任何一个检测引擎的大部分检测手段，都是已知的，就算有创新，那毕竟是很少的一部分，因此首要的入手点是熟悉已知的主流检测方案，对已知的检测方案至少有一个原理性的了解。在之前的《Webshell检测能力进化笔记》 一文中，简要概括了主流的检测手段及缺陷：

1.基于正则文本特征检测

初期对付webshell基本上都是这种方案，根据已知webshell使用的函数和参数，使用正则表达式制定相应的黑规则。

但是正则文法表达能力不足，加上webshell语法灵活，很容易通过混淆绕过这种方式。

2.基于统计特征的文本检测

之后为了对付混淆，人们把视野放到了统计学上，通过统计文本熵，字符串长度，特殊符号个数，重合指数，压缩比等信息制定告警阈值，在对付混淆上有一定的威力。之后随着机器学习的兴起，阈值设置就交给了算法。

但是这种方式着眼于全局，无法顾及局部细节，将混淆的恶意代码插入到正常文件中，基本上就失效了。

3.基于AST的语法特征检测

为了弥补统计特征的不足，进一步深化，进行语法检测，关注于每个函数和参数，这种方式精确，误报较少。但是对于PHP这种动态特性很多的语言，检测就比较吃力，AST是无法了解语义的。

4.动/静态符号执行

其实本质上是数据流分析， 如果用户可控的外部变量进入特殊的函数，那么我们就可以判定这个样本的危险系数很高。举例：

1. <?php

2. $func = $_REQUEST[i];

3. $arr = array('test'=>1,$_REQUEST[j]=>2);

4. uasort($arr,$func);

对数据流进行跟踪分析的话，就会得出如下有向图，这种检测方法覆盖率高，误报少。

数据流分析分为静态和动态两种，静态分析通过语法树遍历的方式，对数据流进行跟踪，如果做的好的话，可以对混淆的变量和函数进行还原。动态分析不用做变量还原，但难度更高，不过基本原理是一致的。

5.机器学习/深度学习 

这个不是很主流，也算一种辅助手段，特征主要来源于opcode序列和文本分词，遇到问题和2类似。

6.沙箱

沙箱在这方面检测就比较鸡肋了，输入参数未知，沙箱是很难发现威胁的，只是作为一个补充。

这几种检测方案都属于离线检测方式，除了他们自身解决方案的缺陷外，还有一个本质的缺陷就是信息不完备，我们给webshell传参，它是无法得知的。正是因为这个原因，以上检测方案的效果，从原理上是弱于RASP的。（RASP的性能如果做的很高就好了，就不需要其他的了）

三.“敌人”

在了解主流的检测方案后，并不急于设计免杀webshell绕过引擎，你需要了解你的对手，这个时候需要进入探测阶段，是非常重要的一环。我一般从五个方面着手，包括覆盖率，误报率，容忍度，验证已知手段，猜测未知手段。

覆盖率，误报率，容忍度

我一般会准备一些常见的webshell，但是种类必须不同，测试一下引擎的覆盖率。

接着制造一些有敏感函数，但是无恶意功能的样本，测试一下引擎的误报率。例如：

1. eval("echo 2323;")

最后，找一些正常样本，然后不断添加敏感函数和参数，测试一下引擎的容忍度。

验证已知手段

已知手段主要分为两大类，静态和动态，每种方式又包含很多小类，如何验证具体手段属于静态或者动态中的哪一个？

选择一个普通的webshell,不要一直换，然后对这个webshell的函数名，参数名进行逐步隐藏，一一验证已知的手段。

1. <?php echo shell_exec($_GET[‘cmd‘]);?>

猜测未知手段

既然是猜测，那就看造化了，还是建议不要一直换webshell，只会让你混乱，而是逐步变形，有创新手法也不会离开静态和动态的圈子。

四.“磨刀”

通过上面的手段，对引擎有了个基本的了解，下面要积累自己的力量，磨刀霍霍了。

公开免杀方法

这时候要去涨涨经验了，看看其他人是如何绕过各种检测引擎的，他们对付的是哪种检测手段，需要大家自己总结。我给大家准备了一下资料，足够大家学习一波了。

https://xz.aliyun.com/t/7151 https://xz.aliyun.com/t/3959 https://klionsec.github.io/2017/10/11/bypasswaf-for-webshell/ https://blkstone.github.io/2016/07/21/php-webshell/ https://www.cnblogs.com/littlehann/p/3522990.html

只是看文章还是不够，去github上找一下大家贡献的webshell，看看他们的免杀有什么可取之处。 

php手册

php手册是最权威的php资料，中文版网址：https://www.php.net/manual/zh/。

php的语法灵活，内置函数丰富，大家通过php手册可以随时查询自己想要的功能。

练手

1、http://www.d99net.net/down/WebShellKill_V2.0.9.zip

2、百度WEBDIR+

https://scanner.baidu.com/ 

3、河马

https://www.shellpub.com/ 

4、Web Shell Detector

https://github.com/emposha/PHP-Shell-Detector

5、CloudWalker（牧云）

https://webshellchop.chaitin.cn/

https://github.com/chaitin/cloudwalker

6、深度学习模型检测PHP Webshell

http://webshell.cdxy.me/

五.精准打击

对引擎也熟悉了，对免杀的知识也有了积累，下面就可以根据缺陷和问题进行降维打击了。一般情况下，很多人绕不过的时候，有时候会问能不能给点思路，引擎把XXX给封锁了，遇到XXX就会告警。

其实你发现的问题就是解决问题的方向。

举个例子：

1. <?php

2. system("ls");

样本中出现system就会报警,那你要做的就是根据你发现的问题，将system隐藏掉。可以变量替换，可以字符串拼接，旋转加解密。

1. <?php

2. $a='sys'."tem"

3. $a("ls");

这时候还报警的话，那就可能会有静态变量还原，动态分析的可能。这个时候再变化，自己写函数生成 system，同时需要外部变量的参与才行。

1. <?php

2. $a='sys'.$_GET[i];

3. $a("ls");

就这样按照发现的问题，结合现有手段，一步一步变换。