ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
09.10.2009, 11:57
|
|
Познавший АНТИЧАТ
Регистрация: 27.04.2007
Сообщений: 1,044
Провел на форуме:
3660186
Репутация:
905
|
|
Да, можно. Деобфускация приводит к коду
PHP код:
@eval (gzinflate (base64_decode (str_rot13 ("тут base64-строка"))));
вернуть к исходному несложно)
Последний раз редактировалось krypt3r; 09.10.2009 в 12:00..
|
|
|
09.10.2009, 13:06
|
|
Участник форума
Регистрация: 13.11.2007
Сообщений: 180
Провел на форуме:
1058585
Репутация:
122
|
|
Сообщение от krypt3r
Да, можно. Деобфускация приводит к коду
PHP код:
@eval (gzinflate (base64_decode (str_rot13 ("тут base64-строка"))));
вернуть к исходному несложно) А как сделать Деобфускацию? Каким инструментом или какой функцией?
|
|
|
|
09.10.2009, 13:24
|
|
Познавший АНТИЧАТ
Регистрация: 27.04.2007
Сообщений: 1,044
Провел на форуме:
3660186
Репутация:
905
|
|
|
|
|
|
09.10.2009, 13:33
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
вот именно, выложена часть кода обфусцированного:
PHP код:
<?php
@set_time_limit(0);
@ini_set("display_errors","1");
$l280330b5cf5="\x62\141\x73\145\x36\64\x5f\144\x65\143\x6f\144\x65";
echo $l280330b5cf5('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');
?>
выводит:
Код:
$b77935666b77bf0131eebad3fb8eedc3="\x62";$i02f342aa0eb7cb5e7b8bf2ff6df2ddb="\x65";$vd56c5a8be9fe12f756cc85574e3673a="\x66";$yc90f890f4b33a918aa99e4cd6c3156e="\x67";$x36cfd3bfecdaf54224dd135d506a164="\x6d";$h38a1102b0228ac77a425f948162dfeb="\x6f";$p788412497f7b1d000696c57cc327442="\x6f";$j596c078e79b05a84c6fbef7f31376c0="\x6f";$qcdec4dd16c94e55c0495876c351c4bb="\x6f";$l71111acfb6d1fce73d00ab996496cde="\x73";$yd7399198bd123c96ad0a5ad26ba13c4="\x73";$v13403ab53f083427767649b4df17531="\x73";$ud36a17186f236358c2699e90cb04272="\x73";$b77935666b77bf0131eebad3fb8eedc3.="\141";$i02f342aa0eb7cb5e7b8bf2ff6df2ddb.="\162";$vd56c5a8be9fe12f756cc85574e3673a.="\151";$yc90f890f4b33a918aa99e4cd6c3156e.="\172";$x36cfd3bfecdaf54224dd135d506a164.="\144";$h38a1102b0228ac77a425f948162dfeb.="\142";$p788412497f7b1d000696c57cc327442.="\142";$j596c078e79b05a84c6fbef7f31376c0.="\142";$qcdec4dd16c94e55c0495876c351c4bb.="\142";$l71111acfb6d1fce73d00ab996496cde.="\164";$yd7399198bd123c96ad0a5ad26ba13c4.="\164";$v13403ab53f083427767649b4df17531.="\164";$ud36a17186f236358
|
|
|
|
10.10.2009, 17:37
|
|
Познающий
Регистрация: 03.11.2008
Сообщений: 33
Провел на форуме:
410921
Репутация:
0
|
|
ребят помогите раскодировать криптованую тдску в ней кодированы некоторые файлы (не все)
ТДС
кодировано этим Obfuscation provided by FOPO - Free Online PHP Obfuscator v1.2: http://www.fopo.com.ar |
|
|
|
10.10.2009, 18:42
|
|
Постоянный
Регистрация: 15.06.2008
Сообщений: 941
Провел на форуме:
5111568
Репутация:
2399
|
|
Сообщение от lol100
ребят помогите раскодировать криптованую тдску в ней кодированы некоторые файлы (не все)
ТДС
кодировано этим Obfuscation provided by FOPO - Free Online PHP Obfuscator v1.2: http://www.fopo.com.ar #28 - #30 посты в етой теме
|
|
|
|
10.10.2009, 18:54
|
|
Познающий
Регистрация: 03.11.2008
Сообщений: 33
Провел на форуме:
410921
Репутация:
0
|
|
Сообщение от eLWAux
#28 - #30 посты в етой теме
неполучается, может кто поможет для кого ето просто
|
|
|
|
10.10.2009, 22:03
|
|
Участник форума
Регистрация: 13.11.2007
Сообщений: 180
Провел на форуме:
1058585
Репутация:
122
|
|
Потер...
