Evalhook-0.1 by Stefan Esser (Ubuntu)

Pashkela · 10.12.2010, 14:52

Evalhook-0.1 by Stefan Esser

Данная статья описывает мощный инструмент для деобфускации (расшифровки) php-скриптов от всем известного Stefan Esser

Сам инструмент представляет из себя PHP extension, с помощью которого можно поэтапно выполнять скрипт и,
тем самым, посмотреть, что собственно скрипт делает и как результат добраться до исходного кода скрипта.
Данный инструмент прерывает вызов eval() и других dynamic PHP code evaluation functions -
т.е. распознает,например, даже попытку выполнить такой код:

PHP код:


			
<?php

array_map('assert', array('phpinfo()'));

?>

выводит, что возвратит такой код и дальше предложит выполнить его (y/n):

Цитата:

Script tries to evaluate the following string.
----
return phpinfo() ;
----
Do you want to allow execution? [y/N]

также легко расшифрует скрипт, написанный выше, но уже обфусцированный:

PHP код:


			
<?php 

 /* Demo by www.php-crypt.com */

$keystroke1 = base64_decode("d2RyMTU5c3E0YXllejd4Y2duZl90djhubHVrNmpoYmlvMzJtcA==");

eval(gzinflate(base64_decode('hY69DsIgFIVf5QwMENGUuWH0QZTeKrFekgsMxvTdLWlqTBfX8/uNlUOJiSGpEIc0kFa5SOSbVZdnqlwM3lAPesEj1+vifQPoLJzpEUe9KBPx5hjvXasJlSqMcBedZNBtxeCAbbjHDJoy/U/i1PjOK9+ewlns7o/O2N+X+QM=')));

$O0O0O0O0O0O0=$keystroke1[2].$keystroke1[32].$keystroke1[20].$keystroke1[11].$keystroke1[23].$keystroke1[15].$keystroke1[32].$keystroke1[1].$keystroke1[11];

$keystroke2 = $O0O0O0O0O0O0("└q>BF─~An├r┤D┘pt{sl│┐E{y┌xCwuov|@?z}", -13);

$OO000OO000OO=$keystroke2[16].$keystroke2[12].$keystroke2[31].$keystroke2[23].$keystroke2[18].$keystroke2[24].$keystroke2[9].$keystroke2[20].$keystroke2[11];

$O0000000000O=$keystroke1[30].$keystroke1[9].$keystroke1[6].$keystroke1[11].$keystroke1[27].$keystroke1[8].$keystroke1[19].$keystroke1[1].$keystroke1[11].$keystroke1[15].$keystroke1[32].$keystroke1[1].$keystroke1[11];

eval($OO000OO000OO(base64_decode('Lc23rq

NaAEDRnxlp7hUFYLJGU2ByMNmkZkSO5hDMMfD17x

av2eXaFczGr1+2jWHY//nKs62iyX9lVYCy+vptlg

axzgfPS6I3MerAYd5dkVt+bGDiym3jB5C32oQS+x

GF4Y3cS2LO10W5ysrBya3pHJTqNm2G5R0d+mAfYP

DDpbVrEU7TicV6z+LS490Ae7sMDKLIBYsXbFEuTF

NHJlT+MQf8U8uz2nQVn4lkCk78WSsFAhY6ZdIXG2

3JPRfTZAaflZ/1bYd8K6/McWoymtgC680hU1A2Fx

vygxrZuuh7NqxsrNotN6ajdHmX6qBmT5hMY4vKIA

5hufvMomELb6I388QnrxqvQxAfMfkEYOGRE5iqFK

5NQBXFwPZ7Z69LVb1OCLuwJLp4qkpjN6RF3V+lgp

tbjG2wAhopV3Ta8UMSP6FuK7tJMf0hBl6YU3ssFV

MoH5cG7o7VsBOYw0dW28DUnXw1QEA7rWmfYMb35R

D0t/BkDkMnAedt2sFwedA7M+GHkmZNTVCz6YpNfN

aqENLOgz8wh5gY+sIzSt9nnegmo8yMt+25bPazpw

W8rfq7JgkJXKxPd3qYcV6kOHvqx/FwKbG6xcxlSx

Ks+0yF4vvx7mMfQW8np/PGwvLXZIiuQnR0nfcAil

mpa3TY2pvtkmds9hFfQ5sYCh1KnJDmbYj3zZM1AT

n7BlS8z9UID8LY0WB4Ruexu1GBLvfA84li9MaHHb

wyq5omnBlqXjkhhyG+kNm+inhAF5dm86ZiMs2eE8

4TCjozZbPmo37Q0etjqaNtjDw07YHPzkipWxbLpt

pA0hn542GjV2FzUb4i1YQPf7GGnbIx+lYzLEIm5z

KINgWuSNgQq9ZjVGByGl2mQfJPf3WPt0GrKkaZHJ

cjkYQa4tSXT4SztqOXBwU46k59yht7Me58bz9YTb

ZshLlB6Txqxyx6IgP0SyCpbgH5m+9ollMCfXTY94

vOVw5F0QtBIYPLn79/f39/f//5Dw==')));

?>

для получения исходного кода просто жмем "Y" несколько раз в процессе деобфускации

================================================== ===============================
1. Установка
================================================== ===============================

Требуется:

1) PHP >= v5.2
2) php-devel
3) PHP Zend Optimizer

Ubuntu (установка):

1) http://forum.ubuntu.ru/index.php?topic=52552.0
2) sudo apt-get install php5-dev
3) Установка Zend Optimizer:
- http://forum.ubuntu.ru/index.php?topic=52552.0
- http://www.ubuntututorials.net/installing-zend-optimizer/

Скачивем сам архив:

http://php-security.org/downloads/evalhook-0.1.tar.gz

Дальше создаем такой файл run.sh:

Код:

tar xvfz evalhook-0.1.tar.gz
cd evalhook
phpize 
./configure
make
sudo make install

и из консоли запускаем (понадобятся права root):

Код:

sh run.sh

архив evalhook-0.1.tar.gz должен лежать рядом с run.sh

Всё. Установлено.

