您现在的位置是:首页 > 黑客技术

Webshell免杀科学研究

作者:果E安全网时间:2020-10-24 03:28:48分类:黑客技术

简介序言不愿当大将的兵士并不是好兵士,不愿getshell的Hacker并不是好Hacker~有时我们在做防御抵抗时常常会遇到能够提交webshell的地区,可是常常会被安全狗、D盾、护卫神、云锁等防护软件查杀,在这篇文章内容里将会详细介绍一些常见的木马病毒免杀方法,关键对于安全狗、护卫神、D盾开展免杀~查杀手机软件D

序言

不愿当大将的兵士并不是好兵士,不愿getshell的Hacker并不是好Hacker~

有时我们在做防御抵抗时常常会遇到能够提交webshell的地区,可是常常会被安全狗、D盾、护卫神、云锁等防护软件查杀,在这篇文章内容里将会详细介绍一些常见的木马病毒免杀方法,关键对于安全狗、护卫神、D盾开展免杀~

查杀手机软件

D盾

D盾是一个专业为IIS设计方案的积极防御的安全系数维护手机软件,它选用以內外安全防护的方法避免 网络服务器和网址被别人侵入,它秉持着在一切正常运作各种网址的状况下,越低的作用,网络服务器就越安全性的核心理念而设。它具备一句话木马查杀、积极侧门阻拦、Session维护、CC进攻防御、网页页面伪造查看、WEB网络嗅探防御、SQL引入防御、XSS进攻防御、提权防御、故意上传文件防御、不明0Day防御等特性。

1.png

安全狗

安全狗是一款安全性安全软件,它出示木马病毒查杀、系统漏洞防御、非法请求阻拦等作用,着眼于维护网址和网络服务器的安全性。它具备运用安全防护WEB运用风险性、阻拦各种SQL引入、XSS进攻防御、0Day进攻防御、特殊資源维护、互联网木马病毒文档、故意畸型文档、0Day系统漏洞、暗链等特性。

2.png

护卫神

护卫神是一款以分离出来管理权限为基本,根据一系列与众不同方式方法,确保网址不被侵入的安全系数安全软件。它适用各种ASP和PHP撰写的程序流程,在现阶段网址日渐猖獗的镜像劫持、侵入状况下,护卫神能够彻底消除客户所遭遇的诸多安全性难点,为网络信息安全服务保障。 它具备即时木马程序查杀、网址镜像劫持阻拦、文档伪造维护、PHP拒绝服务攻击进攻防御、SQL防御、XSS跨站进攻防御、侵入阻拦安全防护、远程桌面连接安全性维护等特性。

3.png

免杀基本

免杀要求

由于设计方案的木马病毒的最后目地在发觉总体目标网址有提交系统漏洞时能够将木马病毒上传入总体目标网络服务器上而且能够远程登录完成远程操作,殊不知一些网址都是会有安全狗、D盾、安骑士、护卫神、云锁等安全软件能够对一些Webshell开展查杀,那麼要想应用Webshell开展远程控制就必须完成免杀,为此来避开木马病毒查杀专用工具的查验。

查杀技术性

现阶段流行的木马病毒查杀方式有:静态数据查验、动态性检验、系统日志查验三种方法。

a、静态数据查验根据搭配特征码、风险涵数和木马病毒矩阵的特征值来查杀木马程序,它的特性是迅速便捷,对已经知道的木马程序搜索准确度较高,它的缺陷是漏报率较高,没法搜索0Day型的木马程序,并且非常容易被绕开。

b、动态性检验根据木马程序的动态性特点来检验,当木马程序被强上传入网络服务器之后,网络攻击都会去实行它,当木马程序强制执行时需主要表现出去的特点便是说白了的动态性特点。

c、系统日志检验则关键根据日志分析系统无损检测技术来完成,它关键根据剖析很多的日志文件并创建要求实体模型来检验出出现异常文档。它的优势为当网址上的浏览数量级做到一致值时,这类检验方式具备较为大参考价值使用价值。它的缺陷则是存有一定漏报率,针对很多的日志文件,测试工具的解决工作能力和高效率都是会变的较为低。

