微慑信息网

phpstudy后门文件分析以及检测脚本

2019.9.20得知非官网的一些下载站中的phpstudy版本存在后门文件,基于研究的目的,于是有了以下这文。

从某些下载站随便下载一些phpstudy,在虚拟机中解压,着重看PHPTutorial/php文件夹下各个dll文件,自己分析不同版本的dll文件,发现在5.4左右版本的php_xmlrpc.dll存在问题。

逆向分析

在天河师傅的协助下,使用IDA Pro x86对php_xmlrpc.dll进行逆向分析。dll中存在对本地计算机信息进行收集的代码。并且在字符串中可以很清楚的看到@eval字样。

phpstudy后门文件分析以及检测脚本

phpstudy后门文件分析以及检测脚本

这里拼接了一个 @eval(gzuncompress(‘%s’));的代码 ,明显是调用gzuncompress方法解密执行某些代码,没解密前的代码来自asc_1000D028 到unk_1000D66C这个部分,拼接好的字符串放在v42处

phpstudy后门文件分析以及检测脚本

zend_eval_string处执行v42处执行的代码,我们把数据提取出来,并进行处理,并且经过php的gzuncompress解码,得到以下

 

在从1000D66C到1000E5C4之间还有一段数据,继续处理后得到以下

 

分析到此就可以结束。这个后门估计早就已经失效了。

检测脚本

以下是我编写的pcheck.sh文件,运行后可以递归检测当前目录下所有dll文件中是否包含木马文件的特征值。

 

由于考虑到是windows版本,我再编写了个pcheck.py文件,代码模拟了strings和grep命令。

结束语

大家下载程序的时候,最好是从官网上下载。如果遇到不明文件,要么不运行,要么先在虚拟机上运行。增强网络安全意识,为网络安全出一份力量。


原文始发于微信公众号(ChaMd5安全团队):phpstudy后门文件分析以及检测脚本

拓展阅读(点评/知识):

检测测试:

解措施

phpStudy启动时默认加载php-5.4.45版本的PHP,该版本存在后门,可以从PHP官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll,下载地址:

https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip

https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip

本文标题:phpstudy后门文件分析以及检测脚本
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2019/0921_8849.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » phpstudy后门文件分析以及检测脚本
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们