欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

神盾加密解密教程(二)PHP 神盾解密

 更新時間:2014年06月08日 12:36:06   作者:  
前些日子一個朋友丟了個shell給我,讓我?guī)兔饷?,打開源碼看了下寫著是 “神盾加密” , 牛逼閃閃的樣子、 百度下發(fā)現(xiàn)神盾是個很古老的東西,最后一次更新是在 2012-10-09。和他相似的另一款是phpjm,有人說是神盾抄襲phpjm的,這些都不是我們所要關(guān)心的問題、phpjm一直在更新,而神盾貌似不搞了,我們分析下神盾,順便寫成工具,方便大家使用(因為他不更新,所以就不用擔(dān)心解密工具失效問題了)。

其實網(wǎng)上早就有人分析過這個了,而且寫成了工具、但是我測試了很多個,沒一個能用,所以決定自己從頭分析一遍。

打開神盾加密過后的源碼,可以看到這樣的代碼

上面寫著廣告注釋,而且不能刪除,因為文件末尾有個md5效驗碼,以驗證代碼是否被修改過,如圖、

再仔細(xì)看代碼部分,發(fā)現(xiàn)里面都是亂碼,其實這都是障眼法,
它利用了php變量擴充到 latin1 字符范圍,其變量匹配正則是 \$[a-zA-Z_\x7f-\xff][\w\x7f-\xff]* 這樣的格式。
這個前幾天天已經(jīng)分析過了,最終也在官網(wǎng)找到了答案,請看《神盾加密解密教程(一)PHP變量可用字符

有點扯遠(yuǎn)了,我們來做第一步解密處理吧。
PS: 這只是我的解密思路,與大家分享一下,也許你有更好的方法還望分享。。

復(fù)制代碼 代碼如下:

<?php
$str = file_get_contents("1.php");

// 第一步 替換所有變量
// 正則 \$[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*
preg_match_all('|\$[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*|', $str, $params) or die('err 0.');
$params = array_unique($params[0]); // 去重復(fù)
$replace = array();
$i = 1;
foreach ($params as $v) {
    $replace[] = '$p' . $i;
    tolog($v . ' => $p' . $i); // 記錄到日志
    $i++;
}
$str = str_replace($params, $replace, $str);


// 第二步 替換所有函數(shù)名
// 正則 function ([a-zA-Z_\x7f-\xff][\w\x7f-\xff]*)
preg_match_all('|function ([a-zA-Z_\x7f-\xff][\w\x7f-\xff]*)|', $str, $params) or die('err 0.');
$params = array_unique($params[1]); // 去重復(fù)
$replace = array();
$i = 1;
foreach ($params as $v) {
    $replace[] = 'fun' . $i;
    tolog($v . ' => fun' . $i); // 記錄到日志
    $i++;
}
$str = str_replace($params, $replace, $str);

// 第三步 替換所有不可顯示字符
function tohex($m) {
    $p = urlencode($m[0]); // 把所有不可見字符都轉(zhuǎn)換為16進制、
    $p = str_replace('%', '\x', $p);
    $p = str_replace('+', ' ', $p); // urlencode 會吧 空格轉(zhuǎn)換為 +
    return $p;
}
$str = preg_replace_callback('|[\x00-\x08\x0e-\x1f\x7f-\xff]|s', "tohex", $str);

// 寫到文件
file_put_contents("1_t1.php", $str);

function tolog($str) {
    file_put_contents("replace_log.txt", $str . "\n", FILE_APPEND);
}
?>

(其中有一個記錄到日志的代碼,這個在之后的二次解密時有用。)
執(zhí)行之后就會得到一個 1_t1.php 文件,打開文件看到類似這樣的代碼

找個工具格式化一下,我用的 phpstorm 自帶了格式化功能,然后代碼就清晰很多了。

進一步整理后得到如下代碼:

復(fù)制代碼 代碼如下:

<?php
//Start code decryption<<===
if (!defined('IN_DECODE_82d1b9a966825e3524eb0ab6e9f21aa7')) {
    define('\xA130\x8C', true);

    function fun1($str, $flg="") {
        if(!$flg) return(base64_decode($str));

