رمز گشایی فایل های PHP، ویروس ها و ...
اکثر بد افزار های PHP اعم از شل ها، تروجان و ...، معمولا به صورت رمزگذاری شده استفاده میشود.
مثلا شما زمانی که یک ویروس یا فایل مخرب PHP را پیدا میکنید، ممکن است با چنین چیزی مواجه شوید.
<?php eval(gzinflate(str_rot13(base64_decode('vUl6QttV ........... EP58V')))); ?>
برای این که بتوانیم فایل مخرب را رمز گشایی کنیم، می بایست تابع eval را با تابع print جایگزین کنیم تا کدهای اصلی برنامه به جای این که اجرا شود، فقط نمایش داده شود. سپس فایل را اجرا میکنیم و خروجی را مشاهده میکنیم که سورس اصلی برنامه خواهد بود.
اما همیشه مسئله به این سادگی نیست. گاهی اوقات رمز گشایی یک ویروس بسیار دشوار و زمان بر می باشد. مثلا ممکن است از فراخوانی های recursive تابع eval استفاده شده باشد. ضمن این که به جای تابع eval از چند تابع دیگر نیز می توان استفاده کرد.
در این مطلب قصد دارم دو روش ساده برای رمز گشایی چنین فایل هایی را معرفی کنم.
اول سایت http://www.unphp.net/ می باشد که به طور موثری این گونه فایل ها را رمز گشایی میکند و همچنین یک نمودار به شما تحویل می دهد که چگونگی رمز نگاری فایل را در قالب الگوریتم مشخص میکند.
مثال: این لینک را ببینید: http://www.unphp.net/decode/989784f552ed894f67b7691487375a37/
روی هم رفته سایت unphp سایت جالبی هست.
ابزار دوم، این سایت است
http://ddecode.com/phpdecoder/
که امکان رمز گشایی php و فایل های hex را دارا می باشد. مثال های زیادی هم در صفحه ی اصلی سایت وجود دارد.
نمونه: http://ddecode.com/phpdecoder/?results=989784f552ed894f67b7691487375a37
نظرات شما
قسمت نظرات با استفاده از سرویس دیسکاس پیاده سازی شده است. متاسفانه این سرویس از داخل ایران قابل دسترس نیست. لطفا از آی پی خارجی استفاده کنید.