解析php混淆加密解密的手段，如phpjm,phpdp神盾,php威盾

原文 解析php混淆加密解密的手段如 phpjm,phpdp神盾,php威盾

php做為一門當下非常流行的web語言常常看到有人求解密php檔案想當年的asp也是一樣。一些人不理解為什麼要混淆(加密)甚至鄙視混淆(加密)在我看來混淆加密程式碼可以用來防一般的小人會起到一定的保護作用。

 

加密的原因

1. 保護程式碼防止別人剽竊

2. 保護檔案防止別人發現/查殺(php木馬 or 後門)

3. 剽竊了他人程式碼防止被發現

4. 其他商業或非商業目的

 

我一直都比較關注程式碼的加解密從簡單eval base64,gzcompress,gzinflate 到 威盾Zend Guard加密到近期比較流行的一種二進位制(unicode亂碼)加密,如 phpjm,phpdp神盾。對比這幾種加密方式。

 

第一種加密方式就是簡單的使用函式encode程式碼之後再eval(decode(`encode的程式碼`)),解密非常簡單直接把eval替換成exit即可輸出原始碼如果經過多層加密就繼續替換下去…

 

eval(base64_decode(`PD9waHAgZWNobyAndHh0Y21zLmNvbSc7Pz4=`));//txtcms.com

 

解密難度

 

第二種威盾加密做為第一種方式的升級版即把之前的base64之類的系統內建函式變成了匿名函式。解密也是一樣把eval替換成exit即可。

 

$OOO0O0O00=__FILE__;$OOO000000=urldecode(`%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72`);$OO00O0000=28;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0=`OOO0000O0`;eval(($$O0O0000O0(`JE9PME9PMDAwMD.//txtcms.com......省略

 

解密難度

 

第三種Zend Guard,這種加密方式無法像前面一樣手動解密。需要用到工具如dezender黑刀。

目前我知道的就只有php4~php5.2的可以被此工具解密出來解密出來的變數或函式可能比較醜像$_obfuscate開頭因為經過混淆了。不過如果在php程式碼里加上一句程式碼可使該程式溢位導致解密失敗。

 

@Zend; 3074; 以下省略亂碼//txtcms.com

 

解密難度

 

第四種二進位制(unicode亂碼)加密如phpjm,phpdp神盾。這種加密方式其實也是威盾的升級版即把匿名函式字串經過一系列的打亂分散處理之後再把函式、變數、字串替換成經過處理的unicode字串。這樣生成的檔案就不能輕易的修改了。加大瞭解密的難度解密方法也簡單就是替換掉那些變數和方法使之成為正常的字串再exit即可。

 

if (!defined("BEEABDD")){define("BEEABDD", __FILE__);global $?$妰,$唽,$墎儢,$唫敊?$槀垙梽,$厠墪儛?$嚌巵嚀嚲,$寬剛檲槗,$拹枩嶮厷?$湠湜啔増仦?$憻檮劀瀺晵€?$垵啑崙媺悎剹,$倧€剮寳崊湌倹€,$槏偀梹啅€攢専挄,$剦槙姙儣枓瀿龎巼;function 殸($殸,$妰?""){.......//txtcms.com

 

解密難度

 

總結php無擴充套件加密無非用到的幾個函式 eval , preg_replace使用e修飾符 , strtr , base64_decode。