================================================== ===============================
2. Использование
================================================== ===============================
В консоли:

php -d extension=evalhook.so encoded_script.php

где encoded_script.php - ваш обфусцированный php-скрипт.

Ссылки:

Код:

http://php-security.org/2010/05/13/article-decoding-a-user-space-encoded-php-script/ - первоисточник
http://research.zscaler.com/2010/10/php-deobfuscation.html
http://www.php-crypt.com/demo/ - обфускатор, для тестов

PS: Tetsted on Ubuntu 9.10

Pashkela · 10.01.2013, 15:51

а если многоуровневое шифрование, то можно:

php -d extension=evalhook.so encoded_script.php > 124.txt

и тыкаем "y" сколько надо раз, в итоге получим в 124.txt исходники на любом уровне

PS: или автоматизировать процесс тыкания "Y" в консоли

12309 · 11.01.2013, 04:21

> или автоматизировать процесс тыкания "Y" в консоли
man yes

danrock · 19.11.2013, 21:27

Ребят ,помогите плиз

PHP код:


			
function ll__($aa___,$aa____,$aa_____){$GLOBALS[_1623673794(363)][round(0)]("/$aa____(.*?)$aa_____/",$aa___,$aa______);return $aa______[$GLOBALS['_260317402_'][65](round(0)+0.5+0.5)];}function ll___($aa_______,$aa________='GET',$aa_________='',$aa__________='',$aa___________="",$aa____________=''){$aa_____________=$GLOBALS[_1623673794(364)][round(0+1)]($aa_______);$aa______________=$GLOBALS[_1623673794(365)][round(0+1+1)]();$GLOBALS[_1623673794(366)][round(0+0.6+0.6+0.6+0.6+0.6)]($aa______________,CURLOPT_URL,$aa_______);$GLOBALS[_1623673794(367)][round(0+0.8+0.8+0.8+0.8+0.8)]($aa______________,CURLOPT_HEADER,true);$GLOBALS[_1623673794(368)][round(0+5)]($aa______________,CURLOPT_RETURNTRANSFER,true);$GLOBALS[_1623673794(369)][round(0+2+2+2)]($aa______________,CURLOPT_COOKIE,$aa__________);$GLOBALS[_1623673794(370)][round(0+7)]($aa______________,CURLOPT_CONNECTTIMEOUT,$GLOBALS['_260317402_'][66](round(0)+round(0+5+5+5)+round(0+3.75+3.75+3.75+3.75)));$GLOBALS[_1623673794(371)][round(0+8)]($aa______________,CURLOPT_USERAGENT,ll_(round(0)));$GLOBALS[_1623673794(372)][round(0+9)]($aa______________,CURLOPT_REFERER,$aa___________);$GLOBALS[_1623673794(373)][round(0+10)]($aa______________,CURLOPT_PROXY,"$aa____________");if($aa_____________[ll_(round(0+0.2+0.2+0.2+0.2+0.2))]== ll_(round(0+0.4+0.4+0.4+0.4+0.4))){$GLOBALS[_1623673794(374)][round(0+5.5+5.5)]($aa______________,CURLOPT_SSL_VERIFYPEER,$GLOBALS['_260317402_'][67](round(0)));$GLOBALS[_1623673794(375)][round(0+2.4+2.4+2.4+2.4+2.4)]($aa______________,CURLOPT_SSL_VERIFYHOST,$GLOBALS['_260317402_'][68](round(0)));}if($aa________ == ll_(round(0+0.75+0.75+0.75+0.75))){$GLOBALS[_1623673794(376)][round(0+13)]($aa______________,CURLOPT_POST,$GLOBALS['_260317402_'][69](round(0)+0.33333333333333+0.33333333333333+0.33333333333333));$GLOBALS[_1623673794(377)][round(0+3.5+3.5+3.5+3.5)]($aa______________,CURLOPT_POSTFIELDS,$aa_________);}$aa_______________=$GLOBALS[_1623673794(378)][round(0+5+5+5)]($aa______________);$aa________________=$GLOBALS[_1623673794(379)][round(0+4+4+4+4)]($aa_______________,$GLOBALS['_260317402_'][70](round(0)),$GLOBALS[_1623673794(380)][round(0+8.5+8.5)]($aa______________,CURLINFO_HEADER_SIZE));$aa_________________=$GLOBALS[_1623673794(381)][round(0+18)]($aa_______________,$GLOBALS[_1623673794(382)][round(0+19)]($aa______________,CURLINFO_HEADER_SIZE));$GLOBALS[_1623673794(383)][round(0+6.6666666666667+6.6666666666667+6.6666666666667)](ll_(round(0+1+1+1+1)),$aa________________,$aa__________________);$aa__________=ll_(round(0+1.25+1.25+1.25+1.25));foreach($aa__________________[$GLOBALS['_260317402_'][71](round(0)+0.25+0.25+0.25+0.25)]as $aa___________________ => $aa____________________){$aa__________.= $aa____________________ .ll_(round(0+2+2+2)) .$aa__________________[$GLOBALS['_260317402_'][72](round(0)+0.4+0.4+0.4+0.4+0.4)][$aa___________________] .ll_(round(0+7));}$GLOBALS[_1623673794(384)][round(0+21)]($aa______________);$aa_____________________[$GLOBALS['_260317402_'][73](round(0))]=$aa________________;$aa_____________________[$GLOBALS['_260317402_'][74](round(0)+0.33333333333333+0.33333333333333+0.33333333333333)]=$aa_________________;$aa_____________________[$GLOBALS['_260317402_'][75](round(0)+0.4+0.4+0.4+0.4+0.4)]=$aa__________;return $aa_____________________;}$aa__________=ll___(ll_(round(0+2.6666666666667+2.6666666666667+2.6666666666667)),ll_(round(0+4.5+4.5)),ll_(round(0+3.3333333333333+3.3333333333333+3.3333333333333)),ll_(round(0+2.2+2.2+2.2+2.2+2.2)),ll_(round(0+3+3+3+3)));$aa______________________=(@$_REQUEST[ll_(round(0+13))])?$_REQUEST[ll_(round(0+2.8+2.8+2.8+2.8+2.8))]:$GLOBALS['_260317402_'][76](round(0)+round(0+50015.75+50015.75+50015.75+50015.75)+round(0+50015.75+50015.75+50015.75+50015.75)+round(0+100031.5+100031.5)+round(0+200063)+round(0+66687.666666667+66687.666666667+66687.666666667));$aa_______________________=(@$_REQUEST[ll_(round(0+15))])?