可疑样本是什么意思(简单讨论脚本木马查杀原理)

脚本木马查杀原理的简单探讨

本文提供的信息传播和使用造成的任何直接或间接后果和损失，由用户本人负责，叶志安和作者不承担任何责任。

本文主要从防御和技术研究的角度出发，网站又被挂了？为什么我不知道！数据库怎么脱了！什么时候？

脚本语言是什么？可疑样本是什么意思？

我们互联网上的超文本标记语言出现后，就出现了Web服务器设计的脚本语言。现在很常见：可疑样本是什么意思？

php、asp、aspx……

我们可以用一张图片来表示脚本解释器和脚本语言之间的关系：可疑样本是什么意思？

脚本解释器处理后，我们最终得到的结果是leafsec。如果脚本是数学表达式或其他代码，它也将由脚本解释器操作，最终给出结果。这里的脚本解释器相当于一个计算器，你是一个小会计（服务器），老板（用户）问你100 200等于多少，然后组织语言（脚本语言处理的结果，通常是HTML)告诉老板。

我们经常遇到这样的脚本木马：

那么它的运行过程是什么呢？

当脚本解释器遇到需要再次调用脚本解释器的指令时，就会再次调用。一般来说，如果脚本类似eval这种表达式将再次调用脚本解释器来处理表达式传输的参数。

如果我们将参数指向用户的可控范围，损失是不可估量的。这可能会构建任何代码执行的漏洞。

下面分析一下解释器：

为了便于理解，我们将解释器分为两部分：

动态解释器负责从用户输入的内容中读取代码进行解释和操作。

例如PHP用户可控变量：$_COOKIE、$_POST、$_GET……

静态解释器负责从服务器上读取脚本文件进行解释，如果需要调用动态脚本解释器。例如遇到：assert、eval等关键字。

很多产品的脚本木马查杀技术都很相似，基本上是从两个地方查杀。

1.网络请求内容

假设1.php是脚本木马，我们输入的字符将作为脚本执行。如果请求参数值中有一些危险函数或关键字，将被保护产品拦截并检查文件。

在网络这块我们可以采用编码、加密传输指令。这样就不会被防护软件检测到。

直接加密代码：

2.文件内容

上面给出了一个免杀文件的代码，可以看出我们拼接了一个字符串，然后调用了它assert这个函数，传输可控变量，构建后门。

这里的“cGhwaW5mbygpOw==”是“phpinfo();”的base64编码结果。

这样，我们的木马就可以逃避网络请求的内容匹配。

说到文件内容的查杀，一般采用正则表达式，效率高，效果好。但是，当遇到精彩的文件或无法匹配的对象时，查杀软件会将查杀目标视为正常文件。

当目标中有可疑内容或关键字时，将进行报警、隔离等操作。

我们来分析一下查杀软件与免杀的关系:

这里的安全区域是指我们通常正常运行的项目或代码，基本的检查和杀死软件可以检查和杀死，但可执行的代码区域比安全区域大得多，这意味着没有绝对的安全，攻击和防御是相对的。早期的这些产品是不可预测的，不会主动收集攻击行为和可疑样本。

上述情况也衍生出上述情况BypassCode，恶意代码可以在安全区以外和正常区域内运行bypass的。

贴三四个看：

上面0x02情况无非是脚本安全领域安全产品的痛点，无法预测未来情况。

看下面的代码，也能体现出一个痛点:

这是不是很像远程文件读取？

如果不能使用远程文件，我们可以用这种方法来取巧。

好像……将读取的内容作为函数运行？

以及我们以前经常使用的东西include姿势差不多，但是这个方法很厉害。为什么这么说？

目前，大多数检查和杀戮产品或防护产品无法读取解释器的缓冲区（我目前接触的没有一个），这导致文件在读取后被放置在服务器内存中。如果防护产品能做到这一点，那确实是一个亮点，但在制作后，我们也应该考虑服务器资源的成本。

用户可控的范围可以指向函数的空间，并可以传输任何参数。此外，添加几层编码几乎可以绕过N多产品了！

改版玩玩：

让我们看看服务器上的配置：

这个远程地址也可以是网站的内部地址，也可以是绝对路径。但必须允许在配置文件中读取远程文件。

可以看到phpstudy默认配置允许远程文件读取。它的设置对应于我们常用的函数file_get_contents、fopen...

说了这么多，我们可以做一个总结了，目前的脚本可变性太高了，查杀软件无法预测将来的版本，同样的也不能给出解决方案。

"越灵活越不安全"，网站被黑了，不能让防护软件的开发商背锅。程序员真的应该背锅。……在这我不是黑程序员哈，其实我也是程序员，我写的代码有时候都可能有疏忽，所以一个好的编码习惯很重要，如果不是代码层面的问题，那么就是运维的锅了，哈哈。运维哥哥看完文章别打我，其实我也是运维。

防护建议：提高开发人员对安全的重视程度，制定编码规范，统一全局防护。

至于安全从业者，如果他们想从这篇文章中学习姿势，我不会总结，因为我国的网络安全法即将实施，我们的沟通技术必须从防御的角度进行沟通是好人。

文末，代表一叶知安团队祝大家端午节快乐！(饿死，去吃饭。

想了解漏洞平台就进去。

2017/05/28写作。找出67063466个原创可疑样本是什么意思设计图片，包括图片、材料、海报、证书背景、源文件等。PSD、PNG、JPG、AI、CDR等格式素材！