WebShell免杀方法及装置、存储介质、电子设备制造方法及图纸

本公开属于互联网技术领域，涉及一种WebShell免杀方法及装置、存储介质、电子设备。该方法包括：获取敏感关键字，并对敏感关键字进行变量名设置得到目标关键字；对目标关键字和敏感关键字进行加密处理得到加密关键字，并对加密关键字进行拼接处理得到WebShell文件；对WebShell文件进行查杀处理确定WebShell文件通过查杀处理。本公开实现了对敏感关键字的动态设置和使用，从变量名这一维度帮助WebShell文件绕过后续的查杀处理，对目标关键字和敏感关键字进行加密处理，帮助目标关键字和敏感关键字抹去关键字的特征，将查杀系统或查杀工具重点关注的敏感关键字隐藏，使得查杀系统或查杀工具无法根据关键字的特征来进行查杀处理，取得WebShell文件免查杀的效果，以实现进一步的深入渗透。实现进一步的深入渗透。实现进一步的深入渗透。

【技术实现步骤摘要】
WebShell免杀方法及装置、存储介质、电子设备


[0001]本公开涉及互联网
，尤其涉及一种WebShell免杀方法与WebShell免杀装置、计算机可读存储介质及电子设备。

技术介绍

[0002]黑客在入侵了一个网站之后，通常会在服务器上留下一些后门文件，然后使用浏览器访问这些后门文件，从而达到控制服务器的目的。而这些后门文件通常被称为网页后门(WebShell，也称为一句话木马)。对于传统的WebShell，各大杀毒软件、网站应用级入侵防御系统WAF(Web Application Firewall，网站应用级入侵防御系统)都严防紧盯，有效地降低了攻击方的进攻效率。
[0003]当前，对于WebShell的免杀方法主要有三种方式。一种是在拆分敏感关键字后，再进行拼接；另一种是利用注释符来进行混淆；再一种是利用base64(基于64个可打印字符来表示二进制数据)等进行编码方式绕过。这三种方法能在一定程度上降低WebShell检测风险级别，但是，依然存在着被WebShell查杀工具检测出来的风险，从而影响了进一步的深入渗透。而对于攻击方来说，一个稳定存活的WebShell起着非常重要的作用。
[0004]鉴于此，本领域亟需开发一种新的WebShell免杀方法及装置。
[0005]需要说明的是，在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

