一種php文件加密方法的破解

文件加密方式,變量混淆+字符串加密

文件原始內容 :

$OOO0O0O00=__FILE__;

$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');

$OO00O0000=164;

$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};

$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};

$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};

$O0O0000O0='OOO0000O0';

eval(($$O0O0000O0('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')));

return;?>

這是一段php代碼,後面跟了一串加密過的字符串。

很顯然,開頭的這幾行代碼是執行解密的,或者是解密的前秦工作。

進行分析:

$OOO0O0O00=__FILE__;//本文件路徑和文件名

 

//字符串用於下面構造新的字符串

$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');

//下面幾行構造字符串base64_decode

 

$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};

$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};

$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};

//下面通過base64 decode生成一段讀取自身文件的代碼,先讀取了若干字節,丟棄了,分析可能是頭部執行初步解密的PHP代碼,接着又讀取700字節,進行字符串變換 base64_decode之後,得到一段繼續讀取文件解密的代碼,經分析發現,第二次讀取的700 字節中包含一版權聲明的代碼。第三次讀取文件後經過解密,得到了原始代碼 。解密過程分析完畢,下面開始寫破解算法,
 
 
function crack($src, $dst) {
    $content = file_get_contents($src);
 
    $pos = strpos($content, '?>');
    //刪除讀取文件的代碼
    $code = substr($content, $pos + 3);
    //刪除解碼代碼
    $code = substr($code, 700);
    //解碼目標代碼
    $cracked = base64_decode(strtr($code, 'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgPpQqSsVvXxZz0123456789+/=', 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklvwxyz0123456789+/'));
    //寫入目標文件 
    file_put_contents($dst, "<?php \n" . $cracked . "\n ?>");
 
    log_info("解碼文件:$src 至 $dst 完成");
}

 

使用該函數對加密的文件進行解密,打開解密的文件 ,格式化代碼,原始代碼完善呈現!

 

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章