PHP大马免杀

0x00 介绍

前篇文章我与某狗的恩恩怨怨也介绍了一种,免杀大马的姿势,今天再介绍一种,思路来源T00ls论坛。

0x01 源码

还是一样大马源码一份,然后base64加密。
直接上代码了。

本地测试过狗D盾,当然这是静态免杀。
感觉你们会觉得我不上图,不信我,那就自己动手手试试= =。

0x02 思路

可以看到首先base64加密,然后就像编写一句话一样,去执行我们的代码,也就是base64加密的的,思路还是可以扩展很多的,但是会waf拦截某些函数执行,就换份大马源码,但是这种方法过狗足够了。

0x03 成品

上传到GitHub了 下载地址
另外这个大马是国外的,用不习惯的自行加密更换

补图:(1.php是大马)
bypass.jpg