木马查杀篇—Opcode提取

最新推荐文章于 2025-05-14 20:31:51 发布
最新推荐文章于 2025-05-14 20:31:51 发布
阅读量919 收藏 7
点赞数 11
分类专栏: 安全研发 文章标签: 木马查杀 opcode php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47126666/article/details/147906419
版权

【前言】 介绍Opcode的提取方法,并探讨多种机器学习算法在Webshell检测中的应用,理解如何在实际项目中应用Opcode进行高效的Webshell检测。

Ⅰ 基本概念

Opcode:计算机指令的一部分,也叫字节码,一个php文件可以抽取出一个指令序列,如ADD、ECHO、RETURN。
【原因】由于直接对php文件使用词袋和TF-IDF进行模型训练会消耗大量计算资源,使用opcode模型进行降维可以有效提升模型效率和模型的准确率。
【作用】避免Webshell中为了绕开静态检测恶意添加的无用注释的干扰

Ⅱ Opcode提取

【背景】php版本72,路径/www/server/php/72/bin
安装地址:https://pecl.php.net/package/vld 官网下载对应的vld版本

安装脚本

cd vld-0.15.0
# 使用phpize生成配置脚本,并指定php-config路径(与你的 PHP 路径相关 )
/www/server/php/72/bin/phpize
./configure --with-php-config=/www/server/php/72/bin/php-config --enable-vld
# 编译
make && make install
#可看到一个so文件
/opt/vld-0.15.0/vld-0.15.0/modules/vld.so

# php.ini文件添加
extension=vld.so

# 重启php服务
systemctl restart php7.2

测试 111.php

<?php
    echo "Hello World";
?>

查看php文件的Opcode

php -dvld.active=1 -dvld.execute=0  111.php

效果如下,op值就是了,直接提取下来
在这里插入图片描述

Ⅲ 训练过程

提取opcode很简单,就是采用什么模型训练,才能尽可能提高召回率和准确率

第一种:朴素贝叶斯

特征提取使用词袋&TF-IDF模型

  • 将 WebShell 样本以及常见 PHP 开源软件的文件提取词袋。
  • 使用 TF-IDF 处理。
  • 随机划分为训练集和测试集。
  • 使用朴素贝叶斯算法在训练集上训练,获得模型数据。
  • 使用模型数据在测试集上进行预测。
  • 验证朴素贝叶斯算法预测效果。
    在这里插入图片描述

第二种:使用MLP算法

特征提取使用特征提取使用opcode&n-gram

完整的处理流程为

  • 将 WebShell 样本以及常见 PHP 开源软件的文件提取 opcode.
  • 使用 n-gram 处理。
  • 随机划分为训练集和测试集。
  • 使用 MLP 算法在训练集上训练,获得模型数据。
  • 使用模型数据在测试集上进行预测。
  • 验证 MLP 算法预测效果。

第三种:CNN模型训练

还未实现

Ⅳ 实战环节

def extract_opcodes(filepath: str, php_executable: str = 'php') -> Optional[str]:
    """
    使用vld扩展从文件中提取PHP opcodes,适配详细输出格式。

    Args:
        filepath: PHP文件的路径。
        php_executable: PHP可执行文件的路径。

    Returns:
        如果成功,返回一个包含opcode的空格分隔字符串,否则返回None。
    """
    if not os.path.exists(filepath):
        logger.error(f"文件未找到用于opcode提取: {filepath}")
        return None

    cmd = [
        php_executable,
        '-dvld.active=1',
        '-dvld.execute=0',
        filepath
    ]
    logger.debug(f"运行命令用于opcode提取: {' '.join(cmd)}")

    try:
        # --- 正确的提取逻辑,用于解析表格 ---
        output = subprocess.check_output(
            cmd, 
            stderr=subprocess.STDOUT
        )
        output_str = output.decode('utf-8', errors='ignore') # 使用 utf-8 解码,忽略可能的解码错误
       
        
        tokens = re.findall(r'\s(\b[A-Z_]+\b)\s', output_str)
        opcodes = " ".join(tokens)
        # --- 提取逻辑结束 ---

        if not opcodes:
             # 即使命令成功,也可能因为文件内容或VLD的特殊输出而没有Opcode
            #  logger.warning(f"未从 {filepath} 提取到有效格式的Opcode。VLD输出起始部分: {result.stdout[:300]}...")
             return ""
        print("|==============文件{}提取出来的opcode:{}".format(filepath,opcodes))
        return opcodes

