解码加密的 PHP 文件帮助答案

【问题标题】：Decode an Encrypted PHP File Assistance解码加密的 PHP 文件帮助
【发布时间】：2012-08-25 01:52:12
【问题描述】：

我有一个要解码的文件，但我不确定最好的解码方法。我已经尝试通过一些在线工具将其放入，但运气不佳...代码如下所示：

<?php

$zAkSoSavjFOn='jumbledcodeinhere';

$THkNltHSOjsXfQLzr=';))))aBSwinFbFxNm$(ireegf(rqbprq_46rfno(rgnysavmt(ynir';

$DzbOntpeGhMcan=strrev($THkNltHSOjsXfQLzr);

$WnJYuMUwKmRxBh=str_rot13($DzbOntpeGhMcan);

eval($WnJYuMUwKmRxBh);

?>

在我所有的演奏中，我设法用一个 php 脚本提取了以下内容：

eval(gzinflate(base64_decode(strrev($zAkSoSavjFOn))));

有人能指出我在这个过程中的正确方向吗？任何帮助，将不胜感激。 :)

【问题讨论】：

我不确定这实际上是加密的 - 它看起来更像是故意混淆以保护版权/知识产权。如果您无法访问实际来源，那么您很可能通过尝试对此进行解码而触犯了法律

标签： php decode encryption

【解决方案1】：

“乱码”是经过 gzip 压缩、base64 编码的反向 PHP 代码，几乎可以肯定是恶意的。

将eval 替换为echo，看看它会给你什么，这就是试图运行的代码。

【讨论】：

将eval 替换为echo 会返回eval(gzinflate(base64_decode(strrev($zAkSoSavjFOn)))); 代码。
啊，我指的是eval。试试这个：echo gzinflate(base64_decode(strrev($zAkSoSavjFOn)));
好的，我明白了。当我这样做时，它会返回以下内容，几乎类似于第一个块...$dXWzuSHlsBFgCJhKbBgV='morejumbledcode'; $PUjTLmBUZDuFRJ=';))))ItOoXuWPtSOfyUFhmJKq$(ireegf(rqbprq_46rfno(rgnysavmt(ynir'; $FYYfZGltrAQcNREfSr=strrev($PUjTLmBUZDuFRJ); $_JmCKTmVJADRViXHTZE=str_rot13($FYYfZGltrAQcNREfSr); eval($_JmCKTmVJADRViXHTZE);
编写此代码的人会竭尽全力隐藏它。继续做同样的事情，用echo 替换eval，直到你得到看起来不一样的东西。
嗯...有趣的是，它最终让我编写了清晰易读的代码，但都是关于打开/关闭 curl 的。最后一行看起来像这样：$_SESSION['awcvagcontent'] = $content; } else { $content = $_SESSION['awcvagcontent'];} } eval( ' ?>' . base64_decode( $content ) . ' 在我的编辑器中，它告诉我最后一行 php 有一个错误，如果我尝试回显在最后一行找到的 eval，我只会得到一个“意外的 T_ENCAPSED_AND_WHITESPACE”错误。隐藏 curl 选项对我来说似乎很奇怪......或者我仍然缺少代码的其他部分？