早上有朋友請我幫忙看一個PHP文件,裡面都是亂碼,改動任何一個字元就會中止運作。
檔案只有一行,以下是部分內容:
中間省略一堆字元編碼,最後的內容是
2Kx9yHSQyO/D+5+fnPf+v/BSrlfeg=')));return;?>5e813...32位MD5....3f6
一開始使用ZendStudio+Xdebug追蹤了一遍,發現對於這種壓縮在一行的程式碼,調試根本無力啊!斷點都無從下起。
搞了半天還是沒效果,乾脆手工解決吧。
簡單的看了一下,只是把變數名稱用一些比較特殊的字元替代,用編輯器打開,把幾個重複出現的關鍵字替換一下,就能看出大概了。
其中還用到了一個自訂函數,這段函數已經在檔案開頭提供了,就是「蜖棁ㄔ┄蕷」。
function 蜖棁ㄔ┄蕷($A,$B="")
{
$A=base64_decode($A);
if(empty($A)) return "";
if($B==""){return ~$A;}
else
{
$D=strlen($A);$B=str_pad($B,$D,$B);$str=$A^$B;return $str;
}
}
經過幾次簡單的替換可以知道每個字段內保存的是什麼內容了
首先從eval函數入手,後面跟著的應該是2個解密函數,函數名保存在數組裡。類似
<?php $arr['B']='base64_decode'; $arr['G']='gzuncompress'; //调用的时候可以这样用 eval($arr['G']($arr['B']('一大堆乱码')))
解出來就能看到修改後就不能運行的關鍵程式碼:
$A=file_get_contents('origin.php'); @substr($A,-32)==md5(substr(substr($A,0,-32).'另外一个<span style="font-family: Arial, Helvetica, sans-serif;">32位MD5</span>',6))||die();
註解掉後繼續執行後面的程式碼:
又是一個eval,在解密…
出來的文件有亂碼,不能直接用Copy&Paste,必須以二進位寫入一個文件,再經過一些替換、解密,再寫入一個文件……總共經過5輪解密,最後得到來源文件。
最後整理了一下寫了個正規搞定這個文件,直接解除這個文件。
<?php
$B='base64_decode';
$G='gzuncompress';
function A($A,$B="")
{
$A=base64_decode($A);
if(empty($A)) return "";
if($B==""){return ~$A;}
else
{
$D=strlen($A);$B=str_pad($B,$D,$B);$str=$A^$B;return $str;
}
}
$s=file_get_contents('origin.php');
//第1次匹配
preg_match('/\]\(\'(.+?)\'\)/',$s,$r1);
$s=$G($B($r1[1]));
//第2次匹配
preg_match('/\]\(\'(.+?)\'\)/',$s,$r2);
$s=A($B($r2[1]));
//第3次匹配
preg_match('/\]\(\'(.+?)\'\)/',$s,$r3);
$s=($B($r3[1]));
//第4次匹配
preg_match('/\]\(\'(e.+?)\'\)/',$s,$r4);
$s=$G($B($r4[1]));
//第5次匹配
preg_match('/\]\(\'(e.+?)\'\)/',$s,$r5);
$s=(A($B($r5[1])));
file_put_contents('code.php',$s);
echo 'Done!';相關程式碼:http://download.csdn.net/detail/sbdx/8616319
以上就介紹了遇到個加密的PHP文件,把decode過程寫下來,包括了方面的內容,希望對PHP教程有興趣的朋友有所幫助。
