浅谈 PHP 神盾的解密过程-php手册-php.cn

Home

php教程

php手册

浅谈 PHP 神盾的解密过程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 13, 2016 am 09:37 AM

aspnetsoftware programming

前些日子一个朋友丢了个shell给我，让我帮忙解密，打开源码看了下写着是 “神盾加密” , 牛逼闪闪的样子、
百度下发现神盾是个很古老的东西，最后一次更新是在 2012-10-09。和他相似的另一款是phpjm，有人说是神盾抄袭phpjm的，这些都不是我们所要关心的问题、
phpjm一直在更新，而神盾貌似不搞了，我们分析下神盾，顺便写成工具，方便大家使用(因为他不更新，所以就不用担心解密工具失效问题了)。
其实网上早就有人分析过这个了，而且写成了工具、但是我测试了很多个，没一个能用，所以决定自己从头分析一遍。

打开神盾加密过后的源码，可以看到这样的代码

上面写着广告注释，而且不能删除，因为文件末尾有个md5效验码，以验证代码是否被修改过，如图、

再仔细看代码部分，发现里面都是乱码，其实这都是障眼法，
它利用了php变量扩充到 latin1 字符范围，其变量匹配正则是 \$[a-zA-Z_\x7f-\xff][\w\x7f-\xff]* 这样的格式。
这个昨天已经分析过了，最终也在官网找到了答案，请看《浅谈 PHP 变量可用字符》

有点扯远了，我们来做第一步解密处理吧。
PS: 这只是我的解密思路，与大家分享一下，也许你有更好的方法还望分享。。

<?<span php
$str </span>= file_get_contents("1.php"<span );

</span><span //</span><span  第一步 替换所有变量</span><span 
//</span><span  正则 \$[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*</span>
preg_match_all('|\$[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*|', $str, $params) or die('err 0.'<span );
$params </span>= array_unique($params[0]); <span //</span><span  去重复</span>
$replace =<span  array();
$i </span>= 1<span ;
foreach ($params as $v) {
    $replace[] </span>= '$p'<span  . $i;
    tolog($v . </span>' => $p' . $i); <span //</span><span  记录到日志</span>
    $i++<span ;
}
$str </span>=<span  str_replace($params, $replace, $str);


</span><span //</span><span  第二步 替换所有函数名</span><span 
//</span><span  正则 function ([a-zA-Z_\x7f-\xff][\w\x7f-\xff]*)</span>
preg_match_all('|function ([a-zA-Z_\x7f-\xff][\w\x7f-\xff]*)|', $str, $params) or die('err 0.'<span );
$params </span>= array_unique($params[1]); <span //</span><span  去重复</span>
$replace =<span  array();
$i </span>= 1<span ;
foreach ($params as $v) {
    $replace[] </span>= 'fun'<span  . $i;
    tolog($v . </span>' => fun' . $i); <span //</span><span  记录到日志</span>
    $i++<span ;
}
$str </span>=<span  str_replace($params, $replace, $str);

</span><span //</span><span  第三步 替换所有不可显示字符</span>
<span function</span><span  tohex($m) {
    $p </span>= urlencode($m[0]); <span //</span><span  把所有不可见字符都转换为16进制、</span>
    $p = str_replace('%', '\x'<span , $p);
    $p </span>= str_replace('+', ' ', $p); <span //</span><span  urlencode 会吧 空格转换为 + </span>
    <span return</span><span  $p;
}
$str </span>= preg_replace_callback('|[\x00-\x08\x0e-\x1f\x7f-\xff]|s', "tohex"<span , $str);

</span><span //</span><span  写到文件</span>
file_put_contents("1_t1.php"<span , $str);

</span><span function</span><span  tolog($str) {
    file_put_contents(</span>"replace_log.txt", $str . "\n"<span , FILE_APPEND);
}
</span>?>

