Исходный код вредоносных программ на языке JavaScript зачастую усложняется и приводится к нечитабельному виду посредством обфускации, которая осуществляется при помощи использования функций динамического исполнения кода (eval, вызов new Function и т.д.). Возникает потребность детектирования вызовов данных функций, в аргументах которых могут находиться исходные части вредоносного ПО.
Данное ПО позволяет осуществлять динамическую бинарную инструментализацию браузера (основанных на движке V8) и перехватывать вызовы JS-функций (eval, new Function), на уровне реализации интерпретатора. Инструментализация осуществляется при помощи Frida, само приложение основано на Electron.
Приложение работает с debug-версией Google Chromium. В общем случае это любая среда выполнения JS на основе V8 (из коробки поддерживается Node.js).
Запуск npm start. PID процесса – это идентификатор процесса соответствующей вкладки Chrome-а.