MalwareJail 半自动化恶意Javascript脚本分析沙盒

  • A+
所属分类:网络安全工具

项目简介

malware-jail是使用nodejs编写的一个沙盒,目前实现了wscript(Windows脚本宿主)和部分浏览器上的环境。不过至少有一部分恶意软件是通过wscript传播的,通过该沙盒我们可以分析恶意软件的行为并对其进行监控和查看。

MalwareJail 半自动化恶意Javascript脚本分析沙盒

在示例文件夹中,您可能会找到已停用的恶意软件文件。运行分析:

  1. node jailme.js -c ./config_wscript_only.json --down=y malware/example.js

您可以测试的基于Internet浏览器的恶意软件

  1. node jailme.js -b IE11_W10 malware/example_browser.js

在分析结束时,将完整的沙箱上下文转储到“sandbox_dump_after.json”文件中。

您可能想要检查'sandbox_dump_after.json'的以下条目:

  1. eval_calls - 所有eval()调用参数的数组。如果eval()用于去除腐败,则很有用。
  2. wscript_saved_files - 恶意软件尝试删除的所有文件的内容。实际文件也会保存到输出/目录中。
  3. wscript_urls - 恶意软件打算进行GET或POST的所有URL。
  4. wscript_objects - 创建的WScript或ActiveX对象。
  5. “sandbox_dump_after.json”使用JSONPath,通过实施JSON-JS / cycle.js,以重复或循环引用保存到相同的对象。

工具下载

部分内容被隐藏
评论刷新后查看
CE安全网
网络安全宣传推广

发表评论

您必须登录才能发表评论!