（其中有一个记录到日志的代码，这个在之后的二次解密时有用。）
执行之后就会得到一个 1_t1.php 文件，打开文件看到类似这样的代码

进一步整理后得到如下代码：

<?<span php
</span><span //</span><span Start code decryption<<===</span>
<span if</span> (!defined('IN_DECODE_82d1b9a966825e3524eb0ab6e9f21aa7'<span )) {
    define(</span>'\xA130\x8C', <span true</span><span );
    
    </span><span function</span> fun1($str, $flg=""<span ) {
        </span><span if</span>(!$flg) <span return</span><span (base64_decode($str));

        $ret </span>= '?'<span ;
        </span><span for</span>($i=0; $i<strlen($str); $i++<span ) {
            $c </span>=<span  ord($str[$i]);
            $ret .</span>= $c<245 ? ( $c>136 ? chr($c/2) : $str[$i] ) : "";
<span         }
        </span><span return</span><span  base64_decode($ret);
    }

    </span><span function</span> fun2(&<span $p14)
    {
        global $p15, $p16, $p17, $p18, $p19, $p3;
        @$p17($p18, $p19 . </span>'(@$p16($p15(\'eNq9kl1r01AYx79KG0JzDqZJT9KkL2ladXYgWxVsh6iTkCYna7o2yZL0dfTGG0GkoHhVi1dFxi5EZv0KvRSRMYYfQob0A5g0bM6BF0Pw4rw9539+53nO+ZeKhZLTcGKmAeII5kvFgqe5puPH/IGDZcLHfZ9tql01ihLFnmnpdo9p2Zrqm7bFNFxsyETD9508y/Z6P' . $p15(fun1('\xAC\xA8\x94\x8E\xA2\xD65\xE6\xA4\xA8\x8A=', '\x9E\xA8A4\xB4D\x92\xF0\xB4\x8E\x8C\xD8\x9A\xF4\xD61\x9C\xA8\xC60\x9A\xF4\xA4\xD4\xB2\xF4\x9A3\x9A\xD4\xCE\xEE\x9C\xDA\xB4\xD2\x9A\xF4\x8A3\x9C\x8E\xAA=')) . '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\')).$p16($p15($p3)))', "82d1b9a966825e3524eb0ab6e9f21aa7"<span );
    }
}
global $p15, $p16, $p17, $p18, $p19, $p3;
$p17 </span>= 'preg_replace'<span ;
$p18 </span>= '/82d1b9a966825e3524eb0ab6e9f21aa7/e'<span ;
$p15 </span>= 'base64_decode'<span ;
$p19 </span>= 'eval'<span ;
$p16 </span>= 'gzuncompress'<span ;
$p3 </span>= ''<span ;

@$p17($p18, $p19 . </span>'(@$p16($p15(\'eNplks9Og0AQxu8mvgMlxrYHoMCyQPkXvdhDE5to4sE0BtihoMgSSqWN8RV60pMX73oy8RG8e/J5bLutIeWyyfebnS/zTcZzbS+Pcy6JOi252/dcexoWSV5y5SIHhy9hXkq3/oPPKO9WSUZoJaY09MuEZmJcQOTwcVnmfUmqqkpcmZFcpMVEWv2E+Vp795Q4BEJK4Hj93NzBwjEUIgemb2JsKB' . $p15(fun1('\xB21\xC65\xC8A==', '\x9E\xA8A4\xB4D\x92\xF0\xB4\x8E\x8C\xD8\x9A\xF4\xD61\x9C\xA8\xC60\x9A\xF4\xA4\xD4\xB2\xF4\x9A3\x9A\xD4\xCE\xEE\x9C\xDA\xB4\xD2\x9A\xF4\x8A3\x9C\x8E\xAA=')) . 'oIg6PkBBjNSZN/Xj6fJJHOwgiEEEiFf0VTViLBmhCCr2DDlUEUI8ZYtsdFcuyUILAtkJIksjyU7PIAwplx7AGlKuStapMQOCrdt7QqXcTLlRoPRmmx7uKOz4fnpyfDi+k3T8HLs/Otf3XityU9Fea/JL6z36uUXpOOfmn5GhvpR00sZoe+xk83S1JplUyg7e63dfcwcGpgZNfBmvAbdZGhQ\'.($p20.=fun2($p20)))))', "82d1b9a966825e3524eb0ab6e9f21aa7" . ($p20 = '<span x\xDA\xCB)
vnqhBNLREkvC0jozYmvTWMZyoxjCa9KTUsvSaM5rUzu6c2rTSmvSKM5yOqj0=
O\FF.\xADH5\xCF2\x88\xF0u\x8BL*\xCD\xF2223.
\xB1\xF0\FF1\xCF+\x02\x00\xB6\xCA
\xBE</span>'<span ));
</span><span //</span><span End of the decryption code===>></span>
<span return</span> <span true</span>;?>76cde264ef549deac4d0fae860b50010

