百川 WebShell 检测

PHP、JSP 恶意文件检测

通过静态文本特征、骨架哈希、静态语义分析、动态污点追踪、动态插桩内存等检测技术，快速准确识别 PHP 或是 JSP 类型的后门，及其内容中隐含的恶意特征

静态文本特征检测

通过大量文本特征对脚本内容进行快速模式匹配，可覆盖特征较为明显的 WebShell

骨架哈希检测

通过词法分析、语法分析等算法对脚本文件进行解析，构建抽象语法树，对 AST 的关键语法特征进行哈希，可对抗隐藏文本特征的 WebShell 免杀方案

静态语义分析检测

对脚本内容进行静态语义分析，通过恶意打分模型对文件内容进行评估，判断恶意程度较高的语义行为，可用于对抗自研的 WebShell 和无公开特征的 WebShell

动态污点追踪检测

将脚本内容编译为虚拟机字节码，对字节码进行模拟执行，通过污点追踪算法分析程序外部输入和敏感函数调用的关联关系，最终判断外部输入是否有可能通过脚本传入敏感函数，可用于对抗高度混淆和高度变形过的 WebShell

动态插桩内存检测

注入 Java 进程，Dump 关键内存数据，配合静态语义分析算法，用于检测动态注入的恶意脚本（内存型 WebShell）