声明:分析文章仅限用于学习和研究目的,不得将学习成果用于商业或者非法用途,否则,一切后果请用户自负.


PHPStudy 后门文件

php/ext目录下的php_xmlrpc.dll文件 。

upload successful

检测是否存在后门

记事本打开文件,查看是否存在如下所示的字符串,如果有说明存在后门,可升级官方最新版。

upload successful

IDA分析后门文件

根据字符串信息,快速定位关键函数

upload successful

upload successful

upload successful

根据判断请求头的Accept-Encoding是否为gzip,deflate进行判断Accept-Charset的值base64解密是否成功,如果成功就对它进行gzcompress压缩,然后执行@eval(gzuncompress(data));

相关检测脚本

github已经有大佬上传了,需要研究学习的朋友,可以自己搜索


声明:分析文章仅限用于学习和研究目的,不得将学习成果用于商业或者非法用途,否则,一切后果请用户自负.



学习研究      phpstudy后门

本博客所有文章除特别声明外,均采用 CC BY-SA 3.0协议 。转载请注明出处!