opcode在webshell检测中怎么用

这篇文章给大家分享的是有关opcode在webshell检测中怎么用的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。

创新互联公司服务紧随时代发展步伐,进行技术革新和技术进步,经过十多年的发展和积累,已经汇集了一批资深网站策划师、设计师、专业的网站实施团队以及高素质售后服务人员,并且完全形成了一套成熟的业务流程,能够完全依照客户要求对网站进行网站设计制作、成都网站制作、建设、维护、更新和改版,实现客户网站对外宣传展示的首要目的,并为客户企业品牌互联网化提供全面的解决方案。

传统的webshell静态检测,通过匹配特征码,特征值,危险函数函数来查找WebShell的方法,只能查找已知的WebShell,并且误报率漏报率会比较高。而PHP这种灵活的语言可以有非常多的绕过检测的方式,经过研究测试,opcode可以作为静态分析的辅助手段,快速精确定位PHP脚本中可控函数及参数的调用,从而提高检测的准确性,也可以进一步利用在人工智能的检测方法中,可以用opcode做特征工程。

0x01 什么是opcode

当PHP脚本被Zend Engine解析的时候,Zend Engine会对脚本进行词法、语法分析,然后编译成opcode来执行,类似JVM中的字节码(byte codes),只不过opcode不会像class文件那种存在磁盘,而是在内存中直到PHP的生命周期结束。

opcode在webshell检测中怎么用  

我们可以通过PHP扩展vld来查看PHP脚本的opcode,vld项目地址:http://pecl.php.net/package/vld  

opcode在webshell检测中怎么用  

0x02 读懂opcode

下面我们用vld生成一段opcode看看。PHP脚本如下:

我们用vld生成opcode:

php -dvld.active=1  -dvld.execute=0 test.php

opcode在webshell检测中怎么用  

如上为VLD输出的PHP代码生成的中间代码的信息,说明如下:

  • Branch analysis from position 这条信息多在分析数组时使用;

  • Return found 是否返回,这个基本上有都有;

  • filename 分析的文件名;

  • function name 函数名,针对每个函数VLD都会生成一段如上的独立的信息,这里显示当前函数的名称;

  • number of ops 生成的操作数;

  • compiled vars 编译期间的变量,这些变量是在PHP5后添加的,它是一个缓存优化。这样的变量在PHP源码中以IS_CV标记;

这段opcode的意思是echo helloworld 然后return 1。

0x03 opcode在webshell检测中的运用

当检测经过混淆加密后的php webshell的时候,最终还是调用敏感函数,比如eval、system等等。我们可以将其转化为opcode,再检测opcode是否进行了敏感函数调用。举个例子:

 eval($_POST[x]);
?>

上面的php webshell经过解码后就是一句话木马eval($_POST[x]),我们将它转化为opcode:

opcode在webshell检测中怎么用

opcode在webshell检测中怎么用我们看到,木马文件最终转化成opcode的时候,调用了eval语句“INCLUDE_OR_EVAL”,而这明显是一个危险的操作,很有可能是一个webshell。

感谢各位的阅读!关于“opcode在webshell检测中怎么用”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,让大家可以学到更多知识,如果觉得文章不错,可以把它分享出去让更多的人看到吧!


新闻名称:opcode在webshell检测中怎么用
浏览地址:http://myzitong.com/article/iihcch.html