由于很多企業為了防止源碼泄露，都會使用加密擴展將代碼進行加密，那么我們就可以就將計就計，將webshell也利用擴展加密，將特征消除，從而達到免殺的效果

1.php-beast

擴展地址

下載dll，并添加至ext中

在php.ini 中添加該擴展

修改configure.ini

當然也可以不使用默認密鑰

在aes_algo_handler.c中可以修改默認密鑰

當然如果沒有密鑰其實是無法生成一個能被解析的php文件，因此還需要通過逆向獲取dll中的密鑰

破解參考：

2.screw_plus

環境搭建

破解參考：

3.總結

基于擴展的免殺，如果知道密鑰，經加密后的webshell是不具備任何特征的，基本上直接通殺。

具體步驟通過phpinfo獲取擴展信息，根據不同的加密擴展進行嘗試利用默認密鑰進行加密，通過訪問webshell來判斷密鑰是否正確，當然，這種方法其實只能用于權限維持需要拿到權限后獲取擴展文件破解后，才能穩定獲取密鑰，進而加密webshell