一句话木马绕过检测的常见思路

0x0 背景

一句话木马短小精悍，而且功能强大，隐蔽性非常好，在入侵中始终扮演着强大的作用，居家生活搞站越货必备神器。主要总结一下常见的绕过安全检测的思路，欢迎各位大佬参与讨论。

0x1 关键函数编码

主要通过一些字符串对关键的几个函数比如eval、assert等函数进行变换绕过检测

如下代码使用\x65编码字符串’e’,使用array类型进行混淆：

    //1.php

     //2.php

 //3.php

 // 4.php

0x2 base64编码绕过

使用base64解码assert函数

 //5.php

多次使用base64解码一句话内容、能绕过部分安全工具检测：

 //6.php

0x3 字符编码绕过

使用是一些字符编码的方式进行绕过关键字的匹配行为，举例如下：

 //7.php

0x4 注释混淆

使用注释对字符串的拼接进行干扰

     //8.php

0x5 多字符串拼接

      //9.php

0x6 工具查杀

这里使用流行的安全工具进行查杀做一个简单的对比