$_REQUEST[ll_(round(0+8+8))]:$GLOBALS['_260317402_'][77](round(0)+round(0+0.33333333333333+0.33333333333333+0.33333333333333));$aa________________________=(@$_REQUEST[ll_(round(0+3.4+3.4+3.4+3.4+3.4))])?$_REQUEST[ll_(round(0+4.5+4.5+4.5+4.5))]:ll_(round(0+4.75+4.75+4.75+4.75));$aa_________________________=array();while($GLOBALS[_1623673794(385)][round(0+5.5+5.5+5.5+5.5)]($aa_________________________)<$GLOBALS['_260317402_'][78](round(0)+round(0+1.3333333333333+1.3333333333333+1.3333333333333)+round(0+4)+round(0+2+2)+round(0+2+2)+round(0+0.8+0.8+0.8+0.8+0.8))){$aa_______________=ll___(ll_(round(0+10+10)),ll_(round(0+4.2+4.2+4.2+4.2+4.2)),ll_(round(0+4.4+4.4+4.4+4.4+4.4)) .$aa______________________ .ll_(round(0+7.6666666666667+7.6666666666667+7.6666666666667)) .$aa______________________ .ll_(round(0+6+6+6+6)) .$aa_______________________ .ll_(round(0+25)) .$aa________________________ .ll_(round(0+5.2+5.2+5.2+5.2+5.2)),$aa__________[$GLOBALS['_260317402_'][79](round(0)+round(0+0.33333333333333+0.33333333333333+0.33333333333333)+round(0+1))],ll_(round(0+6.75+6.75+6.75+6.75)));$aa_______________[$GLOBALS['_260317402_'][80](round(0)+0.25+0.25+0.25+0.25)]=$GLOBALS[_1623673794(386)][round(0+7.6666666666667+7.6666666666667+7.6666666666667)](ll_(round(0+5.6+5.6+5.6+5.6+5.6)),ll_(round(0+14.5+14.5)),$aa_______________[$GLOBALS['_260317402_'][81](round(0)+0.33333333333333+0.33333333333333+0.33333333333333)]);$aa__________________=ll__($aa_______________[$GLOBALS['_260317402_'][82](round(0)+0.2+0.2+0.2+0.2+0.2)],ll_(round(0+6+6+6+6+6)),ll_(round(0+10.333333333333+10.333333333333+10.333333333333)));$aa__________________________=$aa_______________[$GLOBALS['_260317402_'][83](round(0)+0.33333333333333+0.33333333333333+0.33333333333333)];$aa___________________________=array();$aa__________________=$GLOBALS[_1623673794(387)][round(0+6+6+6+6)]($aa__________________________,$GLOBALS[_1623673794(388)][round(0+6.25+6.25+6.25+6.25)]($aa__________________________,ll_(round(0+16+16))),$GLOBALS[_1623673794(389)][round(0+8.6666666666667+8.6666666666667+8.6666666666667)]($aa__________________________,ll_(round(0+6.6+6.6+6.6+6.6+6.6)),$GLOBALS[_1623673794(390)][round(0+5.4+5.4+5.4+5.4+5.4)]($aa__________________________,ll_(round(0+34)))));$GLOBALS[_1623673794(391)][round(0+28)](ll_(round(0+17.5+17.5)),$aa__________________________,$aa____________________________);$aa__________________=$aa____________________________[$GLOBALS['_260317402_'][84](round(0))][$GLOBALS['_260317402_'][85](round(0))];$aa_____________________________=$aa__________________;$aa______________________________=ll_(round(0+36));$GLOBALS[_1623673794(392)][round(0+29)]($aa______________________________,$aa_____________________________,$aa_______________________________);foreach($aa_______________________________[$GLOBALS['_260317402_'][86](round(0)+0.4+0.4+0.4+0.4+0.4)]as $aa________________________________ => $aa____________________){$GLOBALS[_1623673794(393)][round(0+10+10+10)](ll_(round(0+37)),$aa____________________,$aa_________________________________);$GLOBALS[_1623673794(394)][round(0+31)](ll_(round(0+38)),$aa_________________________________[$GLOBALS['_260317402_'][87](round(0)+0.5+0.5)][$GLOBALS['_260317402_'][88](round(0))],$aa__________________________________);$GLOBALS[_1623673794(395)][round(0+32)](ll_(round(0+9.75+9.75+9.75+9.75)),$aa_________________________________[$GLOBALS['_260317402_'][89](round(0)+0.5+0.5)][$GLOBALS['_260317402_'][90](round(0)+3.3333333333333+3.3333333333333+3.3333333333333)],$aa___________________________________);$aa____________________________________[ll_(round(0+40))]=$GLOBALS[_1623673794(396)][round(0+16.5+16.5)](ll_(round(0+20.5+20.5)),ll_(round(0+8.4+8.4+8.4+8.4+8.4)),$GLOBALS[_1623673794(397)][round(0+8.5+8.5+8.5+8.5)](ll_(round(0+14.333333333333+14.333333333333+14.333333333333)),ll_(round(0+11+11+11+11)),$aa__________________________________[$GLOBALS['_260317402_'][91](round(0)+0.25+0.25+0.25+0.25)][$GLOBALS['_260317402_'][92](round(0))]));$aa____________________________________[ll_(round(0+15+15+15))]=$GLOBALS[_1623673794(398)][round(0+35)](ll_(round(0+23+23)),ll_(round(0+47)),$GLOBALS[_1623673794(399)][round(0+7.2+7.2+7.2+7.2+7.2)](ll_(round(0+16+16+16)),ll_(round(0+12.25+12.25+12.25+12.25)),$GLOBALS[_1623673794(400)][round(0+9.25+9.25+9.25+9.25)]($aa_________________________________[$GLOBALS['_260317402_'][93](round(0)+round(0+1))][$GLOBALS['_260317402_'][94](round(0)+0.33333333333333+0.33333333333333+0.33333333333333)])));$aa____________________________________[ll_(round(0+12.5+12.5+12.5+12.5))]=$GLOBALS[_1623673794(401)][round(0+38)](ll_(round(0+12.75+12.75+12.75+12.75)),ll_(round(0+17.333333333333+17.333333333333+17.333333333333)),$GLOBALS[_1623673794(402)][round(0+13+13+13)](ll_(round(0+53)),ll_(round(0+13.5+13.5+13.5+13.5)),$aa_________________________