一般网站木马特征:

1.有一些常见的危险函数，如shell_exec，passthru，move_uploaded_file ($_FILES’)等

等。大部分常用的webshell都有这些函数。当然还有一些危险的sql查询语句。

2.有一些常见的关键词。大部分流行的php木马都是从几款webshell修改而来，里面会有一些

常见的词，比如说一个在线的黑客工具网站‘cha88.cn’（现已改名为tools88.com），

phpspy（一款最常用的php webshell）

3.有一些加密的特征。正常的php文件一般是未加密过的，而很多php木马为了逃过杀毒软件

的查杀，会进行加密

特征码:

$check_injection= array(       //危险代码

‘clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8′,

‘clsid:13709620-C279-11CE-A49E-444553540000′,

‘WScript.Shell’,

‘Shell.Application’,

‘eval’,

‘Execute’,

‘CreateTextFile’,

‘OpenTextFile’,

‘SaveToFile’,

‘CreateObject’,

‘cmd’,

‘passthru’

);

原理很简单 ，对特征码进行文件式扫描…