PHP 恶意程序简单分析
PHP 恶意程序样本 之前虽然多少了解过一些关于信息安全、网络安全方面的知识,但是 Web 方面的恶意程序没有关心过,倒是二进制的恶意程序多少了解过一些。但是这次也算是有幸遇到了这么一个脱离书本的货真价实的 Web 恶意程序。 大体看一下这个恶意程序的长相,大体代码如下:
$password = "v587";
error_reporting(E_ERROR);
header("content-Type: text/html; charset=gb2312");
set_time_limit(0);
$str = "66756r6374696s6r20526s6";
$dir = pack("H*",str_rot13($str));
eval($dir);
代码中的 $str 变量的值我没有给全,我测试了一下,还是可以运行的,不过在运行时我把最后一行的 eval 修改为 print,在命令行下运行,运行结果如下:
function Ro`
可以看到,输出了一串字符。对于多少了解些 PHP 的应该能想到,在 $str 变量中保存的本身就是被编码过的代码,而使用 pack 和 str_rot13 则可以还原为原来的 PHP 代码,并通过 eval 函数执行原来的 PHP 代码。 简单分析 这个 Web 恶意程序本身 $str 变量中保存的内容特别的多,其实它是一个功能很强大的 Web 恶意程序。为什么需要编码呢?咱们一步一步的说。 想要查看编码后的代码,需要把 eval 函数修改为 print 函数。但是,直接修改 eval 函数为 print 函数来查看编码前的代码是很不方便的,因为会滚屏。那么,我把 eval 函数换成了 file_put_contents 函数,也就是把解码后的代码直接写入到文件中。这样查看就会很方便了。 当我将 eval 函数修改为 file_put_contents 函数后,在命令行下运行这个 PHP 恶意程序,在生成文件的时候,我系统的杀毒软件给出了警告,并且生成的文件消失了。也就是说生成的文件被杀毒软件查杀掉了。 到这里,Web 恶意程序编码的第一个原因已经了解了,也就是说这个 Web 恶意程序如果不编码是会被杀毒软件查杀的,而进行编码后,就躲避了杀毒软件的查杀,因为文件被加载的时候,Web 恶意代码没有被还原,所以绕过了杀毒软件的查杀,而解码后通过 eval 函数直接运行是不会生成文件的,那么相当于直接在内存中执行了。 那么,第二个原因呢?其实第二个原因我觉得就比较简单了。迷惑管理员,当管理员看到 $str 变量中有这么一堆数字时可能是没有心情去研究这是干什么的。其实拿到这样的代码时,很多 PHP 程序员也不一定愿意去研究的,毕竟程序员的主要工作是完成需求相关的代码,而不是研究一个对自己用处不是特别大的代码。 把代码进行编码 既然是分析,那么就要研究一下他是如何把 PHP 代码编码为 $str 变量中那样的字符串的。这个我也研究过了,但是就不想发在这里了。如果感兴趣的话,关注我的公众号,并回复 codephp 关键字来进行获取吧。
- 2016美团面试经历
- 2016年百度面试经历
- 注册中心 Eureka 源码解析 —— Eureka-Client 初始化(二)之 EurekaClientConfig
- Golang 中"泛型"的支持
- 编码习惯之Controller规范
- Go-简洁的并发
- 多线程基础之Runnable/Thread与Callable
- 使用Ldoc给Lua生成文档
- MySQL 读写分离
- Mac必备软件集之Brew
- spring系列之自定义扩展PropertyPlaceHolderConfigurer
- 并发编程之ReentrantLock
- 【学术】一篇关于机器学习中的稀疏矩阵的介绍
- 浅谈java中extends与implements的区别
- php概述
- php教程
- php环境搭建
- PHP书写格式
- php变量
- php常量
- PHP注释
- php数组
- php字符串 string
- PHP整型 integer
- PHP浮点型 float
- php布尔型
- php数据类型之数组
- php数据类型之对象
- php数据类型之null
- php数据类型之间的转换
- php运算符
- php表达式
- PHP循环控制
- PHP流程控制
- php函数
- php全局变量
- PHP魔术变量
- php命名空间
- php 日期
- PHP包含文件
- php文件
- PHP 文件上传
- php Cookies
- php Sessions
- php email
- php安全email
- php错误处理
- PHP异常处理
- php过滤器
- PHP 高级过滤器
- php json
- php 表单
- PHP MySQL 简介
- PHP 连接 MySQL
- php创建数据库
- php 创建表
- php mysq 插入数据
- PHP MySQL 插入多条数据
- PHP MySQL 预处理语句
- php mysql 读取数据
- php mysql where
- PHP MySQL Order By
- PHP MySQL Update
- PHP MySQL Delete
- php ODBC
- 牛客网-重建二叉树
- 牛客网-旋转数组的最小数字
- 别再暴力匹配字符串了,高效的KMP,才是真的香
- 一文透析SpringCloud,关于Bus消息总线,总算梳理清楚了
- LeetCode 102. 二叉树的层序遍历
- 剑指Offer LeetCode 面试题10- II. 青蛙跳台阶问题
- 剑指Offer LeetCode 面试题10- I. 斐波那契数列
- 蓝桥杯 1的个数
- 蓝桥杯-试题 算法训练 数据交换
- 解决mysql导入新数据库大小写问题(Table 'zup.Domain_System' doesn't exist)
- 蓝桥杯vip试题 报时助手
- 蓝桥杯-基础练习 查找整数
- 蓝桥杯-基础练习 数列排序
- 无线网络-何为ISM频段?
- 蓝桥杯vip测试题系统试题-算法提高 矩阵转置