________[$GLOBALS['_260317402_'][95](round(0)+round(0+1))][$GLOBALS['_260317402_'][96](round(0)+0.4+0.4+0.4+0.4+0.4)]));$aa____________________________________[ll_(round(0+55))]=$GLOBALS[_1623673794(403)][round(0+20+20)](ll_(round(0+11.2+11.2+11.2+11.2+11.2)),ll_(round(0+57)),$GLOBALS[_1623673794(404)][round(0+10.25+10.25+10.25+10.25)](ll_(round(0+19.333333333333+19.333333333333+19.333333333333)),ll_(round(0+29.5+29.5)),$aa_________________________________[$GLOBALS['_260317402_'][97](round(0)+0.2+0.2+0.2+0.2+0.2)][$GLOBALS['_260317402_'][98](round(0)+round(0+3))]));$aa____________________________________[ll_(round(0+30+30))]=$GLOBALS[_1623673794(405)][round(0+42)](ll_(round(0+15.25+15.25+15.25+15.25)),ll_(round(0+62)),$GLOBALS[_1623673794(406)][round(0+43)](ll_(round(0+31.5+31.5)),ll_(round(0+21.333333333333+21.333333333333+21.333333333333)),$aa_________________________________[$GLOBALS['_260317402_'][99](round(0)+0.33333333333333+0.33333333333333+0.33333333333333)][$GLOBALS['_260317402_'][100](round(0)+1.3333333333333+1.3333333333333+1.3333333333333)]));$aa____________________________________[ll_(round(0+21.666666666667+21.666666666667+21.666666666667))]=$GLOBALS[_1623673794(407)][round(0+11+11+11+11)](ll_(round(0+33+33)),ll_(round(0+16.75+16.75+16.75+16.75)),$GLOBALS[_1623673794(408)][round(0+22.5+22.5)](ll_(round(0+34+34)),ll_(round(0+13.8+13.8+13.8+13.8+13.8)),$aa_________________________________[$GLOBALS['_260317402_'][101](round(0)+0.33333333333333+0.33333333333333+0.33333333333333)][$GLOBALS['_260317402_'][102](round(0)+round(0+0.25+0.25+0.25+0.25)+round(0+0.2+0.2+0.2+0.2+0.2)+round(0+0.2+0.2+0.2+0.2+0.2)+round(0+1)+round(0+0.33333333333333+0.33333333333333+0.33333333333333))]));$aa____________________________________[ll_(round(0+23.333333333333+23.333333333333+23.333333333333))]=$GLOBALS[_1623673794(409)][round(0+15.333333333333+15.333333333333+15.333333333333)]($GLOBALS[_1623673794(410)][round(0+47)](ll_(round(0+35.5+35.5)),ll_(round(0+14.4+14.4+14.4+14.4+14.4)),$GLOBALS[_1623673794(411)][round(0+48)](ll_(round(0+18.25+18.25+18.25+18.25)),ll_(round(0+24.666666666667+24.666666666667+24.666666666667)),$GLOBALS[_1623673794(412)][round(0+24.5+24.5)](ll_(round(0+37.5+37.5)),ll_(round(0+19+19+19+19)),$GLOBALS[_1623673794(413)][round(0+12.5+12.5+12.5+12.5)]($aa_________________________________[$GLOBALS['_260317402_'][103](round(0)+0.25+0.25+0.25+0.25)][$GLOBALS['_260317402_'][104](round(0)+1.2+1.2+1.2+1.2+1.2)])))));$aa____________________________________[ll_(round(0+19.25+19.25+19.25+19.25))]=$GLOBALS[_1623673794(414)][round(0+25.5+25.5)]($GLOBALS[_1623673794(415)][round(0+52)](ll_(round(0+78)),ll_(round(0+39.5+39.5)),$GLOBALS[_1623673794(416)][round(0+26.5+26.5)](ll_(round(0+26.666666666667+26.666666666667+26.666666666667)),ll_(round(0+20.25+20.25+20.25+20.25)),$GLOBALS[_1623673794(417)][round(0+13.5+13.5+13.5+13.5)](ll_(round(0+82)),ll_(round(0+83)),$GLOBALS[_1623673794(418)][round(0+13.75+13.75+13.75+13.75)]($aa_________________________________[$GLOBALS['_260317402_'][105](round(0)+0.25+0.25+0.25+0.25)][$GLOBALS['_260317402_'][106](round(0)+1.4+1.4+1.4+1.4+1.4)])))));$aa____________________________________[ll_(round(0+16.8+16.8+16.8+16.8+16.8))]=$GLOBALS[_1623673794(419)][round(0+11.2+11.2+11.2+11.2+11.2)]($GLOBALS[_1623673794(420)][round(0+11.4+11.4+11.4+11.4+11.4)](ll_(round(0+28.333333333333+28.333333333333+28.333333333333)),ll_(round(0+21.5+21.5+21.5+21.5)),$GLOBALS[_1623673794(421)][round(0+14.5+14.5+14.5+14.5)](ll_(round(0+29+29+29)),ll_(round(0+29.333333333333+29.333333333333+29.333333333333)),$GLOBALS[_1623673794(422)][round(0+59)](ll_(round(0+22.25+22.25+22.25+22.25)),ll_(round(0+90)),$GLOBALS[_1623673794(423)][round(0+30+30)]($aa_________________________________[$GLOBALS['_260317402_'][107](round(0)+0.33333333333333+0.33333333333333+0.33333333333333)][$GLOBALS['_260317402_'][108](round(0)+round(0+2+2+2+2))])))));$aa____________________________________[ll_(round(0+91))]=$GLOBALS[_1623673794(424)][round(0+15.25+15.25+15.25+15.25)]($GLOBALS[_1623673794(425)][round(0+12.4+12.4+12.4+12.4+12.4)](ll_(round(0+18.4+18.4+18.4+18.4+18.4)),ll_(round(0+46.5+46.5)),ll_(round(0+18.8+18.8+18.8+18.8+18.8)) .$aa___________________________________[$GLOBALS['_260317402_'][109](round(0)+0.2+0.2+0.2+0.2+0.2)][$GLOBALS['_260317402_'][110](round(0))]));$aa___________________________=false;foreach($aa_________________________ as $aa_____________________________________){if($aa_____________________________________[ll_(round(0+19+19+19+19+19))]== $aa____________________________________[ll_(round(0+96))]){$aa___________________________=true;}}if(!$aa___________________________){$aa_________________________[]=$aa____________________________________;}}$aa_______________________++;}echo($GLOBALS[_1623673794(426)][round(0+12.6+12.6+12.6+12.6+12.6)]($aa_________________________));

