前言

最近几天phpstudy后门好像有点火,我也没时间去深入研究.就直接转载了

分析

关于分析直接看这篇文章

phpstudy后门文件分析以及检测脚本

检测脚本

运行后可以递归检测当前目录下所有dll文件中是否包含木马文件的特征值。

#! /bin/bash
# author: pcat@chamd5.org
# http://pcat.cc
trojan feature
trojan=@eval
function check_dir(){
for file in ls $1
do
f2=$1"/"$file
if [ -d $f2 ]
then
check_dir $f2
just check dll file
elif [ "${file##*.}"x = "dll"x ]
then
strings $f2 |grep -q $trojan
if [ $? == 0 ]
then
echo "===" $f2 "===="
strings $f2 |grep $trojan
fi
fi
done
}
. stand for current directory
check_dir .