Lucky小小吴的小屋

介绍Opcode的提取方法，并探讨多种机器学习算法在Webshell检测中的应用，理解如何在实际项目中应用Opcode进行高效的Webshell检测。

本文介绍了木马查杀引擎的研究进展，并通过流程图展示了关键实现步骤。首先，PHP AST通道的实现流程展示了如何通过抽象语法树（AST）进行代码分析。其次，木马查杀的调用逻辑图详细描述了检测和处理的步骤。最后，模型训练流程图展示了如何通过数据收集、特征提取和模型训练来优化查杀效果。这些流程图为木马查杀引擎的开发和优化提供了清晰的指导。

本文围绕木马查杀领域的关键技术展开，先介绍了抽象语法树（AST）的定义，它以树状结构抽象表示源代码语法。接着阐述了 AST 分析过程，包括将源代码字符串拆分为词法单元的词法分析，以及依据语法规则构建 AST 的语法分析。随后讲解了污点追踪技术，它用于跟踪程序中数据传播，尤其是来自不可信源或关键数据，其实现方式分为在源代码或字节码级别分析的静态污点追踪，和程序运行时实时监测的动态污点追踪。

>  本篇为webshell检测的第三篇，主要讲的是基于黑白样本的webshell预测，从样本收集、特征提取、模型训练，最后模型评估这四步，实现一个简单的黑白样本预测模型。>  若有误之处，望大佬们指出

静态检测常见的就是两种，分别为正则匹配、文件md5匹配## Ⅰ 正则表达式  其中正则匹配时最为常见的，需要有大量的正则匹配作为检测数据，这一过程可以作为第一个进行webshell检测。下面是一个基础的正则表达式的检测方式

属于木马其中一种类型，主要是攻击者通过web端，上传一些恶意代码文件，尝试获取服务器信息和权限的文件，一般的，利用能够执行系统命令、加载代码的函数，或者组合一些普通函数，完成一些高级间谍功能的网站后门的脚本，叫做 Webshell 大致分一句话木马、小马（通常比较简单）、大马（代码量大，可以更好获取服务器信息，但易被发现）