叶语知安

摘要： 目前webshell检测方式还是以检测特征为主，像JSP木马中常见的Runtime、ProcessBuilder、readObject、invoke、defineClass、ClassLoader等，基本上杀软直接就给杀掉了。从这里可以看出，JSP木马主要就是以反射、类加载器、反序列化这几个特征为主。 最简单的绕过方式就是避免在代码中直接出现以上特征代码，为了避免直接出现特征代码就得将恶意代码单独写成一个类，然后通过类加载器加载字节码来调用恶意代码。 阅读全文

摘要： 为了避免直接出现特征代码就得将恶意代码单独写成一个类，然后通过类加载器加载字节码来调用恶意代码。但是目前webshell检测基本只要出现类加载器就判断为高危或者恶意文件，所以需要将加载器与上传的JSP分离，并且JSP文件内容越多，越容易被检测出来。同时为了增加代码分析难度，就需要对代码进行深层的混淆和嵌套，并且尽可能增加获取到如连接密码、密钥等重要信息的难度。 阅读全文