        $ret = '?';
        for($i=0; $i<strlen($str); $i++) {
            $c = ord($str[$i]);
            $ret .= $c<245 ? ( $c>136 ? chr($c/2) : $str[$i] ) : "";
        }
        return base64_decode($ret);
    }

    function fun2(&$p14)
    {
        global $p15, $p16, $p17, $p18, $p19, $p3;
        @$p17($p18, $p19 . '(@$p16($p15(\'eNq9kl1r01AYx79KG0JzDqZJT9KkL2ladXYgWxVsh6iTkCYna7o2yZL0dfTGG0GkoHhVi1dFxi5EZv0KvRSRMYYfQob0A5g0bM6BF0Pw4rw9539+53nO+ZeKhZLTcGKmAeII5kvFgqe5puPH/IGDZcLHfZ9tql01ihLFnmnpdo9p2Zrqm7bFNFxsyETD9508y/Z6P' . $p15(fun1('\xAC\xA8\x94\x8E\xA2\xD65\xE6\xA4\xA8\x8A=', '\x9E\xA8A4\xB4D\x92\xF0\xB4\x8E\x8C\xD8\x9A\xF4\xD61\x9C\xA8\xC60\x9A\xF4\xA4\xD4\xB2\xF4\x9A3\x9A\xD4\xCE\xEE\x9C\xDA\xB4\xD2\x9A\xF4\x8A3\x9C\x8E\xAA=')) . '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\')).$p16($p15($p3)))', "82d1b9a966825e3524eb0ab6e9f21aa7");
    }
}
global $p15, $p16, $p17, $p18, $p19, $p3;
$p17 = 'preg_replace';
$p18 = '/82d1b9a966825e3524eb0ab6e9f21aa7/e';
$p15 = 'base64_decode';
$p19 = 'eval';
$p16 = 'gzuncompress';
$p3 = '';

@$p17($p18, $p19 . '(@$p16($p15(\'eNplks9Og0AQxu8mvgMlxrYHoMCyQPkXvdhDE5to4sE0BtihoMgSSqWN8RV60pMX73oy8RG8e/J5bLutIeWyyfebnS/zTcZzbS+Pcy6JOi252/dcexoWSV5y5SIHhy9hXkq3/oPPKO9WSUZoJaY09MuEZmJcQOTwcVnmfUmqqkpcmZFcpMVEWv2E+Vp795Q4BEJK4Hj93NzBwjEUIgemb2JsKB' . $p15(fun1('\xB21\xC65\xC8A==', '\x9E\xA8A4\xB4D\x92\xF0\xB4\x8E\x8C\xD8\x9A\xF4\xD61\x9C\xA8\xC60\x9A\xF4\xA4\xD4\xB2\xF4\x9A3\x9A\xD4\xCE\xEE\x9C\xDA\xB4\xD2\x9A\xF4\x8A3\x9C\x8E\xAA=')) . 'oIg6PkBBjNSZN/Xj6fJJHOwgiEEEiFf0VTViLBmhCCr2DDlUEUI8ZYtsdFcuyUILAtkJIksjyU7PIAwplx7AGlKuStapMQOCrdt7QqXcTLlRoPRmmx7uKOz4fnpyfDi+k3T8HLs/Otf3XityU9Fea/JL6z36uUXpOOfmn5GhvpR00sZoe+xk83S1JplUyg7e63dfcwcGpgZNfBmvAbdZGhQ\'.($p20.=fun2($p20)))))', "82d1b9a966825e3524eb0ab6e9f21aa7" . ($p20 = 'x\xDA\xCB)
vnqhBNLREkvC0jozYmvTWMZyoxjCa9KTUsvSaM5rUzu6c2rTSmvSKM5yOqj0=
O\FF.\xADH5\xCF2\x88\xF0u\x8BL*\xCD\xF2223.
\xB1\xF0\FF1\xCF+\x02\x00\xB6\xCA
\xBE'));
//End of the decryption code===>>
return true;?>76cde264ef549deac4d0fae860b50010

是不是很清晰了,剩下的就是基本代碼了,還有個知識點 preg_replace 當(dāng)正則修飾符含有e的時候,就會把第二個參數(shù)當(dāng)作 php 代碼解析執(zhí)行,
$p18 變量里就是那個正則,末尾的 e 在閃閃發(fā)光。
還有 fun2 里的內(nèi)容最好再次輸出一個文件,然后用上面的方法替換下變量。
@$p17 那一行的才是我們真正的源碼,但是尾部有一部在 fun2 函數(shù)里,因為 fun2 里才是真正的驗證和輸出尾部base64代碼。
剩下的我懶的寫了,因為所有解密要用到的知識我都已經(jīng)說了、

