网上很多地方都能下载到这些木马程序但是大部门大马都会自带有后门也就是当你上传木马到别人的服务器上的时候访问次数也就是当你上传木马到别人的服务器上的时候该大马的制作者同样会通过后门获得服务器的权限。今天就来分析一波该大马中的后门。
1. 打开下载的php大马可以看出该大马是经过加密了的。
2. 解密一下如下图步骤
3. 解密出来的代码代码太长就不全部贴出来了。
可以看到框框的内容应该就是木马中的后门地址了但是也是经过加密的。猜测应该是从远程服务器访问到这个代码。
4. 继续解密框框中的加密代码先解密第一段中的URL。
解密出来的结果如下图
再继续解密第二段
解密出来的结果如下图这是个混淆先不管网站访客数先不管访问下第一个解密出来的链接。
5. 访问是张gif图片看不出什么内容。
把它下载下来再打开。头疼又是一大段加密内容。
6. 这里只能用解密的脚本来解密。
解密过后的代码如下图。可以看到在图中标注的框框出应该就是制作者定义的变量postpass指向某个链接了。
api接口代码
再继续解密这个api接口地址。
解密结果如下图
该地址访问不了做了限制应该就是制作者的箱子地址了。
7. 从代码分析来看