本文介绍了如何使用ZendGuard加密PHP文件,尤其是Webshell,以避开通过grep等文本检查方式的查杀。ZendGuard能将PHP源码转换为字节码,提高运行效率,而加密后的代码对管理员来说变得难以理解,从而达到隐藏Webshell的目的。
现在很多linux管理员都会一招,grep eval 大法,查找那些年错过的webshell,那些年错过的基友们苦思冥想出了对抗的办法。
ZendGuard是一款php的加密工具,它可以编译php源码变为字节码,类似于java的虚拟机的字节码,然后让zend虚拟机运行字节码,以此来提高php的运行速度,因为不用虚拟机,php运行脚本的方式是读一行代码,运行一行,效率很低,而虚拟机则效率高多了,题外话,最新的php 5.5版本,zend虚拟机增加了一个cache功能,将编译好的字节码储存到缓存中,每一段时间判断php文件是否变化,没有变化的话,就直接从缓存中抽取字节码,大大提高了效率。
而php的zend虚拟机大行其道的如今,我们可以利用大家都使用zend增强效率的大环境下,我们编译一个php webshell的zend版本,来躲过管理员的grep。
安装完毕以后,找到bin目录下zendenc.exe 就是我们的主角了。别忘记搞上破解版。
使用方法,先找一个你要加密的php文件,比如iii.php。
然后在命令行里面输入:
zendenc iii.php 33.php
第二个参数是你的要加密的php文件,第三个参数是输出文件的名字. 附件里面有个最简单的webshell可加密以后的文件。
我们来看一下对比:
iii.php 加密前的源码
<?php
eval($_POST['pass']);
?>
输出后的33.php
完全都是看不懂的字节码
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