    except FileNotFoundError:
        logger.error(f"'{php_executable}'命令未找到。无法提取opcode。")
        return None
    except subprocess.TimeoutExpired:
        logger.warning(f"Opcode提取超时于{filepath}。跳过。")
        return None
    except Exception as e:
        logger.error(f"在{filepath}提取opcode时发生错误: {e}")
        return None
  • 使用 TF-IDF 处理:特征工程 (CountVectorizer + TF-IDF)
    logger.info(f"应用 CountVectorizer (ngrams={ngram_range}, min_df={min_df}, max_df={max_df})...")
    vectorizer = CountVectorizer(
        ngram_range=ngram_range,
        decode_error="ignore",
        # token_pattern=r'\s(\b[A-Z_]+\b)\s', # 匹配 Opcode 的模式
        min_df=min_df,
        max_df=max_df
    )
  • 随机划分为训练集和测试集。
    logger.info(f"划分数据 (test_size={test_size}, random_state={random_state})...")
    X_train, X_test, y_train, y_test = train_test_split(
        X_tfidf, y_labels, test_size=test_size, random_state=random_state, stratify=y_labels # stratify 保证训练集和测试集标签比例相似
    )
    logger.info(f"训练集大小: {X_train.shape[0]}, 测试集大小: {X_test.shape[0]}")

大概划分 训练集大小: 13359, 测试集大小: 5726

  • 使用朴素贝叶斯算法在训练集上训练,获得模型数据。
    logger.info("训练多项式朴素贝叶斯模型...")
    model = MultinomialNB()
    model.fit(X_train, y_train)
    logger.info("模型训练完成。")

用模型数据在测试集上进行预测。

    logger.info("--- 在测试集上评估模型 ---")
    y_pred = model.predict(X_test)

    accuracy = accuracy_score(y_test, y_pred)
    precision = precision_score(y_test, y_pred, zero_division=0) # 处理除零情况
    recall = recall_score(y_test, y_pred, zero_division=0)
    f1 = f1_score(y_test, y_pred, zero_division=0)
    conf_matrix = confusion_matrix(y_test, y_pred)

    logger.info(f"准确率 (Accuracy):  {accuracy:.4f}")
    logger.info(f"精确率 (Precision): {precision:.4f}")
    logger.info(f"召回率 (Recall):    {recall:.4f}")
    logger.info(f"F1 分数 (F1-Score):  {f1:.4f}")
  • 验证朴素贝叶斯算法预测效果。
 --- 在测试集上评估模型 ---
- 准确率 (Accuracy):  0.9555
- 精确率 (Precision): 0.9305
- 召回率 (Recall):    0.8796
- F1 分数 (F1-Score):  0.9043
- 混淆矩阵 (Confusion Matrix):
-
[[4266   90]
 [ 165 1205]]

实战测试
效果很一般,误报极高,本来只有两个文件的
在这里插入图片描述

Ⅴ 当前问题

第一:go进程如果要调用opcode进行预测,是否需要自动编译一个内置环境,还是说有内置go环境
需要手动写一个内置的php环境,用于获取opcode,单纯go程序,无法正常获取