明天我會把我寫的解密代碼用這個工具加密后貼出來,我會提供解密 api 給大家調(diào)用的。
不是我裝逼或者是炫耀,因為 授之以魚不如授之以漁,也可以說自己動手豐衣足食。
當(dāng)然也有人只要結(jié)果,不要過程,那我直接給你 api 也是一樣的,對吧。

相關(guān)文章

  • php判斷文件夾是否存在不存在則創(chuàng)建

    php判斷文件夾是否存在不存在則創(chuàng)建

    這篇文章主要介紹了php判斷文件夾是否存在不存在則創(chuàng)建,本文直接給出實現(xiàn)代碼,需要的朋友可以參考下
    2015-04-04
  • Laravel手動返回錯誤碼示例

    Laravel手動返回錯誤碼示例

    今天小編就為大家分享一篇Laravel手動返回錯誤碼示例,具有很好的參考價值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2019-10-10
  • PHP圖像處理類庫及演示分享

    PHP圖像處理類庫及演示分享

    近期需要做一些圖像處理方面的學(xué)習(xí)和研究,首要任務(wù)就是選擇一套合適的圖像處理類庫。于是參考其他類庫自己編寫了一個簡單的,僅僅實現(xiàn)了指定文字內(nèi)容創(chuàng)建圖片(不支持中文)、創(chuàng)建驗證碼圖片、創(chuàng)建縮略圖,有需要的小伙伴可以參考下。
    2015-05-05
  • PHP基于自增數(shù)據(jù)如何生成不重復(fù)的隨機數(shù)示例

    PHP基于自增數(shù)據(jù)如何生成不重復(fù)的隨機數(shù)示例

    這篇文章主要給大家介紹了利用PHP基于自增數(shù)據(jù)如何能生成不重復(fù)的隨機數(shù),文中給出了詳細(xì)的示例代碼供大家參考學(xué)習(xí),對大家具有一定的參考價值,需要的朋友們下面來一起看看吧。
    2017-05-05
  • Laravel中間件實現(xiàn)原理詳解

    Laravel中間件實現(xiàn)原理詳解

    這篇文章主要介紹了Laravel中間件實現(xiàn)原理,較為詳細(xì)的分析了Laravel中間件的概念、原理及相關(guān)方法與使用技巧,需要的朋友可以參考下
    2016-10-10
  • laravel框架上傳圖片實現(xiàn)實時預(yù)覽功能

    laravel框架上傳圖片實現(xiàn)實時預(yù)覽功能

    今天小編就為大家分享一篇laravel框架上傳圖片實現(xiàn)實時預(yù)覽功能,具有很好的參考價值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2019-10-10
  • php操作redis中的hash和zset類型數(shù)據(jù)的方法和代碼例子

    php操作redis中的hash和zset類型數(shù)據(jù)的方法和代碼例子

    這篇文章主要介紹了php操作redis中的hash和zset類型數(shù)據(jù)的方法和代碼例子,本文共介紹了26組函數(shù)或方法,需要的朋友可以參考下
    2014-07-07
  • php實現(xiàn)簡易計算器

    php實現(xiàn)簡易計算器

    這篇文章主要為大家詳細(xì)介紹了php實現(xiàn)簡易計算器,文中示例代碼介紹的非常詳細(xì),具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2020-08-08
  • PHP通過微信跳轉(zhuǎn)的Code參數(shù)獲取用戶的openid(關(guān)鍵代碼)

    PHP通過微信跳轉(zhuǎn)的Code參數(shù)獲取用戶的openid(關(guān)鍵代碼)

    這篇文章主要介紹了PHP通過微信跳轉(zhuǎn)的Code參數(shù)獲取用戶的openid(關(guān)鍵代碼)的相關(guān)資料,非常不錯,具有參考借鑒價值,需要的朋友可以參考下
    2016-07-07
  • PHPStrom 新建FTP項目以及在線操作教程

    PHPStrom 新建FTP項目以及在線操作教程

    PhpStorm是一個輕量級且便捷的PHP IDE,其提供的智能代碼補全,快速導(dǎo)航以及即時錯誤檢查等功能大大提高了編碼效率。它是一款商業(yè)的 PHP 集成開發(fā)工具,以其獨特的開發(fā)便利性,短時間內(nèi)贏得了大量PHPer的青睞。今天我們來詳細(xì)學(xué)習(xí)下FTP相關(guān)的操作
    2016-10-10

最新評論