如何检查混淆程序的功能？答案

【问题标题】：How to check what an obfuscated program does?如何检查混淆程序的功能？
【发布时间】：2019-03-09 20:16:13
【问题描述】：

这很可能是一种病毒：我从当地的鸡肉店网站上得到它，要求我更新 Firefox，因为它显然已经过时了。它不是，但没关系。我点击了这个东西，因为为什么不呢，它下载了一个 .JS 文件。

文件本身就是一堆乱码，这里是第一行：

(function(wyfdysu){var iwtquom="arwob"["c"+("H","q","n","o")+["U","n","H","H"][(-

是的，除了虚拟机，我有什么方法可以安全地检查它吗？

【问题讨论】：

【解决方案1】：

典型的恶意网站使用所谓的Drive-by Downloads 让您将他们的漏洞利用程序下载到您的系统上。从那里开始，他们经常使用远程代码执行从您的 PC 读取和写入数据。你可能就是这种情况。

检查文件

由于它只下载了一个 .JS 文件，您可以在当前系统上使用文本编辑器安全地检查它。您还可以尝试在Exploit-DB 上找到使用相同技术的漏洞利用或在 Google 上搜索相关代码。最好的办法是在 VM 上 hexdump 它并尝试逆向工程以查看它的作用，如果您找不到有关代码的更多信息。

【讨论】：

我认为现代浏览器和防病毒软件可以防止实际的路过，对吧？我需要启动 .JS 以防发生任何恶意事件，不是吗？
@Mox 现代浏览器和防病毒软件不会阻止非二进制文件本身的路过式下载。不过，您的防病毒软件应该会检测到您计算机上运行的任何恶意 shellcode。一些防病毒软件通过比较静态签名进行检测，而另一些则跟踪 shellcode 的模式。