安装之后, 你应该可以运行 coffee 命令以執行脚本, 编译 .coffee 文件到 .js 文件, 和提供一个交互式的
0x38: 利用非常规字符集来绕过"关键字檢测正则"的防御(包括神盾加密在内的主流在线加密工具基本都采用变量/函数/类名混淆的方式实现隐藏)
这种WEBSHELL遵循了严格的生成逻辑并精确哋在代码中加入了花指令,只有文件完好无损(即不能增加也不能减少)才能正常解密出原始文件并执行一旦文件遭到了任何修改,则解密過程会失败导致webshell无法执行
利用PHP的include可以引入外部代码的特性,实现WEBSHELL玳码的隐藏
0x61: 通过将恶意代码写入临时磁盘文件然后include进当前代码空间进行执行,运行之后删除临时文件
之所以需要通过写磁盘文件进行一次"中转"是因为php不允许直接include一段字符串,但是允许一个包含php代碼的文件
0x63: 数据库操作与第三方库中的回调后门
0x75: 用双引号、单引号包裹
PHP的解释引擎会自动忽略<?php之前的字符(包括单引号、双引号)直到遇到<?php开始解析jit执行,黑客利用这种方式将webshell隐藏地像一个sql文件一样
0x76: 用异或隐藏关键字
这几款工具都有简单易用的命令行界面,可以方便地生成webshell
2) 基於文本的统计特征的阈值分析: webshell由于往往经过了编码和加密会表现出一些特别的统计特征