Webshell是一种网络攻击技术,在未经授权的情况下,通过上传一些脚本或者代码到受害者的服务器上,从而获取服务器的权限以进行远程控制。而如何免杀则是攻击者常常面临的难题之一。
首先,需要了解Webshell是如何被杀毒软件检测的。杀毒软件通常会通过特征码(signature)来识别恶意代码,因此如果Webshell的特征码被杀毒软件识别出来,就会被直接阻挡。因此,要想Webshell免杀,就必须避免让其代码的特征码被杀毒软件所掌握。
一些Webshell的免杀技巧包括:
1. 代码混淆
通过将代码中的变量名、函数名等进行重命名,可以有效让杀毒软件难以识别恶意代码的特征码。这种方法需要攻击者有一定的编程能力,且要防止人工混淆错误,造成不必要的麻烦。
2. 木马加载器
使用加密的载入器,将Webshell代码分段加密存储,并在运行时动态解密,可以有效地绕过杀毒软件的检测。同时,由于Webshell的代码被分段存储,不易让普通用户发现,更难被杀毒软件发现。
3. 使用另类语言
使用少见或者不常用的编程语言,比如Brainfuck、Piet等,可以有效绕过杀毒软件的检测。因为这些语言不常被使用,杀毒软件也很少会针对它们进行检测。
4. 隐藏Webshell
将Webshell隐藏在常见文件类型中(比如图片、视频等),同时在服务器上设置相关的伪装和转发规则,可以让Webshell不易被杀毒软件所察觉。然而,这种方法需要攻击者对服务器的文件管理和配置有一定的了解,且风险较高。
最后,在使用Webshell时,要避免使用公开的Webshell程序,最好是自己编写一个Webshell。同时,在上传Webshell时,应该选择具有一定安全性的上传方式,并尽量避免在服务器上预留可供攻击者利用的漏洞。
总之,在Webshell免杀方面,攻击者需要对杀毒软件的检测机制有一定的了解,同时要具备一定的编程能力和技巧,才能在攻击中获得成功。而IT运维人员则应当始终保持警惕,不断学习和了解Webshell的攻击方式,及时发现和采取措施,保护服务器的安全。