是不是很清晰了，剩下的就是基本代码了，还有个知识点 preg_replace 当正则修饰符含有e的时候，就会把第二个参数当作 php 代码解析执行，
$p18 变量里就是那个正则，末尾的 e 在闪闪发光。
还有 fun2 里的内容最好再次输出一个文件，然后用上面的方法替换下变量。
@$p17 那一行的才是我们真正的源码，但是尾部有一部在 fun2 函数里，因为 fun2 里才是真正的验证和输出尾部base64代码。
剩下的我懒的写了，因为所有解密要用到的知识我都已经说了、

明天我会把我写的解密代码用这个工具加密后贴出来，我会提供解密 api 给大家调用的。
不是我装逼或者是炫耀，因为授之以鱼不如授之以渔，也可以说自己动手丰衣足食。
当然也有人只要结果，不要过程，那我直接给你 api 也是一样的，对吧。

Statement

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn

Vue.js与ASP.NET的结合，实现Web应用的性能优化和扩展的技巧和建议Jul 29, 2023 pm 05:19 PM

Vue.js与ASP.NET的结合，实现Web应用的性能优化和扩展的技巧和建议随着Web应用的快速发展，性能优化成为开发者不可或缺的重要任务。Vue.js作为一款流行的前端框架，与ASP.NET的结合可以帮助我们实现更好的性能优化和扩展。本文将会介绍一些技巧和建议，并提供一些代码示例。一、减少HTTP请求HTTP请求的数量直接影响着Web应用的加载速度。通过

生成式AI将在十个方面改变软件开发Mar 11, 2024 pm 12:10 PM

译者|陈峻审校|重楼上个世纪90年代，当人们提起软件编程时，通常意味着选择一个编辑器，将代码检入CVS或SVN代码库，然后将代码编译成可执行文件。与之对应的Eclipse和VisualStudio等集成开发环境（IDE）可以将编程、开发、文档、构建、测试、部署等步骤纳入到一个完整的软件开发生命周期（SDLC）中，从而提高了开发人员的工作效率。近年来，流行的云计算和DevSecOps自动化工具提升了开发者的综合能力，使得更多的企业能够更加轻松地开发、部署和维护软件应用。如今，生成式AI作为下一代开

ASP.NET程序中的MySQL连接池使用及优化技巧Jun 30, 2023 pm 11:54 PM

如何在ASP.NET程序中正确使用和优化MySQL连接池？引言：MySQL是一种广泛使用的数据库管理系统，它具有高性能、可靠性和易用性的特点。在ASP.NET开发中，使用MySQL数据库进行数据存储是常见的需求。为了提高数据库连接的效率和性能，我们需要正确地使用和优化MySQL连接池。本文将介绍在ASP.NET程序中如何正确使用和优化MySQL连接池的方法。

如何在ASP.NET程序中重连MySQL连接？Jun 29, 2023 pm 02:21 PM

如何在ASP.NET程序中重连MySQL连接？在ASP.NET开发中，使用MySQL数据库是非常常见的。然而，由于网络或数据库服务器的原因，有时会导致数据库连接中断或超时。在这种情况下，为了保证程序的稳定性和可靠性，我们需要在连接断开后重新建立连接。本文将介绍如何在ASP.NET程序中实现重连MySQL连接的方法。引用必要的命名空间首先，在代码文件的头部引用

