Странный код

Тема в разделе "PHP", создана пользователем LEXAlForpostl, 31 дек 2010.

Модераторы: latteo
  1. LEXAlForpostl

    LEXAlForpostl

    Регистр.:
    21 май 2008
    Сообщения:
    740
    Симпатии:
    226
    Здравствуйте.
    Решил посмотреть, как работает скрипт, скачанный из интернета.
    Открываю, а там 50% скрипта написано в таком стиле:
    Насколько я понял это обфускация?
    Деобфускатор так я и не нашёл, который мой код может привести в нормальный вид. Или я что-то не так понял?
     
  2. Alternator

    Alternator

    Регистр.:
    23 мар 2009
    Сообщения:
    295
    Симпатии:
    145
    скорее всего, в коде будет в конце eval
    в него передается уже нормальный код

    судя по тому, что вы написали, коджирование незамысловатое - каждый байт программы зашифрован, как его HEX_значение, и пробел
    PHP:
    <?php
    $str
    ='0D 16 2F 13 30 16 1E 10 32 2F 18 5C 29 2B 07 25 37 37 25 2C 05 02 22';
    $str=explode(' ',$str);
    $res='';
    foreach(
    $str as $val)
        
    $res.=chr(hexdec($val));
    echo 
    $res;
     
  3. LEXAlForpostl

    LEXAlForpostl

    Регистр.:
    21 май 2008
    Сообщения:
    740
    Симпатии:
    226
    Извините, но получается полный бред на выходе.
    [​IMG]
     
  4. KillDead

    KillDead

    Регистр.:
    11 авг 2006
    Сообщения:
    884
    Симпатии:
    540
    Есть много версий. Но лучше не гадать, а привести весь исходник.
     
  5. LEXAlForpostl

    LEXAlForpostl

    Регистр.:
    21 май 2008
    Сообщения:
    740
    Симпатии:
    226
    К сожалению, исходник привести не могу.
    Могу только части кода показать.
    Кстати, заметил, что всё непонятное начинается с [Obfuscated] и обязательно первые символы "0D" (без кавычек)
     
  6. Alternator

    Alternator

    Регистр.:
    23 мар 2009
    Сообщения:
    295
    Симпатии:
    145
    ну, раз не можешь показать исходник, то и вопрос абсолютно ни о чем.
    телепаты в отпуске

    по поводу моего предположения:
    раз оно не верно, то прочитайте внимательнее первую часть моего поста
    добавлю, что это не единственный способ выполнить сгенерированный код.
    но общая суть примерно такая:
    сначало из этих зашифрованных строк собирается код, а затем выполняется
    подключите мозг, и проанализируйте код.
    универсальных средств на все случаи жизни - нету

    хотя для данного типа обсфукации вполне может и существует деобсфукатор.
    если верить гуглу, то это популярный способ обсфукации.
    гуглите дальше.
    PS скрипт случаем не сплоит какой-нибудь?)
     
  7. trooll

    trooll PHP кодер

    Регистр.:
    22 дек 2008
    Сообщения:
    503
    Симпатии:
    116
    Исходники обуфецированы или зашифорванны (см. выше что да как), не можете привести полные исходники, ну извините взрывайте себе мозг сами, как было сказано выше мы не телепаты.

    Считаю тему исчерпанной и ее можно закрывать. За исключением если TC выложит полные исходники для разбора.
     
  8. KillDead

    KillDead

    Регистр.:
    11 авг 2006
    Сообщения:
    884
    Симпатии:
    540
    С помощью реверсивного анализа мозговых волн могу предположить -
    1 - первоначально был закодирован кубиком, зендом или ещё чем нить подобным
    2 - этот исходник не работает.
    Если оба предположения верны- то просто крифо расшифровался исходник, то, что мы видим [Obfuscated]0D 13 3C 26 01 11 39 33 38 28 08 1F 1D 40 2F 07 2F 36 07 31 08 28 01 - это просто байт последовательность, которую не собрал декодер при снятии крипта (знаний у меня мало по этому поводу, но походу просто не вытащил имя переменной из таблицы, куда помещает все переменные при крипте)
    в этом случаи, если скрипт очень нужен -
    1- все переменные [Obfuscated]0D 13 3C 26 01 заменить на $_Obfuscated_0D_13_3C_26_01. Будет валидный пхп код. (в лучшем случае, скорее всего там ещё куча багов). Затем их обозвать покрасивее
    2- заказать\купить за деньги нормальный исходник или декрипт
     
  9. diavolic

    diavolic

    Регистр.:
    17 мар 2010
    Сообщения:
    522
    Симпатии:
    102

    это название функции. вот для примера как выглядит header("HTTP/1.0 404 Not Found");

    Код:
    [Obfuscated]0D 0B 38 33 07 14 12 3C 14 04 0A 33 08 2D 1D 2A 0E 3C 40 27 08 37 01 ("HTTP/1.0 404 Not Found");
     
  10. KillDead

    KillDead

    Регистр.:
    11 авг 2006
    Сообщения:
    884
    Симпатии:
    540
    Хм, как пример получен был?
    + код с такой функцией нормально будет работать?