通过两种扫描方式(关键字匹配、token语句分析)实现对webshell后门的检测。可以针对目录批量扫描,也可以对单个文件通过token分析其语句。其中关于php tokens解析方法在浅谈php中的词法分析 有提到具体实现,实际情况还是得结合敏感函数,不过相对而加密后的文件应该效果更好,具体检测原理见Monyer的文章常见 Webshell 的检测方法及检测绕过思路。通过实际测试发现:alibaba在t00ls发布的scanner.php工具可以检测出现有的大部分后门,效果不错。
本工具只是整合了alibaba和Monyer两种扫描方法和代码,在此表示感谢。
测试效果如图:
工具下载:下载