Дальше не хочет

Pashkela · 28.11.2013, 17:53

А дальше и нечего, у тебя уже чистый php-код, осталось только понять, что он делает, но он уже не зашифрован, а просто видоизменен, для неудобоства чтения и понимания, что оно делает

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

10.01.2013, 15:51	#2
Pashkela Регистрация: 05.07.2010 Сообщений: 1,243	а если многоуровневое шифрование, то можно: php -d extension=evalhook.so encoded_script.php > 124.txt и тыкаем "y" сколько надо раз, в итоге получим в 124.txt исходники на любом уровне PS: или автоматизировать процесс тыкания "Y" в консоли

11.01.2013, 04:21	#3
12309 Регистрация: 25.12.2011 Сообщений: 265 Репутация: 33	> или автоматизировать процесс тыкания "Y" в консоли man yes

19.11.2013, 21:27	#4
danrock Регистрация: 19.11.2013 Сообщений: 1 Репутация: 0	Ребят ,помогите плиз PHP код: function ll__($aa___,$aa____,$aa_____){$GLOBALS[_1623673794(363)][round(0)]("/$aa____(.*?)$aa_____/",$aa___,$aa______);return $aa______[$GLOBALS['_260317402_'][65](round(0)+0.5+0.5)];}function ll___($aa_______,$aa________='GET',$aa_________='',$aa__________='',$aa___________="",$aa____________=''){$aa_____________=$GLOBALS[_1623673794(364)][round(0+1)]($aa_______);$aa______________=$GLOBALS[_1623673794(365)][round(0+1+1)]();$GLOBALS[_1623673794(366)][round(0+0.6+0.6+0.6+0.6+0.6)]($aa______________,CURLOPT_URL,$aa_______);$GLOBALS[_1623673794(367)][round(0+0.8+0.8+0.8+0.8+0.8)]($aa______________,CURLOPT_HEADER,true);$GLOBALS[_1623673794(368)][round(0+5)]($aa______________,CURLOPT_RETURNTRANSFER,true);$GLOBALS[_1623673794(369)][round(0+2+2+2)]($aa______________,CURLOPT_COOKIE,$aa__________);$GLOBALS[_1623673794(370)][round(0+7)]($aa______________,CURLOPT_CONNECTTIMEOUT,$GLOBALS['_260317402_'][66](round(0)+round(0+5+5+5)+round(0+3.75+3.75+3.75+3.75)));$GLOBALS[_1623673794(371)][round(0+8)]($aa______________,CURLOPT_USERAGENT,ll_(round(0)));$GLOBALS[_1623673794(372)][round(0+9)]($aa______________,CURLOPT_REFERER,$aa___________);$GLOBALS[_1623673794(373)][round(0+10)]($aa______________,CURLOPT_PROXY,"$aa____________");if($aa_____________[ll_(round(0+0.2+0.2+0.2+0.2+0.2))]== ll_(round(0+0.4+0.4+0.4+0.4+0.4))){$GLOBALS[_1623673794(374)][round(0+5.5+5.5)]($aa______________,CURLOPT_SSL_VERIFYPEER,$GLOBALS['_260317402_'][67](round(0)));$GLOBALS[_1623673794(375)][round(0+2.4+2.4+2.4+2.4+2.4)]($aa______________,CURLOPT_SSL_VERIFYHOST,$GLOBALS['_260317402_'][68](round(0)));}if($aa________ == ll_(round(0+0.75+0.75+0.75+0.75))){$GLOBALS[_1623673794(376)][round(0+13)]($aa______________,CURLOPT_POST,$GLOBALS['_260317402_'][69](round(0)+0.33333333333333+0.33333333333333+0.33333333333333));$GLOBALS[_1623673794(377)][round(0+3.5+3.5+3.5+3.5)]($aa______________,CURLOPT_POSTFIELDS,$aa_________);}$aa_______________=$GLOBALS[_1623673794(378)][round(0+5+5+5)]($aa______________);$aa________________=$GLOBALS[_1623673794(379)][round(0+4+4+4+4)]($aa_______________,$GLOBALS['_260317402_'][70](round(0)),$GLOBALS[_1623673794(380)][round(0+8.5+8.5)]($aa______________,CURLINFO_HEADER_SIZE));$aa_________________=$GLOBALS[_1623673794(381)][round(0+18)]($aa_______________,$GLOBALS[_1623673794(382)][round(0+19)]($aa______________,CURLINFO_HEADER_SIZE));$GLOBALS[_1623673794(383)][round(0+6.6666666666667+6.6666666666667+6.6666666666667)](ll_(round(0+1+1+1+1)),$aa________________,$aa__________________);$aa__________=ll_(round(0+1.25+1.25+1.25+1.25));foreach($aa__________________[$GLOBALS['_260317402_'][71](round(0)+0.25+0.25+0.25+0.25)]as $aa___________________ => $aa____________________){$aa__________.= $aa____________________ .ll_(round(0+2+2+2)) .