Последний раз редактировалось iron-viper; 10.10.2009 в 23:19..
|
|
|
|
12.10.2009, 17:35
|
|
Постоянный
Регистрация: 15.06.2008
Сообщений: 941
Провел на форуме:
5111568
Репутация:
2399
|
|
PERL Обфускатор: http://uasc.org.ua/2009/10/perl-obf/
|
|
|
|
IonCube декодирован что дальше? |
16.10.2009, 01:56
|
|
Новичок
Регистрация: 15.10.2009
Сообщений: 1
Провел на форуме:
11020
Репутация:
5
|
|
IonCube декодирован что дальше?
Здравствуйте уважаемые форумчане !
Не думал что прийдется с этим столкнутся, все таки пришлось .
В ожидании помощи от вас есть у меня закодированный скрипт при помощи IonCube там не все файлы штук 14 вообщем вроде как нашел декодер пытался раскадировать в итоге получились такие зарисовки
PHP код:
<?php
if ( !extension_loaded( "ionCube Loader" ) ) { $__oc = strtolower( substr( php_uname( ), 0, 3 ) ); $__ln = "/ioncube/ioncube_loader_".$__oc."_".substr( phpversion( ), 0, 3 ).( $__oc == "win" ? ".dll" : ".so" ); $__oid = $__id = realpath( ini_get( "extension_dir" ) ); $__here = dirname( __FILE__ ); if ( 1 < strlen( $__id ) && $__id[1] == ":" ) { $__id = str_replace( "\\", "/", substr( $__id, 2 ) ); $__here = str_replace( "\\", "/", substr( $__here, 2 ) ); } $__rd = str_repeat( "/..", substr_count( $__id, "/" ) ).$__here."/"; $__i = strlen( $__rd ); while ( $__i-- ) { if ( $__rd[$__i] == "/" ) { $__lp = substr( $__rd, 0, $__i ).$__ln; if ( file_exists( $__oid.$__lp ) ) { $__ln = $__lp; break; } } } @dl( $__ln ); } else { exit( "The file ".__FILE__." is corrupted. Ensure that you use binary mode when transferring files with FTP and disable the 'TAR smart cr/lf feature' if using WinZIP\n" ); } if ( function_exists( "_il_exec" ) ) { return _il_exec( ); } echo "Site error: the file <b>".__FILE__."</b> requires the ionCube PHP Loader ".basename( $__ln )." to be installed by the site administrator."; exit( 199 ); echo "\x13мџ\x14\x00¤эбњ!ЖЦ]lhВU\x06щІ\x02]vV\x19Чљ\x17Ёјy°ґ\x19/п›pa·¶]qАа{ЫЖ\x1A\x16%ФЏ[Ї”kщFлn\r“\x15бS~kJ™7”\x17б¬~©Мл ОеlV±Ћ\x1EЏц¬U]НъP]ѕ,MА\$Д8є’»М*±˜М9Ѕ’\\‰.