Vue.js与ASP.NET的结合，实现企业级应用的开发和部署Jul 29, 2023 pm 02:37 PM

Vue.js与ASP.NET的结合，实现企业级应用的开发和部署在当今快速发展的互联网技术领域，企业级应用的开发和部署变得越来越重要。Vue.js和ASP.NET是两个在前端和后端开发中广泛使用的技术，将它们结合起来可以为企业级应用的开发和部署带来诸多优势。本文将通过代码示例介绍如何使用Vue.js和ASP.NET进行企业级应用的开发和部署。首先，我们需要安装

如何在ASP.NET程序中正确配置和使用MySQL连接池？Jun 29, 2023 pm 12:56 PM

如何在ASP.NET程序中正确配置和使用MySQL连接池？随着互联网的发展和数据量的增大，对数据库的访问和连接需求也在不断增加。为了提高数据库的性能和稳定性，连接池成为了一个必不可少的技术。本文主要介绍如何在ASP.NET程序中正确配置和使用MySQL连接池，以提高数据库的效率和响应速度。一、连接池的概念和作用连接池是一种重复使用数据库连接的技术，在程序初始

aspnet有哪些内置对象Nov 21, 2023 pm 02:59 PM

ASP.NET中的内置对象有“Request”、“Response”、“Session”、“Server”、“Application”、 “HttpContext”、“Cache”、“Trace”、“Cookie”和“Server.MapPath”：1、Request，表示客户端发出的HTTP请求；2、Response：表示Web服务器返回给客户端的HTTP响应等等。

在Linux上使用Visual Studio进行ASP.NET开发的推荐配置Jul 06, 2023 pm 08:45 PM

在Linux上使用VisualStudio进行ASP.NET开发的推荐配置概述：随着开源软件的发展和Linux操作系统的普及，越来越多的开发者开始在Linux上进行ASP.NET开发。而作为一款功能强大的开发工具，VisualStudio在Windows平台上一直占据着主导地位。本文将介绍如何在Linux上配置VisualStudio来进行ASP.NE

See all articles

Hot AI Tools

Undresser.AI Undress

AI-powered app for creating realistic nude photos

AI Clothes Remover

Online AI tool for removing clothes from photos.

Undress AI Tool

Undress images for free

Clothoff.io

AI clothes remover

AI Hentai Generator

Generate AI Hentai for free.

Hot Article

R.E.P.O. Energy Crystals Explained and What They Do (Yellow Crystal)

2 weeks agoBy尊渡假赌尊渡假赌尊渡假赌

How Long Does It Take To Beat Split Fiction?

1 months agoByDDD

R.E.P.O. Save File Location: Where Is It & How to Protect It?

1 months agoByDDD

R.E.P.O. Best Graphic Settings

2 weeks agoBy尊渡假赌尊渡假赌尊渡假赌

Assassin's Creed Shadows: Seashell Riddle Solution

1 weeks agoByDDD

Hot Tools

SublimeText3 Mac version

God-level code editing software (SublimeText3)

MantisBT

Mantis is an easy-to-deploy web-based defect tracking tool designed to aid in product defect tracking. It requires PHP, MySQL and a web server. Check out our demo and hosting services.

MinGW - Minimalist GNU for Windows

This project is in the process of being migrated to osdn.net/projects/mingw, you can continue to follow us there. MinGW: A native Windows port of the GNU Compiler Collection (GCC), freely distributable import libraries and header files for building native Windows applications; includes extensions to the MSVC runtime to support C99 functionality. All MinGW software can run on 64-bit Windows platforms.

WebStorm Mac version

Useful JavaScript development tools

Safe Exam Browser

Safe Exam Browser is a secure browser environment for taking online exams securely. This software turns any computer into a secure workstation. It controls access to any utility and prevents students from using unauthorized resources.

Hot Topics

Where is the login entrance for gmail email?

7386

1630

1357

1267

1216