免杀方法

木马程序能够应用多种多样计算机语言设计制作,不一样的计算机语言有不一样特性及其出示的系统软件涵数,因此 在完成免杀时能够最先考虑到熟练掌握語言的特性来完成免杀,次之能够依据查杀手机软件的查杀标准来重新构建木马程序,避开木马病毒查杀专用工具的查杀,另外能够考虑到密码算法中的加密解密对源木马程序开展加密解密解决,为此来避开木马病毒查杀专用工具的查验。木马病毒免杀技术性的关键取决于“灵便变化多端”。

免杀实战演练—小龙免杀

引入免杀

由于D盾、安全狗、护卫神会对关键词eval中的实行自变量开展追溯,当上溯要实行的自变量为一个根据POST接受的异常数据信息时便会显示信息异常木马病毒,为了更好地避开这类追溯方法,能够根据数次应用&来引入前一个自变量,根据一连串的取值实际操作最终即将实行的內容与反引号拼凑后传到eval完成免杀,实际完成以下所显示:

4.png

以后应用D盾查杀一下看一下:

5.jpeg

发觉還是被查杀来到,此刻b有给a讲过:"喂,上边的a,大家换个部位呗~",因此a无可奈何的说:"为什么负伤的一直我呢?"

6.jpeg

以后a对b说:"你看看,不好吧?换了也要凉",以后b皱了皱眉头说:"不慌,大家来再拉一下小伙伴——反引号,使他帮帮我":

7.jpeg

果真,b小伙说的還是有点儿路子的哦,从上边的結果中能够见到取得成功免杀了,以后再讨论一下安全狗——取得成功免杀

8.jpeg

护卫神——取得成功免杀

9.jpeg

到此,D盾、安全狗、护卫神已取得成功免杀,以后大家讨论一下易用性:

10.jpeg

可变性自变量

可变性自变量是PHP中一种比较与众不同的自变量,它能够动态性的更改一个自变量的名字,这类特性能够用以木马病毒免杀中。最先能够界定一个自变量$do并且为其取值为todo,以后将木马病毒內容取值给可变性自变量$$do,最终在启用eval涵数实行时将实行目标界定为$todo就可以,实际完成以下所显示:

11.jpeg

以后应用D盾查杀一下看一下:

12.jpeg

发觉不好哦,那麼怎么办呢?幸亏今日"反引号"哥哥来串门子,何不使他来帮个忙:

13.jpeg

发觉取得成功免杀,以后大家再应用安全狗查杀一下看一下————取得成功免杀

14.jpeg

护卫神————取得成功免杀

15.jpeg

到此,取得成功免杀安全狗、护卫神、D盾,以后大家试一下易用性:

16.jpeg

二维数组

在免杀时我们可以考虑到见要实行的一句话木马程序放进数组中实行做到绕开的目地,比如:

17.jpeg

以后大家应用D盾开展查杀————取得成功免杀

18.jpeg

以后大家应用安全狗开展查杀————取得成功免杀

19.jpeg

以后大家应用护卫神开展查杀:

20.jpeg

oh, My God!护卫神那么强大的吗???总算过去了D盾、安全狗的查杀检验,修成正果一步却被护卫神给查杀了.....,那麼如何绕呢?即然一维数组不好,那麼我也再来一个二维数组,哼:

21.jpeg

以后再度应用护卫神查杀

22.jpeg

還是被查杀来到,那麼怎么办呢?自变量$a给自变量$b说:"大家何不换个部位?",自变量$b只能带著"试一试"的心理状态回应"换就换呗,总之就那般....":

23.jpeg

"居然取得成功免杀了?",自变量$b带著痴呆症的小表情说到。

以后大家再度应用D盾开展查杀————取得成功免杀:

24.jpeg

以后再度应用安全狗查杀————取得成功免杀

25.jpeg

到此,取得成功免杀D盾、安全狗、护卫神,那麼讨论一下易用性:

26.jpeg

数组相交

在做免杀科学研究是,发觉我们可以根据数组的相交来得到 大家要想的值,以后将其运用到木马程序的结构之中,比如:

27.jpeg

对于结构设计上边的注解中想来早已说得很是详尽了,这儿就已不一一转述了,下边大家应用D盾开展查杀看一下——免杀

28.jpeg

以后应用安全狗查杀看一下————取得成功免杀

29.jpeg

以后应用护卫神查杀看一下————取得成功免杀

30.jpeg

到此,D盾、安全狗、护卫神取得成功免杀,下边试一下易用性:

