后门木马混淆和后门反检测技术

  • A+
所属分类:网络安全文章
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz

后门是一种绕过认证或系统加密的方法。攻击者出于各种目的有时候会构建自己的后门,比如攻击者为了恢复设备厂商的默认密码。另一方面,攻击者会注入后门到有漏洞的服务器来接管服务器,执行攻击和上传恶意payload。一般,攻击者会注入后门来获取代码执行或上传文件的权限。

本文讲述攻击者注入后门和避免检测的方法,并举例说明数据中发现的后门以及如何使用不同的避免检测和混淆的技术。

后门的类型

后门有许多类型,也由不同编程语音编写的。比如,PHP语言编写的后门可以运行在PHP服务器上,用ASP编写的后门可以运行在.NET服务器上。

后门的作用也是不同的,比如webshell可以用来在受感染的系统上执行后门,以使攻击者上传和执行文件。Github上有很多开源的后门,黑客可以选择注入一些知名的后门,但缺点是容易被检测到。一些高级黑客会自己开发后门或者对知名的后门使用混淆技术后再使用。

常见安全控制措施

安全控制措施会使用不同的方法来拦截后门。其他之一就是通过HTTP请求拦截注入的后门,另一种方法是在HTTP响应阶段分析后门的内容,确定是否含有恶意代码。

攻击者在代码注入时会隐藏其真实意图,经常使用的避免被检测的技术有混淆函数和参数名,对恶意代码进行编码等。

PHP避免检测技术

避免检测的动机就是隐藏函数或PHP关键字,这些函数名和关键字包括:

后门木马混淆和后门反检测技术

CE安全网

发表评论

您必须登录才能发表评论!