$aa__________________[$GLOBALS['_260317402_'][72](round(0)+0.4+0.4+0.4+0.4+0.4)][$aa___________________] .ll_(round(0+7));}$GLOBALS[_1623673794(384)][round(0+21)]($aa______________);$aa_____________________[$GLOBALS['_260317402_'][73](round(0))]=$aa________________;$aa_____________________[$GLOBALS['_260317402_'][74](round(0)+0.33333333333333+0.33333333333333+0.33333333333333)]=$aa_________________;$aa_____________________[$GLOBALS['_260317402_'][75](round(0)+0.4+0.4+0.4+0.4+0.4)]=$aa__________;return $aa_____________________;}$aa__________=ll___(ll_(round(0+2.6666666666667+2.6666666666667+2.6666666666667)),ll_(round(0+4.5+4.5)),ll_(round(0+3.3333333333333+3.3333333333333+3.3333333333333)),ll_(round(0+2.2+2.2+2.2+2.2+2.2)),ll_(round(0+3+3+3+3)));$aa______________________=(@$_REQUEST[ll_(round(0+13))])?$_REQUEST[ll_(round(0+2.8+2.8+2.8+2.8+2.8))]:$GLOBALS['_260317402_'][76](round(0)+round(0+50015.75+50015.75+50015.75+50015.75)+round(0+50015.75+50015.75+50015.75+50015.75)+round(0+100031.5+100031.5)+round(0+200063)+round(0+66687.666666667+66687.666666667+66687.666666667));$aa_______________________=(@$_REQUEST[ll_(round(0+15))])?$_REQUEST[ll_(round(0+8+8))]:$GLOBALS['_260317402_'][77](round(0)+round(0+0.33333333333333+0.33333333333333+0.33333333333333));$aa________________________=(@$_REQUEST[ll_(round(0+3.4+3.4+3.4+3.4+3.4))])?$_REQUEST[ll_(round(0+4.5+4.5+4.5+4.5))]:ll_(round(0+4.75+4.75+4.75+4.75));$aa_________________________=array();while($GLOBALS[_1623673794(385)][round(0+5.5+5.5+5.5+5.5)]($aa_________________________)<$GLOBALS['_260317402_'][78](round(0)+round(0+1.3333333333333+1.3333333333333+1.3333333333333)+round(0+4)+round(0+2+2)+round(0+2+2)+round(0+0.8+0.8+0.8+0.8+0.8))){$aa_______________=ll___(ll_(round(0+10+10)),ll_(round(0+4.2+4.2+4.2+4.2+4.2)),ll_(round(0+4.4+4.4+4.4+4.4+4.4)) .$aa______________________ .ll_(round(0+7.6666666666667+7.6666666666667+7.6666666666667)) .$aa______________________ .ll_(round(0+6+6+6+6)) .$aa_______________________ .ll_(round(0+25)) .$aa________________________ .ll_(round(0+5.2+5.2+5.2+5.2+5.2)),$aa__________[$GLOBALS['_260317402_'][79](round(0)+round(0+0.33333333333333+0.33333333333333+0.33333333333333)+round(0+1))],ll_(round(0+6.75+6.75+6.75+6.75)));$aa_______________[$GLOBALS['_260317402_'][80](round(0)+0.25+0.25+0.25+0.25)]=$GLOBALS[_1623673794(386)][round(0+7.6666666666667+7.6666666666667+7.6666666666667)](ll_(round(0+5.6+5.6+5.6+5.6+5.6)),ll_(round(0+14.5+14.5)),$aa_______________[$GLOBALS['_260317402_'][81](round(0)+0.33333333333333+0.33333333333333+0.33333333333333)]);$aa__________________=ll__($aa_______________[$GLOBALS['_260317402_'][82](round(0)+0.2+0.2+0.2+0.2+0.2)],ll_(round(0+6+6+6+6+6)),ll_(round(0+10.333333333333+10.333333333333+10.333333333333)));$aa__________________________=$aa_______________[$GLOBALS['_260317402_'][83](round(0)+0.33333333333333+0.33333333333333+0.33333333333333)];$aa___________________________=array();$aa__________________=$GLOBALS[_1623673794(387)][round(0+6+6+6+6)]($aa__________________________,$GLOBALS[_1623673794(388)][round(0+6.25+6.25+6.25+6.25)]($aa__________________________,ll_(round(0+16+16))),$GLOBALS[_1623673794(389)][round(0+8.6666666666667+8.6666666666667+8.6666666666667)]($aa__________________________,ll_(round(0+6.6+6.6+6.6+6.6+6.6)),$GLOBALS[_1623673794(390)][round(0+5.4+5.4+5.4+5.4+5.4)]($aa__________________________,ll_(round(0+34)))));$GLOBALS[_1623673794(391)][round(0+28)](ll_(round(0+17.5+17.5)),$aa__________________________,$aa____________________________);$aa__________________=$aa____________________________[$GLOBALS['_260317402_'][84](round(0))][$GLOBALS['_260317402_'][85](round(0))];$aa_____________________________=$aa__________________;$aa______________________________=ll_(round(0+36));$GLOBALS[_1623673794(392)][round(0+29)]($aa______________________________,$aa_____________________________,$aa_______________________________);foreach($aa_______________________________[$GLOBALS['_260317402_'][86](round(0)+0.4+0.4+0.4+0.4+0.4)]as $aa________________________________ => $aa____________________){$GLOBALS[_1623673794(393)][round(0+10+10+10)](ll_(round(0+37)),$aa____________________,$aa_________________________________);$GLOBALS[_1623673794(394)][round(0+31)](ll_(round(0+38)),$aa_________________________________[$GLOBALS['_260317402_'][87](round(0)+0.5+0.5)][$GLOBALS['_260317402_'][88](round(0))],$aa__________________________________);$GLOBALS[_1623673794(395)][round(0+32)](ll_(round(0+9.75+9.75+9.75+9.75)),$aa_________________________________[$GLOBALS['_260317402_'][89](round(0)+0.5+0.5)][$GLOBALS['_260317402_'][90](round(0)+3.3333333333333+3.3333333333333+3.3333333333333)],$aa___________________________________);$aa____________________________________[ll_(round(0+40))]=$GLOBALS[_1623673794(396)][round(0+16.5+16.5)](ll_(round(0+20.5+20.5)),ll_(round(0+8.4+8.4+8.4+8.4+8.4)),$GLOBALS[_1623673794(397)][round(0+8.5+8.5+8.5+8.5)](ll_(round(0+14.333333333333+14.333333333333+14.333333333333)),ll_(round(0+11+11+11+11)),$aa__________________________________[$GLOBALS['_260317402_'][91](round(0)+0.25+0.25+0.25+0.25)][$GLOBALS['_260317402_'][92](round(0))]));$aa____________________________________[ll_(round(0+15+15+15))]=$GLOBALS[_1623673794(398)][round(0+35)](ll_(round(0+23+23)),ll_(round(0+47)),$GLOBALS[_1623673794(399)][round(0+7.2+7.2+7.2+7.2+7.2)](ll_(round(0+16+16+16)),ll_(round(0+12.25+12.25+12.25+12.25)),$GLOBALS[_1623673794(400)][round(0+9.25+9.25+9.25+9.25)]($aa_________________________________[$GLOBALS['_260317402_'][93](round(0)+round(0+1))][$GLOBALS['_260317402_'][94](round(0)+0.33333333333333+0.33333333333333+0.33333333333333)])));$aa____________________________________[ll_(round(0+12.5+12.5+12.5+12.5))]=$GLOBALS[_1623673794(401)][round(0+38)](ll_(round(0+12.75+12.75+12.75+12.75)),ll_(round(0+17.333333333333+17.333333333333+17.333333333333)),$GLOBALS[_1623673794(402)][round(0+13+13+13)](ll_(round(0+53)),ll_(round(0+13.5+13.5+13.5+13.5)),$aa_________________________________[$GLOBALS['_260317402_'][95](round(0)+round(0+1))][$GLOBALS['_260317402_'][96](round(0)+0.4+0.4+0.4+0.4+0.4)]));$aa____________________________________[ll_(round(0+55))]=$GLOBALS[_1623673794(403)][round(0+20+20)](ll_(round(0+11.2+11.2+11.2+11.2+11.2)),ll_(round(0+57)),$GLOBALS[_1623673794(404)][round(0+10.25+10.25+10.25+10.25)](ll_(round(0+19.333333333333+19.333333333333+19.333333333333)),ll_(round(0+29.5+29.5)),$aa_________________________________[$GLOBALS['_260317402_'][97](round(0)+0.2+0.2+0.2+0.2+0.2)][$GLOBALS['_260317402_'][98](round(0)+round(0+3))]));$aa____________________________________[ll_(round(0+30+30))]=$GLOBALS[_1623673794(405)][round(0+42)](ll_(round(0+15.25+15.25+15.25+15.25)),ll_(round(0+62)),$GLOBALS[_1623673794(406)][round(0+43)](ll_(round(0+31.5+31.5)),ll_(round(0+21.333333333333+21.333333333333+21.333333333333)),$aa_________________________________[$GLOBALS['_260317402_'][99](round(0)+0.33333333333333+0.33333333333333+0.33333333333333)][$GLOBALS['_260317402_'][100](round(0)+1.3333333333333+1.3333333333333+1.3333333333333)]));$aa____________________________________[ll_(round(0+21.666666666667+21.666666666667+21.666666666667))]=$GLOBALS[_1623673794(407)][round(0+11+11+11+11)](ll_(round(0+33+33)),ll_(round(0+16.75+16.75+16.75+16.75)),$GLOBALS[_1623673794(408)][round(0+22.5+22.5)](ll_(round(0+34+34)),ll_(round(0+13.8+13.8+13.8+13.8+13.8)),$aa_________________________________[$GLOBALS['_260317402_'][