如何使用PHP Malware Finder检测主机中潜在的恶意PHP文件

admin
admin
admin
138329
文章
113
评论
2022年2月27日19:13:52评论90 views字数 1981阅读6分36秒阅读模式

如何使用PHP Malware Finder检测主机中潜在的恶意PHP文件

 关于PHP Malware Finder 

PHP Malware Finder是一款针对主机安全和PHP安全的强大检测工具,在该工具的帮助下,广大研究人员可以轻松检测其主机或服务器中可能存在的潜在恶意PHP文件。

PHP Malware Finder本质上就是一款恶意软件检测工具,它将尽其所能地去检测那些经过代码模糊/混淆处理的恶意代码,以及潜在恶意PHP文件中所使用的各种PHP功能函数。

 功能介绍 

PHP Malware Finder支持检测跟下列编码器、代码混淆工具和Webshell相关的恶意PHP文件:

Bantam

Best PHP Obfuscator

Carbylamine

Cipher Design

Cyklodev

Joes Web Tools Obfuscator

P.A.S

PHP Jiami

Php Obfuscator Encode

SpinObf

Weevely3

atomiku

cobra obfuscator

nano

novahot

phpencode

tennc

web-malware-collection

webtoolsvn

当然了,绕过PHP Malware Finder的检测其实也并不负责,但PHP Malware Finder的主要目的就是帮助我们检测一些比较明显和常见的恶意文件。

 工具运行机制 

整个检测过程是通过对目标主机或服务器的文件系统进行数据爬取来实现的,并根据一组YARA规则测试文件来执行恶意文件的检测。没错,就是这么简单!

PHP Malware Finder没有使用基于哈希的方法,但它会尽可能多地使用语义模式,检测诸如“一个$_GET变量被解码两次,解压,然后传递给某个危险的系统函数”这样的场景。

 工具安装 

首先,我们需要安装好Yara。我们可以通过Linux包管理器来完成安装:

Debian:

sudo apt-get install yara




Red Hat(需要EPEL库):


yum install yara




除此之外,我们还可以使用下列命令从源码编译Yara:


git clone [email protected]:VirusTotal/yara.git
cd yara/
YACC=bison ./configure
make




接下来,我们就可以通过下列命令将该项目源码克隆至本地,并进行安装和配置:


git clone https://github.com/jvoisin/php-malware-finder.git




 工具使用 


查看工具帮助信息:


$ ./phpmalwarefinder -h
Usage phpmalwarefinder [-cfhtvl] <file|folder> ...
    -c  Optional path to a rule file
    -f  Fast mode
    -h  Show this help message
    -t  Specify the number of threads to use (8 by default)
-v  Verbose mode




或者,我们也可以通过Yara来使用:


$ yara -r ./php.yar /var/www




请注意,我们说使用的Yara版本必须为Yara v3.4或更高版本,因为我们会在白名单系统中使用到某些组件(比如说哈希)。如果你想通过源码构建Yara的话,还必须要在系统上安装好libssl-dev以便支持哈希。


顺带提一句,我们还可以用“make tests”来对工具进行综合测试。


 白名单系统 


具体的白名单信息可以参见whitelist.yar文件,如果你懒得看的话,可以直接使用generate_whitelist.py脚本来为整个目录生成白名单。


许可证协议


本项目的开发与发布遵循General Public License v3开源许可证协议。


项目地址


https://github.com/jvoisin/php-malware-finder


参考资料


https://yara.readthedocs.io/en/stable/gettingstarted.html#compiling-and-installing-yara


https://fedoraproject.org/wiki/EPEL


https://yara.readthedocs.org/en/latest/modules/hash.html


https://github.com/jvoisin/php-malware-finder/blob/master/php-malware-finder/whitelist.yar


https://github.com/jvoisin/php-malware-finder/blob/master/php-malware-finder/utils/generate_whitelist.py










如何使用PHP Malware Finder检测主机中潜在的恶意PHP文件





























精彩推荐































如何使用PHP Malware Finder检测主机中潜在的恶意PHP文件
























如何使用PHP Malware Finder检测主机中潜在的恶意PHP文件



如何使用PHP Malware Finder检测主机中潜在的恶意PHP文件



如何使用PHP Malware Finder检测主机中潜在的恶意PHP文件



如何使用PHP Malware Finder检测主机中潜在的恶意PHP文件









原文始发于微信公众号(FreeBuf):如何使用PHP Malware Finder检测主机中潜在的恶意PHP文件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月27日19:13:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何使用PHP Malware Finder检测主机中潜在的恶意PHP文件https://cn-sec.com/archives/805802.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息