手段的文档或代码示例。Chrome OS是由Google开发的基于Linux的操作系统,主要...
js经验分享 JavaScript反调试技巧
10-18
JavaScript反调试技术是开发者用来防止他人通过调试工具分析其代码的一种策略,尤其在网络犯罪中,这些技巧被用于隐藏恶意软件的行为。以下是一些关键的JavaScript反调试方法: 1. **检测未知的执行环境**:代码...
boxjs一个用于分析JavaScript恶意程序的工具
08-10
box-js:一个用于分析JavaScript 恶意程序的工具。
box-js:研究JavaScript恶意软件的工具
02-04
box.js 用于分析恶意JavaScript的实用程序。 安装 只需从npm安装box-js: npm install box-js --global box-js也可用: 作为Cuckoo模块(请参阅integrations目录和 ); 作为Dockerfile(请参阅integrations/README.md ); 作为安全专业人员发行版的软件包( , ); 作为开源应用程序的一部分( ); 作为商业第三方服务( )的一部分。 用法 假设您有一个名为sample.js的示例:要对其进行分析,只需运行 box-js sample.js 您可能还会想要下载任何有效负载
恶意的JS
weixin_34387468的博客
01-22 160
昨天我在测试一个.Net系统的时候,发现该系统的一个页面,突然多出了几个繁体的汉字,该系统是英文的,所以感觉很奇怪,所有就view source,发现第一行居然是一段奇怪的JS:<script src=http://al.99.vc/1.js></script>。一看就知道,自己的电脑被挂马了。 Google/Baidu搜索这个JS。基本上都是说AR...
JavaScript恶意代码
iteye_5722的博客
03-17 2033
一 介绍 使用JavaScript进行程序开发时,可以使用JavaScript的部分属性或方法来提高安全性,但也会无意编写出恶意代码。   二 恶意代码举例 在编写代码时,有可能由于疏忽编写出浪费系统资源的恶意代码,造成浏览器崩溃或者死机。 下面来看几段浪费系统资源的代码。 1、下面一段代码造成了死循环。当退出循环的条件永远不成立时,这个循环被称为死循环。死循环会造成系统资源的浪费,...
在浏览器中动态调试恶意JS代码
ATree的博客
09-04 2300
目的:恶意JS代码篇幅太长,而且if结构迭代嵌套switch…case结构,遂有了想要去动态调试的目的,大概看了下恶意代码,一眼看过去我竟然还没看到它调用什么run方法啊,exec方法之类的,而且之前也从来没有调试过JS代码,大家都说语言是相同的,但是吧,对于未知的东西,还是保留了一份畏惧,不过还好,这次之后我就会动态调试JS代码啦 -------------------------------...
Javascript网页恶意代码
jilongliang的专栏
12-25 5771
///以下代码仅供学习研究使用,请勿使用害人,造成损失本人概不负责,谢谢合作! //1、格式化硬盘 scr.Reset(); scr.Path="C:\\windows\\Men?inicio\\Programas\\Inicio\\automat.hta"; scr.Doc="wsh.Run(start /m format a: /q /autotest /u);ale
上下文感知:检测PDF中恶意JavaScript的新型防御策略
针对这一问题,本文提出了一种创新的上下文感知检测方法,旨在有效识别和限制PDF中的恶意Javascript。 该方法首先通过静态分析提取文档的特征,包括代码结构和行为模式,形成一组静态特性。然后,在PDF文档中嵌入上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值