Цитата:
|
Сообщение от lmikle
Я уже писал раньше, что лучше сделать простенький эвристический анализатор. Например, по ключевым словам + сигнатура php-файла + набор функций внутри файла (важных) или кусков их тел, которые характерны для php-shell.
|
Проблема в том, что все эти скрипты запросто шифруются и декриптуются "на лету". А сам декриптор может быть закриптован еще чем-то или динамически генериться для каждой инфекции. А есть еще всякие
ништяки (там про JS, но на php думаю можно не хуже извернуться).
На мой взгляд полезней всего какой-нибудь honeypot или эмулятор. Подробности в гугле, интерпретаторы PHP есть в виде исходников, я уверен.