31.jpeg

免杀实战演练—马来西亚免杀

数据加密&搞混

在免杀解决的诸多方式中,数据加密免杀算作一种常见的方法,普遍的加密算法有rot13、base64加解密,下边大家应用base64来开展免杀科学研究,最先大家必须一个shell.php的PHP马来西亚:

32.jpeg

以后大家必须应用encode.php对上边的马来西亚程序流程开展一次base64数据加密解决,encode.php代码以下:

33.jpeg

以后我们在电脑浏览器中浏览encode.php就可以完成对shell.php大马程序流程的数据加密解决:

34.jpeg

PS:由于木马程序源码中带有许多 比较敏感的实际操作,并且有很多非常容易被查杀到的关键字,因此 事后的免杀全是在数据加密解决的基本上开展的剖析与科学研究

以后大家应用D盾先来一波查杀看一下:

35.jpeg

从上边的查杀結果能够见到这儿威协等级为"5",并且报"数据加密侧门"的警示,这儿应该是D盾检验来到关键词"base64_decode",因此 大家这儿必须做一个简易的搞混解决:

37.jpeg

根据之上解决以后发觉解决后的木马程序避开了D盾的查杀,可是被安全狗检验来到:

38.jpeg

历经剖析发觉被查杀的缘故是eval涵数实行了一个破译后的內容,为了更好地避开查杀,这儿能够根据将破译后的內容取值给一个自变量,以后根据应用反引号拼凑自变量随后再让eval去实行的方法避开查杀,实际完成以下所显示:

39.jpeg

能够发觉取得成功免杀,以后大家再应用D盾开展一次查杀实际操作,发觉依然取得成功免杀(终究马来西亚程序流程的复杂性提升了):

40.jpeg

以后大家再应用护卫神开展一次查杀:

41.jpeg

到此该木马病毒取得成功免杀D盾、安全狗、护卫神,另外大家必须检验一下免杀以后的易用性:

42.jpeg

能够一切正常应用:

43.jpeg

{ X}

  Create_function免杀

  在免杀的过程中,发现了一个PHP的内置函数Create_function,它主要用于创建一个函数,这里可以使用它来进行免杀,但是由于D盾、安全狗有关键词查杀所以这里需要对Create_function进行一个拆分处理,同时需要加入混淆处理,最后木马程序重构结果如下所示:

  

44.jpeg

  之后使用D盾进行查杀————成功免杀!

  

45.jpeg

  之后使用安全狗查杀————成功免杀

  

46.jpeg

  之后使用护卫神进行查杀————成功免杀

  

47.jpeg

  至此,安全狗、护卫神、D盾成功免杀,之后我们试试可用性:

  

48.jpeg

  可以正常使用~

  

49.jpeg

  可变变量

  可变变量是PHP中一种较为独特的变量,它可以动态的改变一个变量的名称,这种特性可以用于木马免杀中。首先可以定义一个变量$do并为其赋值为todo,之后将加密处理过后的木马内容赋值给可变变量$$do,最后在调用eval函数执行时将执行对象定义为$todo即可,具体实现如下所示:

  

50.jpeg

  之后使用D盾进行查杀————成功免杀

  

51.jpeg

  之后使用安全狗查杀————成功免杀

  

52.jpeg

  之后使用护卫神查杀————成功免杀

  

53.jpeg

  至此,成功免杀D盾、安全狗、护卫神,之后我们试试可用性:

  

54.jpeg

  

55.jpeg

  总结

  免杀与查杀在一次又一次的攻防较量中不断的进步,而我们在使用现有的webshell时也需要留意该webshell的可信程度,有些webshell留有后门,至少笔者分析的N多个大马时发现加密的木马文件几乎都有相关的后门。所以在免杀研究时还是自我设计木马程序为好,一些大马文件的功能不外乎由编程语言的功能函数来实现外加各种加密解密、编码/解码方法等。当然,随着木马查杀库的更新我们也需要研究更多的木马查杀方法与木马查杀机制的缺陷,促进攻防两端的进步。

  原文链接:https://xz.aliyun.com/t/7151

  

  上一篇基于访问日志的异常请求检测下一篇我是如何劝色情网站操控者从良的

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

我来说两句