Web木馬的特點有哪些？

Web木馬主要有以下幾個主要特點：

1． 木馬可大可小

根據功能不同，Web木馬自身的文件大小也各不相同。最小的木馬可利用一行代碼進行實現。大的木馬在提供各類豐富的功能基礎之上，自身的大小也會超過10KB。因此無法根據文件的代碼量判斷木馬。

2． 無法有效隱藏

Web木馬執行時必須按照中間件支持的Web格式進行解析并執行。

在真實攻擊中，攻擊者通常會將木馬命名為一個近似系統文件或正常文件的名字，并在其中填充大量與當前站點中相似的無效代碼，以迷惑管理員。若攻擊者沒有系統權限，木馬在服務器端無法真正隱藏。

3． 具有明顯特征值

Web木馬的特點有很多，主要表現在其特殊功能方面。

如針對數據庫的大量操作功能、文件創建修改功能等都可被攻擊者使用。在使用過程中，攻擊者的操作行為會利用外部參數傳入到Web木馬中，Web木馬再將攻擊者傳入的參數拼接成系統命令并執行。

在Web木馬中，需調用系統的關鍵函數用以執行本身的功能，這些關鍵函數在木馬中起著無法替代的作用，因此這些關鍵函數可作為Web木馬的明顯特征。

在Web木馬中常見的關鍵函數如下：

● 命令執行類函數：eval、system、popen、exec、shell_exec等。

● 文件功能類函數：fopen、opendir、dirname、pathinfo等。

● 數據庫操作類函數：mysql_query、mysqli_query等。

需要注意的是，多數木馬會對當前的關鍵函數進行類型隱藏，如先拆分結構，在調用時再進行拼接。因此，需要跟蹤整體功能流程后，再根據執行效果進行確認，這一點需要注意。

4． 必須為可執行的網頁格式

木馬需在當前服務器的Web容器中執行，因此必須為網頁格式。無論是一句話木馬還是大型木馬，均需如此。

當然，在極端情況下可配合文件包含漏洞實現木馬執行，但最終執行環境必須為網頁。極端情況下（如木馬可被上傳，但無法解析時），可配合htaccess實現對執行名稱后綴名的替換，實現特定后綴名的執行。