浅谈PHP神盾的解密过程-php手册-php.cn

집

php教程

php手册

浅谈PHP神盾的解密过程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 06, 2016 pm 07:53 PM

linuxphp지역 사회암호 해독프로세스입력하다

欢迎进入Linux社区论坛，与200万技术人员互动交流 >>进入前些日子一个朋友丢了个shell给我，让我帮忙解密，打开源码看了下写着是 "神盾加密" , 其实网上早就有人分析过这个了，而且写成了工具、但是我测试了很多个，没一个能用，所以决定自己从头分析一遍。

欢迎进入Linux社区论坛，与200万技术人员互动交流 >>进入

　　前些日子一个朋友丢了个shell给我，让我帮忙解密，打开源码看了下写着是 "神盾加密" , 其实网上早就有人分析过这个了，而且写成了工具、但是我测试了很多个，没一个能用，所以决定自己从头分析一遍。

　　我们来做第一步解密处理吧。

　　PS: 这只是我的解密思路，与大家分享一下，也许你有更好的方法还望分享

　　$str = file_get_contents（"1.php"）；

　　// 第一步替换所有变量

　　// 正则 \$[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*

　　preg_match_all（'|\$[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*|', $str, $params） or die（'err 0.'）；

　　$params = array_unique（$params[0]）； // 去重复

　　$replace = array（）；

　　$i = 1;

　　foreach （$params as $v） {

　　$replace[] = '$p' . $i;

　　tolog（$v . ' => $p' . $i）； // 记录到日志

　　$i++;

　　}

　　$str = str_replace（$params, $replace, $str）；

　　// 第二步替换所有函数名

　　// 正则 function （[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*）

　　preg_match_all（'|function （[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*）|', $str, $params） or die（'err 0.'）；

　　$params = array_unique（$params[1]）； // 去重复

　　$replace = array（）；

　　$i = 1;

　　foreach （$params as $v） {

　　$replace[] = 'fun' . $i;

　　tolog（$v . ' => fun' . $i）； // 记录到日志

　　$i++;

　　}

　　$str = str_replace（$params, $replace, $str）；

　　// 第三步替换所有不可显示字符

　　function tohex（$m） {

　　$p = urlencode（$m[0]）； // 把所有不可见字符都转换为16进制、

　　$p = str_replace（'%', '\x', $p）；

　　$p = str_replace（'+', ' ', $p）； // urlencode 会吧空格转换为 +

　　return $p;

　　}

　　$str = preg_replace_callback（'|[\x00-\x08\x0e-\x1f\x7f-\xff]|s', "tohex", $str）；

　　// 写到文件

　　file_put_contents（"1_t1.php", $str）；

　　function tolog（$str） {

　　file_put_contents（"replace_log.txt", $str . "\n", FILE_APPEND）；

　　}

　　（其中有一个记录到日志的代码，这个在之后的二次解密时有用。）

　　执行之后就会得到一个 1_t1.php 文件，打开文件看到类似这样的代码

　　找个工具格式化一下，我用的 phpstorm 自带了格式化功能，然后代码就清晰很多了。

　　进一步整理后得到如下代码：

　　//Start code decryption《===

　　if （！defined（'IN_DECODE_82d1b9a966825e3524eb0ab6e9f21aa7'）） {

　　define（'\xA130\x8C', true）；

　　function fun1（$str, $flg=""） {

　　if（！$flg） return（base64_decode（$str））；

　　$ret = '?';

　　for（$i=0; $i

　　$c = ord（$str[$i]）；

　　$ret .= $c136 ? chr（$c/2） : $str[$i] ） : "";

　　}

　　return base64_decode（$ret）；

　　}

[1] [2]

浅谈PHP神盾的解密过程

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

뜨거운 도구

mPDF는 UTF-8로 인코딩된 HTML에서 PDF 파일을 생성할 수 있는 PHP 라이브러리입니다. 원저자인 Ian Back은 자신의 웹 사이트에서 "즉시" PDF 파일을 출력하고 다양한 언어를 처리하기 위해 mPDF를 작성했습니다. HTML2FPDF와 같은 원본 스크립트보다 유니코드 글꼴을 사용할 때 속도가 느리고 더 큰 파일을 생성하지만 CSS 스타일 등을 지원하고 많은 개선 사항이 있습니다. RTL(아랍어, 히브리어), CJK(중국어, 일본어, 한국어)를 포함한 거의 모든 언어를 지원합니다. 중첩된 블록 수준 요소(예: P, DIV)를 지원합니다.

Eclipse용 SAP NetWeaver 서버 어댑터

Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.

WebStorm Mac 버전

유용한 JavaScript 개발 도구

MinGW - Windows용 미니멀리스트 GNU

이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.