0x01前言最近很多家厂商都陆续开放了自己的Webshell检测引擎，并且公开接口，邀请众安全研究员参加尝试bypass检测引擎，并且给予奖励，我也参加了几场类似的活动，有ASRC的伏魔计划，也有TSRC的猎刃计划，还有最近正在进行的长亭的牧云（Aka.关山）Webshell检测引擎，如果你都参加或者关注了这三个比赛，你会发现他们都提到了以下几个技术：1、词法分析2、污点追踪3、恶意代码检测这些新技术我们后面的章节中，我们先讲一下传统的Webshell检测机制，再对照着最新的Webshell检测技术来说明一下如何在新技术下做免杀Webshell（本文所有Webshell基于PHP语言）0x02

前言红队在HVV中一般使用钓鱼实现突破边界，蓝队通过钓鱼实现溯源反制，但是都离不开一个好的免杀马，这里分享一下自己的免杀过程，过火绒、360杀毒、windowsdefender以及赛门铁克等主流杀软都没问题。杀软工作原理杀软的查杀方式有多种，比如特征识别，是基于各个厂商收集的病毒样本，依据病毒样本提取的病毒特征，所以杀软的能力在一定程度上也取决于病毒库的大小，这种基于特征识别一般是基于静态。启发式的工作原理基本上可以定义为动态查杀或者是机器学习方法的一种查杀手段，会依据可能执行程序或者关注应用系统重要区域行为而做出的查杀行为。免杀手段修改特征码，可以根据污点检测的方式定位到触发杀软规则的病毒样

前言红队在HVV中一般使用钓鱼实现突破边界，蓝队通过钓鱼实现溯源反制，但是都离不开一个好的免杀马，这里分享一下自己的免杀过程，过火绒、360杀毒、windowsdefender以及赛门铁克等主流杀软都没问题。杀软工作原理杀软的查杀方式有多种，比如特征识别，是基于各个厂商收集的病毒样本，依据病毒样本提取的病毒特征，所以杀软的能力在一定程度上也取决于病毒库的大小，这种基于特征识别一般是基于静态。启发式的工作原理基本上可以定义为动态查杀或者是机器学习方法的一种查杀手段，会依据可能执行程序或者关注应用系统重要区域行为而做出的查杀行为。免杀手段修改特征码，可以根据污点检测的方式定位到触发杀软规则的病毒样

什么是SystemFunction032函数？虽然BenjaminDelphi在2013年就已经在Mimikatz中使用了它，但由于我之前对它的研究并不多，才有了下文。这个函数能够通过RC4加密方式对内存区域进行加密/解密。例如，ReactOS项目的代码中显示，它需要一个指向RC4_Context结构的指针作为输入，以及一个指向加密密钥的指针。不过，目前来看，除了XOR操作，至少我个人还不知道其他的针对内存区域加密/解密的替代函数。但是，你可能在其他研究员的博客中也读到过关于规避内存扫描器的文章，使用简单的XOR操作，攻击者即使是使用了较长的密钥，也会被AV/EDR供应商检测到。初步想法虽然R

什么是SystemFunction032函数？虽然BenjaminDelphi在2013年就已经在Mimikatz中使用了它，但由于我之前对它的研究并不多，才有了下文。这个函数能够通过RC4加密方式对内存区域进行加密/解密。例如，ReactOS项目的代码中显示，它需要一个指向RC4_Context结构的指针作为输入，以及一个指向加密密钥的指针。不过，目前来看，除了XOR操作，至少我个人还不知道其他的针对内存区域加密/解密的替代函数。但是，你可能在其他研究员的博客中也读到过关于规避内存扫描器的文章，使用简单的XOR操作，攻击者即使是使用了较长的密钥，也会被AV/EDR供应商检测到。初步想法虽然R