WebShell 工具流量特征

1. 蚁剑（AntSword）

蚁剑是一款功能强大且高度可定制的开源 WebShell 管理工具。它的流量特征主要依赖于其编码器（Encoder）和连接器（Connector）的配置

• 默认流量特征：
  • POST 请求：蚁剑通常使用 POST 请求，将恶意代码和命令作为参数发送
  • 加密与编码：默认情况下，蚁剑会使用 base64 对数据进行编码。在流量中，可以看到一个或多个经过 base64 编码的参数，其值通常是 eval() 或 system() 等函数
  • 特定标识：在某些默认的编码器中，参数名可能会包含特定字符串，但由于其高度可定制，这并非可靠的识别依据