Ⅵ 下一步优化

  • 调参
  • AST解析出操作序列
[网络安全自学] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
杨秀璋的专栏
11-01 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹信息收集。这文章换个口味,将分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。
从后渗透分析应急响应的那些事儿(二)免杀初识
爱上卿的博客
06-06 4690
从后渗透分析应急响应的那些事儿(二)免杀初识 文章首发于freebuf Tidesec专栏 https://www.freebuf.com/column/204005.html,转载到个人博客记录,转载请注明出处。 不知攻,焉知防。初识免杀,借此划重点分析应急响应应注意的免杀木马那些事儿。 1免杀相关定义 1.1木马 木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来...
[当人工智能遇上安全] 3.安全领域中的机器学习及机器学习恶意请求识别案例分享
杨秀璋的专栏
09-19 9029
《当人工智能遇上安全》系列博客,详细介绍人工智能与安全相关的论文、实践,并分享各种案例,希望您喜欢。前一文章分享了张超大佬的两次报告,带领大家了解Fuzzing,第一是学术论文相关的“数据流敏感的漏洞挖掘方法”,第二是安全攻防实战相关的“智能软件漏洞攻防”。这文章将分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。本文参考学习了大神们的总结,并复现总结相关知识,参考文献见后。基础性入门文章,只希望对初学者有所帮助。
恶意软件分析笔记V0.1(持续更新)
欢迎!欢迎来到17号城市!
08-27 2838
文章目录恶意软件分析恶意软件能做什么恶意代码类型1. 基础静态分析反病毒引擎扫描【工具】恶意代码的指纹`查找字符串【工具】`加壳PEiD【工具】PE文件格式文件头 PE header`DLL文件结构`DLL表分节(Section)`.text(代码段)`.rdata(数据段)`.data(数据段)`.idata(数据段).edata(数据段).rsrc.reloc未整理PE View【工具】PE Studio【工具】PE Viewer【工具】Resource Hacker【工具】链接库与函数`DLL文件`静
渗透之——Metasploit命令及模块
热门推荐
冰河的专栏
01-26 3万+
show exploits 列出metasploit框架中的所有渗透攻击模块。 show payloads 列出metasploit框架中的所有攻击载荷。 show auxiliary 列出metasploit框架中的所有辅助攻击载荷。 search name 查找metasploit框架中所有的渗透攻击和其他模块。 info 展示出制定渗透攻击或模块的相关信息。 use name 装载一个渗透攻...
【黑客免杀攻防】读书笔记1 - 初级免杀基础理论(反病毒软件特征码提取介绍、免杀原理、壳)...
weixin_30642869的博客
06-14 592
在52pojie发表《xxxx》病毒查杀的帖子后,感谢论坛里的会员GleamJ牛不但指出我文章后所添加服务名字符串作为特征码方式的不足,还分享了他工作中4种提取特征码的方法。让我更加觉得要加紧时间学习,这样才不会被大牛甩得太远。弄清楚基本概念,以后吹水不致被嫌弃得太惨。嘿嘿! 基础 初级免杀技术 第1章 变脸 免杀是一种反杀毒技术。它除了使病毒木马免于被查杀外,还可以扩增病毒木马的功能...
Web AWD流程与技巧
kukudeshuo的博客
07-11 2344
AWD简单介绍
p81 红蓝对抗-AWD 监控&不死马&垃圾包&资源库
weixin_43263566的博客
03-15 3183
p81 红蓝对抗-AWD 监控&不死马&垃圾包&资源库
使用机器学习检测PHP Webshell的研究实践
olga5abl的博客
09-09 993
Webshell知多少 Webshell是以PHP、ASP、JSP或CGI等网页文件形式存在的一种代码执行环境。在网络攻击过程中,Webshell是一种常用的恶意脚本,攻击者可以利用它在Web服务器上执行系统命令、窃取数据等。在入侵网站过程中,攻击者通常需要以各种方式获取Webshell,从而获得网站的控制权,再进行入侵。此外,攻击者入侵内网的肉鸡后,为了维持可用的传输通道,也需要创建肉鸡主动连接攻击者的反弹Webshell 。 Webshell具有隐蔽、便捷等特点,由于PHP语法灵活,通过隐藏敏感函数
zabbix最新版本7.2超级详细安装部署(一)
m0_52454621的博客
05-13 545
如果文章对你有用,请留下痕迹在配置过程中有问题请及时留言,本作者可以及时更新文章。
PHP API安全设计四要素:构建坚不可摧的接口防护体系
每日一贴
05-11 697
分层防御:不要依赖单一安全措施,采用多层次防护最小权限原则:只授予必要的API访问权限定期轮换密钥:定期更换API密钥和加密密钥详细日志记录:记录所有API请求用于审计和分析API版本控制:通过版本号管理接口变更输入验证:严格验证所有输入参数错误处理:避免暴露敏感信息的错误消息通过实施这些安全措施,您的PHP API将能够抵御大多数常见攻击,确保数据传输的安全性和完整性。
理解 Open vSwitch (OVS)
u011091936的博客
05-13 447
ovs-vsctl add-port br0 vnet1 # 把虚拟机接口 vnet1 加入 br0。Kubernetes 的 CNI 插件(如 OVN-Kubernetes)也依赖 OVS。ovs-vsctl add-port br0 eth0 # 把 eth0 加入 br0。,可以被 SDN 控制器(如 OpenDaylight、ONOS)集中管理。OVS 可以连接多个虚拟机(VM),并让它们像在同一个物理网络中一样通信。,用于连接虚拟机(VM)、容器和物理网络。
如何将两台虚拟机进行搭桥
2401_87076425的博客
05-13 444
若需测试端口互通,可在虚拟机 A 中启动服务(如 python -m http.server 8080 ),在虚拟机 B 中用 curl http://A-IP:8080 验证。通过以上配置,两台虚拟机可实现 同一虚拟网络内的互通,具体模式根据需求选择(桥接模式用于接入物理网络,仅主机/自定义网络用于隔离环境)。- 若需虚拟机与主机隔离,仅互通,使用 自定义网络(VMware) 或 仅主机网络(VirtualBox),不绑定物理网卡。
文件包含2
Sean_summer的博客
05-10 837
