PHPMalwareFinder是一款针对主机安全和PHP安全的强大检测工具,在该工具的帮助下,广大研究人员可以轻松检测其主机或服务器中可能存在的潜在恶意PHP文件。
PHPMalwareFinder本质上就是一款恶意软件检测工具,它将尽其所能地去检测那些经过代码模糊/混淆处理的恶意代码,以及潜在恶意PHP文件中所使用的各种PHP功能函数。
功能介绍PHPMalwareFinder支持检测跟下列编码器、代码混淆工具和Webshell相关的恶意PHP文件:
Bantam
BestPHPObfuscator
Carbylamine
CipherDesign
Cyklodev
JoesWebToolsObfuscator
P.A.S
PHPJiami
PhpObfuscatorEncode
SpinObf
Weevely3
atomiku
cobraobfuscator
nano
novahot
phpencode
tennc
web-malware-collection
webtoolsvn
当然了,绕过PHPMalwareFinder的检测其实也并不负责,但PHPMalwareFinder的主要目的就是帮助我们检测一些比较明显和常见的恶意文件。
工具运行机制整个检测过程是通过对目标主机或服务器的文件系统进行数据爬取来实现的,并根据一组YARA规则测试文件来执行恶意文件的检测。没错,就是这么简单!
PHPMalwareFinder没有使用基于哈希的方法,但它会尽可能多地使用语义模式,检测诸如“一个_GET变量被解码两次,解压,然后传递给某个危险的系统函数”这样的场景。
工具安装首先,我们需要安装好Yara。我们可以通过Linux包管理器来完成安装:
Debian:
sudoapt-getinstallyara
RedHat(需要EPEL库):
yuminstallyara
除此之外,我们还可以使用下列命令从源码编译Yara:
gitclonegit
github.