PHP 恶意程序简单分析

PHP 恶意程序样本 之前虽然多少了解过一些关于信息安全、网络安全方面的知识，但是 Web 方面的恶意程序没有关心过，倒是二进制的恶意程序多少了解过一些。但是这次也算是有幸遇到了这么一个脱离书本的货真价实的 Web 恶意程序。 大体看一下这个恶意程序的长相，大体代码如下：

$password = "v587";
error_reporting(E_ERROR);
header("content-Type: text/html; charset=gb2312");
set_time_limit(0);
$str = "66756r6374696s6r20526s6";
$dir = pack("H*",str_rot13($str));
eval($dir);

代码中的 $str 变量的值我没有给全，我测试了一下，还是可以运行的，不过在运行时我把最后一行的 eval 修改为 print，在命令行下运行，运行结果如下：

function Ro`

可以看到，输出了一串字符。对于多少了解些 PHP 的应该能想到，在 $str 变量中保存的本身就是被编码过的代码，而使用 pack 和 str_rot13 则可以还原为原来的 PHP 代码，并通过 eval 函数执行原来的 PHP 代码。 简单分析         这个 Web 恶意程序本身 $str 变量中保存的内容特别的多，其实它是一个功能很强大的 Web 恶意程序。为什么需要编码呢？咱们一步一步的说。         想要查看编码后的代码，需要把 eval 函数修改为 print 函数。但是，直接修改 eval 函数为 print 函数来查看编码前的代码是很不方便的，因为会滚屏。那么，我把 eval 函数换成了 file_put_contents 函数，也就是把解码后的代码直接写入到文件中。这样查看就会很方便了。         当我将 eval 函数修改为 file_put_contents 函数后，在命令行下运行这个 PHP 恶意程序，在生成文件的时候，我系统的杀毒软件给出了警告，并且生成的文件消失了。也就是说生成的文件被杀毒软件查杀掉了。         到这里，Web 恶意程序编码的第一个原因已经了解了，也就是说这个 Web 恶意程序如果不编码是会被杀毒软件查杀的，而进行编码后，就躲避了杀毒软件的查杀，因为文件被加载的时候，Web 恶意代码没有被还原，所以绕过了杀毒软件的查杀，而解码后通过 eval 函数直接运行是不会生成文件的，那么相当于直接在内存中执行了。         那么，第二个原因呢？其实第二个原因我觉得就比较简单了。迷惑管理员，当管理员看到 $str 变量中有这么一堆数字时可能是没有心情去研究这是干什么的。其实拿到这样的代码时，很多 PHP 程序员也不一定愿意去研究的，毕竟程序员的主要工作是完成需求相关的代码，而不是研究一个对自己用处不是特别大的代码。 把代码进行编码         既然是分析，那么就要研究一下他是如何把 PHP 代码编码为 $str 变量中那样的字符串的。这个我也研究过了，但是就不想发在这里了。如果感兴趣的话，关注我的公众号，并回复 codephp 关键字来进行获取吧。