免杀|webshell静态免杀的一些思路

webshell静态免杀的一些思路1.静态查杀绕过原理顾名思义静态查杀就是杀软会检查webshell文件的内容，提取的文件特征将与已知的恶意模式进行比对。这些恶意模式可以是已知的病毒特征、恶意软件代码片段等。比如正则表达式检测是否有危险函数这种。绕过的原理也很简单，就是让杀软的规则无法匹配到恶意代码。2.添加毫无意义的代码填充毫无意义的代码目的是在不改变代码本身功能的情况下修改代码的特征使得杀毒软件匹配特征规则失败。现在用冰蝎的jsp马举个例子，默认的webshell上传vt可以看到。vt：https://www.virustotal.com/gui/home/upload然后冰蝎的jsp代码也比较简短。比如原本的代码String k = "xxxxxxxx";// 可以修改成 因为String k = "";if (21174 k = "xxxxxx";}// 或者在前面添加毫无意义的代码float f = 314141.14f;if (1231241 > 12312){ f += 12314.11f;}String k = "xxxxxxxx"; ………………………………