根据这两个例子的对比就可以看到其实二者从源代码其实是很难分辨出来,但是对于传入的payload却是有所不同的。【这个代码对参数进行了处理,即在参数后面增加了一个.php的后缀,这就是将任何参数都转为了一个php文件】比如这里就是将php://输入流的所有内容读取为字符串,来确保strlen()函数的实现。那么我们的payload就应该是前面有长度为800的字符,然后再输入我们的php伪协议。这里看到直接告诉了flag的位置, 那么就猜测是一个 本地文件包含。得到的编码进行base64解码就可以了。
【无标题】
2401_88743143的博客
05-10 803
Smarty的{if}条件判断和PHP的if 非常相似,只是增加了一些特性。每个{if}必须有一个配对的{/if}. 也可以使用{else} 和 {elseif}. 全部的PHP条件表达式和函数都可以在if内使用,如。如果config,self不能使用,要获取配置信息,就必须从它的上部全局变量(访问配置current_app等)。pop() 函数用于移除列表中的一个元素(默认最后一个元素),并且返回该元素的值。flask SSTI的基本思路就是利用python中的魔术方法找到自己要用的函数。
upload-labs通关笔记-第5关 文件上传之.ini绕过
最新发布
mooyuan的网络安全博客
05-14 682
本文通过《upload-labs靶场通关笔记系列》来进行upload-labs靶场的渗透实战,本文讲解upload-labs靶场第四关文件.ini渗透实战。
《基于 Kubernetes 的 WordPress 高可用部署实践:从 MariaDB 到 Nginx 反向代理》
hnlucky的博客
05-12 1241
本实验通过 Kubernetes 容器编排平台,完整部署了一个高可用的 WordPress 网站架构,包含 MariaDB 数据库、WordPress 应用和 Nginx 反向代理三大核心组件。实验涵盖了从基础环境准备到最终服务暴露的全流程,展示了云原生技术栈在实际应用中的完整实现。
upload-labs靶场通关详解:第四关
CL1799438883的博客
05-10 758
也就是说,我们可以创建一个.htaccess文件,并写入SetHandler指令,将其上传到服务器保存上传文件的目录,然后上传修改成.jpg后缀的一句话木马。两个文件保存在同一目录下,.jpg就会被当作.php解析,这就是本关的通关思路。另外,.htaccess文件提供了针对每个目录改变配置的方法,即在一个特定的目录中放置一个包含指令的文件,其中的指令作用于此目录及其所有子目录。将.htaccess文件进行上传,其成功被保存在upload目录中,那么此目录中的所有文件将被当作php解析。
入侵检测SNORT系统部署过程记录
Yungoal的博客
05-14 311
入侵检测系统(IDS)是一种主动安全防护工具,通过收集和分析网络或系统中的关键信息,检测违反安全策略的行为和攻击迹象。IDS的核心组成部分包括检测器、分析器和用户接口,分别负责数据收集、分析和用户交互。IDS可分为基于网络(NIDS)和基于主机(HIDS)的系统,分别监控网络流量和主机日志。Snort是一种开源的轻量级网络入侵检测系统,支持多种平台,能够通过规则匹配检测多种入侵行为。Snort的架构包括数据包解析器、检测引擎和日志/报警子系统,采用模块化设计,易于扩展。
opcode
03-13
### Opcode in Programming or Assembly Language In programming and particularly within assembly language, opcode stands for operation code. An opcode specifies the operations to be performed by the computer's hardware when executing program instructions[^1]. For instance, each instruction in RISC-V assembly consists of an opcode that dictates what kind of action—such as arithmetic, logical, control flow—is required. The opcode is crucial because it directly interacts with the processor’s architecture. It tells the CPU exactly which task needs performing among all possible tasks defined by the instruction set specific to that type of processor. In practice, this means different processors may use distinct opcodes even if they perform similar functions due to variations in their design specifications[^4]. For example, setting a value like `0xDEADBEEF` involves using appropriate opcodes such as those used in load upper immediate (`lui`) and add immediate (`addi`). These commands ensure correct placement of binary data across multiple parts of the register according to how these particular opcodes operate on the given platform: ```assembly lui x10, 0xDEADC # Load Upper Immediate sets higher part of address. addi x10, x10, 0xEEF # Add Immediate adds lower portion completing full address. ``` Understanding opcodes allows developers to write more efficient low-level programs since direct manipulation through assembly provides finer control over system resources compared to higher-level abstractions found in modern languages[^3].
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值