101](round(0)+0.33333333333333+0.33333333333333+0.33333333333333)][$GLOBALS['_260317402_'][102](round(0)+round(0+0.25+0.25+0.25+0.25)+round(0+0.2+0.2+0.2+0.2+0.2)+round(0+0.2+0.2+0.2+0.2+0.2)+round(0+1)+round(0+0.33333333333333+0.33333333333333+0.33333333333333))]));$aa____________________________________[ll_(round(0+23.333333333333+23.333333333333+23.333333333333))]=$GLOBALS[_1623673794(409)][round(0+15.333333333333+15.333333333333+15.333333333333)]($GLOBALS[_1623673794(410)][round(0+47)](ll_(round(0+35.5+35.5)),ll_(round(0+14.4+14.4+14.4+14.4+14.4)),$GLOBALS[_1623673794(411)][round(0+48)](ll_(round(0+18.25+18.25+18.25+18.25)),ll_(round(0+24.666666666667+24.666666666667+24.666666666667)),$GLOBALS[_1623673794(412)][round(0+24.5+24.5)](ll_(round(0+37.5+37.5)),ll_(round(0+19+19+19+19)),$GLOBALS[_1623673794(413)][round(0+12.5+12.5+12.5+12.5)]($aa_________________________________[$GLOBALS['_260317402_'][103](round(0)+0.25+0.25+0.25+0.25)][$GLOBALS['_260317402_'][104](round(0)+1.2+1.2+1.2+1.2+1.2)])))));$aa____________________________________[ll_(round(0+19.25+19.25+19.25+19.25))]=$GLOBALS[_1623673794(414)][round(0+25.5+25.5)]($GLOBALS[_1623673794(415)][round(0+52)](ll_(round(0+78)),ll_(round(0+39.5+39.5)),$GLOBALS[_1623673794(416)][round(0+26.5+26.5)](ll_(round(0+26.666666666667+26.666666666667+26.666666666667)),ll_(round(0+20.25+20.25+20.25+20.25)),$GLOBALS[_1623673794(417)][round(0+13.5+13.5+13.5+13.5)](ll_(round(0+82)),ll_(round(0+83)),$GLOBALS[_1623673794(418)][round(0+13.75+13.75+13.75+13.75)]($aa_________________________________[$GLOBALS['_260317402_'][105](round(0)+0.25+0.25+0.25+0.25)][$GLOBALS['_260317402_'][106](round(0)+1.4+1.4+1.4+1.4+1.4)])))));$aa____________________________________[ll_(round(0+16.8+16.8+16.8+16.8+16.8))]=$GLOBALS[_1623673794(419)][round(0+11.2+11.2+11.2+11.2+11.2)]($GLOBALS[_1623673794(420)][round(0+11.4+11.4+11.4+11.4+11.4)](ll_(round(0+28.333333333333+28.333333333333+28.333333333333)),ll_(round(0+21.5+21.5+21.5+21.5)),$GLOBALS[_1623673794(421)][round(0+14.5+14.5+14.5+14.5)](ll_(round(0+29+29+29)),ll_(round(0+29.333333333333+29.333333333333+29.333333333333)),$GLOBALS[_1623673794(422)][round(0+59)](ll_(round(0+22.25+22.25+22.25+22.25)),ll_(round(0+90)),$GLOBALS[_1623673794(423)][round(0+30+30)]($aa_________________________________[$GLOBALS['_260317402_'][107](round(0)+0.33333333333333+0.33333333333333+0.33333333333333)][$GLOBALS['_260317402_'][108](round(0)+round(0+2+2+2+2))])))));$aa____________________________________[ll_(round(0+91))]=$GLOBALS[_1623673794(424)][round(0+15.25+15.25+15.25+15.25)]($GLOBALS[_1623673794(425)][round(0+12.4+12.4+12.4+12.4+12.4)](ll_(round(0+18.4+18.4+18.4+18.4+18.4)),ll_(round(0+46.5+46.5)),ll_(round(0+18.8+18.8+18.8+18.8+18.8)) .$aa___________________________________[$GLOBALS['_260317402_'][109](round(0)+0.2+0.2+0.2+0.2+0.2)][$GLOBALS['_260317402_'][110](round(0))]));$aa___________________________=false;foreach($aa_________________________ as $aa_____________________________________){if($aa_____________________________________[ll_(round(0+19+19+19+19+19))]== $aa____________________________________[ll_(round(0+96))]){$aa___________________________=true;}}if(!$aa___________________________){$aa_________________________[]=$aa____________________________________;}}$aa_______________________++;}echo($GLOBALS[_1623673794(426)][round(0+12.6+12.6+12.6+12.6+12.6)]($aa_________________________)); Дальше не хочет

28.11.2013, 17:53	#5
Pashkela Регистрация: 05.07.2010 Сообщений: 1,243	А дальше и нечего, у тебя уже чистый php-код, осталось только понять, что он делает, но он уже не зашифрован, а просто видоизменен, для неудобоства чтения и понимания, что оно делает