Web木馬的特點有哪些？

Web木馬主要有以下幾個主要特點：

1． 木馬可大可小

根據(jù)功能不同，Web木馬自身的文件大小也各不相同。最小的木馬可利用一行代碼進行實現(xiàn)。大的木馬在提供各類豐富的功能基礎之上，自身的大小也會超過10KB。因此無法根據(jù)文件的代碼量判斷木馬。

2． 無法有效隱藏

Web木馬執(zhí)行時必須按照中間件支持的Web格式進行解析并執(zhí)行。

在真實攻擊中，攻擊者通常會將木馬命名為一個近似系統(tǒng)文件或正常文件的名字，并在其中填充大量與當前站點中相似的無效代碼，以迷惑管理員。若攻擊者沒有系統(tǒng)權限，木馬在服務器端無法真正隱藏。

3． 具有明顯特征值

Web木馬的特點有很多，主要表現(xiàn)在其特殊功能方面。

如針對數(shù)據(jù)庫的大量操作功能、文件創(chuàng)建修改功能等都可被攻擊者使用。在使用過程中，攻擊者的操作行為會利用外部參數(shù)傳入到Web木馬中，Web木馬再將攻擊者傳入的參數(shù)拼接成系統(tǒng)命令并執(zhí)行。

在Web木馬中，需調用系統(tǒng)的關鍵函數(shù)用以執(zhí)行本身的功能，這些關鍵函數(shù)在木馬中起著無法替代的作用，因此這些關鍵函數(shù)可作為Web木馬的明顯特征。

在Web木馬中常見的關鍵函數(shù)如下：

●命令執(zhí)行類函數(shù)：eval、system、popen、exec、shell_exec等。

●文件功能類函數(shù)：fopen、opendir、dirname、pathinfo等。

●數(shù)據(jù)庫操作類函數(shù)：mysql_query、mysqli_query等。

需要注意的是，多數(shù)木馬會對當前的關鍵函數(shù)進行類型隱藏，如先拆分結構，在調用時再進行拼接。因此，需要跟蹤整體功能流程后，再根據(jù)執(zhí)行效果進行確認，這一點需要注意。

4． 必須為可執(zhí)行的網(wǎng)頁格式

木馬需在當前服務器的Web容器中執(zhí)行，因此必須為網(wǎng)頁格式。無論是一句話木馬還是大型木馬，均需如此。

當然，在極端情況下可配合文件包含漏洞實現(xiàn)木馬執(zhí)行，但最終執(zhí)行環(huán)境必須為網(wǎng)頁。極端情況下（如木馬可被上傳，但無法解析時），可配合htaccess實現(xiàn)對執(zhí)行名稱后綴名的替換，實現(xiàn)特定后綴名的執(zhí)行。