几个月前看到有文章介绍俄罗斯的 Hammertoss 恶意软件，使用 Twitter 作为 C&C 服务。以类似方式滥用 TechNet 的也有过报道【1】。脑洞了一下觉得，使用图片（或者其他格式）作为隐写（steganography）的载体来携带 C&C 控制命令更为隐蔽一些，而且携带的信息容量相对 twitter 的 140 字限制大得多。

Javascript 作为一种运行在客户端的脚本语言，其源代码对用户来说是完全可见的。但不是每一个 js 开发者都希望自己的代码能被直接阅读，比如恶意软件的制造者们。为了增加代码分析的难度，混淆（obfuscate）工具被应用到了许多恶意软件（如 0day 挂马、跨站攻击等）当中。分析人员为了掀开恶意软件的面纱，首先就得对脚本进行反混淆（deobfuscate）处理。