[0006]本公开的目的在于提供一种WebShell免杀方法、WebShell免杀装置、计算机可读存储介质及电子设备，进而至少在一定程度上克服由于相关技术的限制而导致的易被查杀和无法深入渗透的技术问题。
[0007]本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。
[0008]根据本专利技术实施例的第一个方面，提供一种WebShell免杀方法，所述方法包括：
[0009]获取敏感关键字，并对所述敏感关键字进行变量名设置得到目标关键字；
[0010]对所述目标关键字和所述敏感关键字进行加密处理得到加密关键字，并对所述加密关键字进行拼接处理得到WebShell文件；
[0011]对所述WebShell文件进行查杀处理确定所述WebShell文件通过所述查杀处理。
[0012]在本专利技术的一种示例性实施例中，所述敏感关键字，包括：eval和assert。
[0013]在本专利技术的一种示例性实施例中，所述对所述敏感关键字进行变量名设置得到目标关键字，包括：
[0014]在目标脚本语言中，利用变量定义符对所述敏感关键字进行变量名设置得到目标关键字。
[0015]在本专利技术的一种示例性实施例中，所述对所述加密关键字进行拼接处理得到
WebShell文件，包括：
[0016]在所述目标脚本语言中，利用分组符对所述加密关键字进行拼接处理得到WebShell文件。
[0017]在本专利技术的一种示例性实施例中，所述对所述目标关键字和所述敏感关键字进行加密处理得到加密关键字，包括：
[0018]利用加密算法对所述目标关键字和所述敏感关键字进行加密处理得到加密关键字。
[0019]在本专利技术的一种示例性实施例中，所述方法还包括：
[0020]执行与所述WebShell文件对应的命令。
[0021]在本专利技术的一种示例性实施例中，所述执行与所述WebShell文件对应的命令，包括：
[0022]确定与所述加密算法对应的解密算法，并获取与所述解密算法对应的密钥以及与所述WebShell文件对应的命令；
[0023]利用所述解密算法和所述密钥对所述加密关键字进行解密处理得到所述目标关键字和所述敏感关键字，并根据所述目标关键字和所述敏感关键字执行所述命令。
[0024]根据本专利技术实施例的第二个方面，提供一种WebShell免杀装置，包括：
[0025]变量设置模块，被配置为获取敏感关键字，并对所述敏感关键字进行变量名设置得到目标关键字；
[0026]加密处理模块，被配置为对所述目标关键字和所述敏感关键字进行加密处理得到加密关键字，并对所述加密关键字进行拼接处理得到WebShell文件；
[0027]查杀通过模块，被配置为对所述WebShell文件进行查杀处理确定所述WebShell文件通过所述查杀处理。
[0028]根据本专利技术实施例的第三个方面，提供一种电子设备，包括：处理器和存储器；其中，存储器上存储有计算机可读指令，所述计算机可读指令被所述处理器执行时实现上述任意示例性实施例中的WebShell免杀方法。
[0029]根据本专利技术实施例的第四个方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任意示例性实施例中的WebShell免杀方法。
[0030]由上述技术方案可知，本公开示例性实施例中的WebShell免杀方法、WebShell免杀装置、计算机存储介质及电子设备至少具备以下优点和积极效果：
[0031]在本公开的示例性实施例提供的方法及装置中，通过对敏感关键字进行变量名设置得到目标关键字，实现了对敏感关键字的动态设置和使用，从变量名这一维度帮助WebShell文件绕过后续的查杀处理。更进一步的，对目标关键字和敏感关键字进行加密处理，帮助目标关键字和敏感关键字抹去关键字的特征，将查杀系统或查杀工具重点关注的敏感关键字隐藏，使得查杀系统或查杀工具无法根据关键字的特征来进行查杀处理，取得WebShell文件免查杀的效果，以实现进一步的深入渗透。并且，与普通WebShell文件相比，大大减少了编解码函数等可疑函数的使用，也更加贴近正常语法的编写习惯，加大了WebShell文件免杀的效果。
[0032]应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不
能限制本公开。
附图说明
[0033]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0034]图1示意性示出本公开示例性实施例中一种WebShell免杀方法的流程示意图；
[0035]图2示意性示出本公开示例性实施例中执行与WebShell文件对应的命令的方法的流程示意图；
[0036]图3示意性示出相关技术中WebShell文件被查杀的方法的流程示意图；
[0037]图4示意性示出本公开示例性实施例中应用场景下WebShell免杀的方法的流程示意图；
[0038]图5示意性示出本公开示例性实施例中一种WebShell免杀装置的结构示意图；
[0039]图6示意性示出本公开示例性实施例中一种本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种WebShell免杀方法，其特征在于，所述方法包括：获取敏感关键字，并对所述敏感关键字进行变量名设置得到目标关键字；对所述目标关键字和所述敏感关键字进行加密处理得到加密关键字，并对所述加密关键字进行拼接处理得到WebShell文件；对所述WebShell文件进行查杀处理确定所述WebShell文件通过所述查杀处理。2.根据权利要求1所述的WebShell免杀方法，其特征在于，所述敏感关键字，包括：eval和assert。3.根据权利要求1所述的WebShell免杀方法，其特征在于，所述对所述敏感关键字进行变量名设置得到目标关键字，包括：在目标脚本语言中，利用变量定义符对所述敏感关键字进行变量名设置得到目标关键字。4.根据权利要求3所述的WebShell免杀方法，其特征在于，所述对所述加密关键字进行拼接处理得到WebShell文件，包括：在所述目标脚本语言中，利用分组符对所述加密关键字进行拼接处理得到WebShell文件。5.根据权利要求1所述的WebShell免杀方法，其特征在于，所述对所述目标关键字和所述敏感关键字进行加密处理得到加密关键字，包括：利用加密算法对所述目标关键字和所述敏感关键字进行加密处理得到加密关键字。6.根据权利要求5所述的WebShell免杀方法，其特征在于，所述方法还包括：执行与所述WebShell文件对应的命令。7...

【专利技术属性】
技术研发人员：许承祖，王帅，邓晓东，余航，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：