瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 求PHP解密
安静De天空 - 2010-10-20 13:44:00
代码太长,打包附件了。
欢迎踊跃参加。
小有难度。
请大家慢慢分析。。。
最好手工解密。写出解密分析过程,。毕竟是要了解原理的。

小弟在这里学习来了。

代码解密出来了发给小弟一下,谢谢了。
115083378@qq.com

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; 360SE)

附件: php.rar
安静De天空 - 2010-10-20 14:44:00
有人解答吗?
Cool_wXd - 2010-10-20 15:28:00
解密一个文件,其他同理

[复制到剪贴板]
CODE:
<?php
eval(base64_decode('JElJSUlJSUlJbDFsST0ncHJlZ19tYXRjaF9hbGwnOw=='));  //$IIIIIIIIl1lI='preg_match_all';
$OOO0O0O00=__FILE__;
$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72'); //th6sbehqla4co_sadfpnr
$OO00O0000=5072;                                                               
$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};        //base
$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};    //64_d
$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5}; //ecode    //base64_decode
$O0O0000O0='OOO0000O0';
eval(($$O0O0000O0('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')));

return;
?>


上面的eval还是一层base64_decode,解密后出现如下:

[复制到剪贴板]
CODE:
$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};  //fopen
if(!0)
$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');  //$O000O0O00=fopen(__FILE__,'rb');
$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};  //fread
$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};  //strtr
$OO0OO000O($O000O0O00,1261);  //fread($O000O0O00,1261)
$OO00O00O0=($OOO0000O0/*base64_decode*/($OO0OO00O0/*strtr*/($OO0OO000O/*fread*/($O000O0O00,380),'KRFL7xWj/Ib4T5N+BwYVZkdt1X3cslOhr0yCGqm2UpgeSzi6PQEfvuA8DJnaHM9o=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));
eval($OO00O00O0);


然后继续这种方法解就可以了,这时候涉及到读取文件下面的密文的操作,要把那些字符串带入,其他文件方法同样。
1
查看完整版本: 求PHP解密
© 2000 - 2024 Rising Corp. Ltd.