【黑客技术】WebShell隐藏过人技巧(4)

所以隐藏方式我稍做了调整:将不可见字符插入到变量末尾,剩余的字符藏在最后一行,解析方式对应稍作改变。各位自行调整逻辑吧,放在注释里啊、固定的字符串里啊也都可以的,只要源代码看起来够正常即可。其实在大多数情况下,只需要在用终端的时候,大多数命令显示不出来这两个字符,就已经足够使用了。

最后一些话

上述的这些 webshell 能过人,会不会被机器检测到呢?我认为是有可能的。不管是第一个 webshell 的空格和 tab,还是 pro 版的那些不可见字符,它们本身就会增加文件的特殊性,虽然人眼看不出来,但是基于信息熵或者统计学方法的检测或许能揭开将这类 webshell 的面纱。不过就目前来看,不管是字符串长度还是关键字匹配甚至是机器学习算法,对于此类 webshell 的检测都较弱(目前我还没找到能够查杀上面两个 webshell 的工具,如果有的话请在评论区告诉我)。

我们要时刻记住的是,No Silver Bullet:)

(不知道现在 fb 的代码是不是还是有缩进丢失的问题 [手动狗头],所以我弄了一个 GitHub 仓库:https://github.com/Macr0phag3/webshell-bypassed-human,所有的代码都在里面了)

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/445b2e746721a576b4beb431da12ee9a.html