网站中暗链是怎么回事(4)

其实还是使用了document.write方法将外部JavaScript代码引入当前页面，只不过使用了eval函数进行混淆罢了。

其实细想想，eval函数不仅可以配合我前面写的第一种方式引入，还可以配合第二种、第三种，因为eval函数的作用说白了就是混淆一遍代码。

正所谓“懒是人类进步的阶梯”，一切能用工具代替的工作我们人类尽量不要用手去做，所以我从几个方面思考了一下面对这种新时代暗链的自动化检测思路，得出下面这么几条心得，但是怎么去用代码实现，我这就不讨论了。

对于windows对象引入的，判断其是否使用了16进制代码，如果使用了，那么怀疑度+1。然后再判断16进制代码解析之后的内容，如果出现了script字样，到这基本就可以判断是不是暗链了。如果还是觉得不保险，可以看其是否引入了外部js，如果引入了，再结合威胁情报等工具，就可以做出判断了。

对于使用十进制ASCII码进行伪装的暗链，可以判断其变量是否被document.wirte对象引用了，如果引用了再判断其十进制ASCII码的内容，剩下的步骤和上面一样。

对于改变script标签src属性的暗链，可以直接翻译其10进制unicode编码，结合威胁情报或者跟进JavaScript代码等方式进行判断。

对于eval函数混淆的暗链，可以先走一个逆向的过程，然后的分析步骤就和上面三种一样了。