一種php檔案加密方法的破解
檔案加密方式,變數混淆+字串加密
檔案原始內容 :
$OOO0O0O00=__FILE__;
$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');
$OO00O0000=164;
$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};
$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
$O0O0000O0='OOO0000O0';
eval(($$O0O0000O0('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')));
return;?>
這是一段php程式碼,後面跟了一串加密過的字串。
很顯然,開頭的這幾行程式碼是執行解密的,或者是解密的前秦工作。
進行分析:
$OOO0O0O00=__FILE__;//本檔案路徑和檔名
//字串用於下面構造新的字串
$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');
//下面幾行構造字串base64_decode
$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};
$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
function crack($src, $dst) { $content = file_get_contents($src); $pos = strpos($content, '?>'); //刪除讀取檔案的程式碼 $code = substr($content, $pos + 3); //刪除解碼程式碼 $code = substr($code, 700); //解碼目的碼 $cracked = base64_decode(strtr($code, 'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLQqSsVvXxZz0123456789+/=', 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghiopqrstuvwxyz0123456789+/')); //寫入目標檔案 file_put_contents($dst, "<?php /n" . $cracked . "/n ?>"); log_info("解碼檔案:$src 至 $dst 完成"); } 使用該函式對加密的檔案進行解密,開啟解密的檔案 ,格式化程式碼,原始程式碼完善呈現!