工具介绍
webshell就是一种可以在web服务器上执行的后台脚本或者命令执行环境,黑客通过入侵网站上传webshell后获得服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。
暗链,指站点被黑客利用技术入侵,并且取得权限,经过代码的添加,实现隐藏的一个或者多个导出链接,站长以及管理员很难发现链接的存在。暗链的存在往往标志着该网站存在安全漏洞,轻则该网站会成为一些非法网站提升seo排名的工具,重则该漏洞会被不法分子利用攻击。
WebShellkiller作为一款web后门专杀工具,不仅支持webshell的扫描,同时还支持暗链的扫描。这是一款融合了多重检测引擎的查杀工具。在传统正则匹配的基础上,采用模拟执行,参数动态分析监测技术、webshell语义分析技术、暗链隐藏特征分析技术,并根据webshell的行为模式构建了基于机器学习的智能检测模型。传统技术与人工智能技术相结合、静态扫描和动态分析相结合,更精准地检测出WEB网站已知和未知的后门文件。
WebShellkiller3.3版本在原来的基础上,优化了webshell检出规则,大大提高webshell检出率。同时支持敏感关键词的暗链检测,除了默认敏感词,用户可自行定义敏感词。
程序主界面:支持用户自定义路径扫描,支持两种扫描策略。
程序扫描界面:实时展示扫描情况,支持右键快速定位和处理威胁文件。
导出报表:支持用户通过报表形式,导出扫描结果。
反馈界面:支持用户通过简单的文字和添加附件的方式反馈使用过程中存在的问题
暗链检测配置界面:支持暗链检测功能开启/关闭设置,和新增用户自定义敏感词
软件特性
特性一:多维度检测技术
工具支持多种脚本文件(jsp,asp,aspx,php等),同时支持有后缀和无后缀两种风格的脚本文件的扫描,在检测文件上,通过对文件的语法和数据流分析,进行相似性检测和规则检测,从而能够高准确度地检测出webshell文件。同时,工具提供了准确度优先和检出数量优先两种扫描策略,客户可以根据需要选择扫描方式。
特性二:全面精确的暗链检测技术
工具根据暗链特征库检测引擎,能够对网页中潜伏的暗链进行快速的检测和定位。全面的暗链特征库检测,能够让利用位置属性,内容尺寸颜色属性,标签头等属性的暗链无处藏身。支持敏感关键词的暗链检测,和用户手动开关暗链检测功能。
特性三:快速定位处理文件
工具扫描过程中,客户可以对可疑文件进行定位处理,通过右键菜单,客户可以查看文件目录,打开文件确认文件内容,可以备份文件防止误操作破坏原先的文件,也可以删除文件以绝后患(仅支持删除webshell文件)。
特性四:一键导出报表
通过生成报表功能,管理员在汇报服务器安全信息的时候,能够直观的展示发现的威胁数,威胁文件路径、等级类型等信息。以及暗链文件中检测出现问题的具体位置,及时的解决网站安全问题。
特性五:一键上传样本
当客户需要对检测文件做进一步确认处理时,可以使用一键上传样本功能。我们有专业的安全人员对对上传的文件做更多维度更深层次的安全分析,可以更好地确认样本的行为。同时,客户通过工具右上角菜单的反馈功能,可以将自己的疑惑或者扫描过程的问题提交到后台,后台会有专业的人员跟进,及时解决问题。
特性六:用户自定义敏感词的暗链检测
独立的敏感字增删功能,通过用户自定义的敏感词,暗链检测效果更可控,可以更加符合用户的实际需求。敏感字控制开关,支持用户自定义敏感词的启用和关闭,让暗链检测的方式使用更加灵活。
使用说明
工具使用绿色免安装的方式运行,解压后直接运行WebShellKiller.exe即可。