¦'\x06ѕ‰ЦїhЌ_„‘’`\x01µ#вWрCп‰[бїЩшF2¤uYЧмаІ:ђ„UfТ}®Kћґ—pYоE1фT\x05ДE}C@гФМe‰жЩ*#дЇWu*fЌ\x15f‚кJd\x06AемПґ\x17\x08cч]9Ц\x0C.[(oщ2j\x01\x06@Х\x04ѓт^§_з0Gtё)а5•¶ Q\x196ЇОEй\x031v©™¦д!*ґz\rУ?k•ЎJ]Хт3Ц8[gйt\x06gXn2\nэ9,PЪјіMАёL—їОh\x0FY\x1BgД\x01>ђхuiЮЗОйу\x06㋉YGНў\x14Ю‡ґ`\x0C\x0FJ®ф®І+к迥ђйп(?u\x1FBЋi\x08\x05ЭО§wш:ЏЖ*љoОм\x11xхЯ?ЖV^Д\")Ѕ™K-kШ\x0F–@ТAzB\tt3ЩіO\x15Й>і"; echo "ьыд~UЪ\x03Ч‰\x1C?*ћ`\x00•8\x12M\x07Йцп6|њ\x1BqO_Б\x18¦&мmbо±u°A№\x12’r{„г\x08\x1B\x1DC`Y\x04мcyeё‚»ИЦбџМХњPЦгф\x04q®еЌCо/к/НsEfЩ\$Бџ\x03i†\x1CO=D¶ј\x04\x0F™\x1D{ђyы\$\x16tЁ{V«\x03¶•ШPГЇЩи\n\x15§н\x05\x12=MиФ“%b‹\x01чКZ\x1E^aн;FZ%А«\x0B\r\x10Юж\x1Dю[¤фљjЭїЎWѓuџЛ—Ањѕ0Ї\x07Ог9њho†o№\x109©c”\x1FВ©вЖж~]бЄ‰>м20Ђ\x1EЁш`р…—F(VxёZ?˜яЉ\x1EЭHЭЩЪrі+rOё\t1yІ\x16\x0C6ќСб\x12\\ЉZз\nршiб\x05Т‚rўiЎrШP_ќЧЩa\x1C\x10†©\r@b(o¶\x14юЮµд\x1FWЊRЃ¶AnҐ±јїаjЭ\n\x03xЧОTr\x02УJюIыЕ*Ы¦¦Ђ„iаЬдvi?Bw\x12П\\Ю\x13\x15Ўт¤Ш\x086чЉ\x0F*A\x0Fи\x16rяZ77„}z:аФ!~їУЋфЯ˜Ћё\"Ю\x1ER9\x16‰«щЉfДцkj\x12Г|IЅг~"; echo "`шCO’Ў,\r#“\x1C3f>ҐЦ\x0B\$\x08ќ3Т\x1F\x06®AэZ“р*МWПpU-,WN|˜fћЉ\x1D\x0F\x0BЌЎе’«єqуЧћF\x12^\x06Я§Rѓ_Ў,\n|Ц‘—#a}+шqpиhкЛ\x05Ю\x13%A9§\x06\x1D«,2†™їнUЄ:сЉД,!!oоа4+їбTI—‚Ж>Ћ†Ў±/ћцЌЩ\x13\x0F\x07\x05¦LхWoҐрШpr+кќQZ\x1C”RG\x1F¬‰iоВt”nQn\x0BЭ/a#kHt(\t!K±\x0CїLѕОY\x16.UР,аП¦ЄљнA‘ћ\x17jНЋ»\x13\"a(ЗhЩ¬о®r¬“J{±˜7EАфоM\x07':6Хв*ЋјцЬCёЙCпЩx\x19БкжЫ•ёGґEґН‡ЃAЭ~ЃѓtEk'х6EЗ\r\x1F!…\x0EХ\x1D\\Сp\t%ы%\\\x1A'юоk§О.я¬5\x12*Я\x0Cњ\x01®\x0Bл>њ/%цD৬чЅqГтшФXеЗс\x05\x14Щ9›\"y~\"c«*k\x16\x03єшўWє)\\З\x0Fў7ЄФрў{,\x12\x15„µК\"еџYЏ+o\rw›‚8ХеH…W‹\$дЃ•’уiRw\x05Ђ8Е Оу"; echo "hUБµяO0уВj6…P]AЅ%№3a®щЦ„?‚ъЈСp\x02ЈtЌП\"Дj\x17ыЂКaQ\x19K\x19¤шJ*М7SкРЙ\x19\x05Vrе;‡\x1CєЇҐъ\x19lЩ«Б\x0CAіl\x13\x18{†С=\x052l\x06¶¶µz5ЕЇ¦luВсЮ\nЌЃБ!lюeOКЅ›\x1B…дЫ=9\$г?є/XЫ\t°ЫЪX5\x02шО\x1F\x16…*ЛKЊ*kЅ?¬5э;Я\x06ею?™Рq8DЎьFё\x16*\x11·фЕ\x15ВЄ'^шѓx…(ѕ–/rьЫM{ћќ1pв \x040Щ.8\x15\\э*ГГ±юE`·ЭзЕc\x1B\x01+k\\\x1EиvdCVћ\x17ц\x1Cp\\UO ‡]‰т®\\Ґ*5L\x1EtМ •ї\x03ўоcр–Kт“кfБ\x17О>k~Чh®Љ^\x14сЯKnудр9цoџЖѕ„d\x0E–Ьj\x0E\x04\x14ЎТђНgг“QnT\tЅь‰`СC-ћ\x18\rВФ\x12SйTрµз©\x1Aфд}\x18x'\x1DЋA\x16\x1BjьЬ\x02Ѓ^bї˜±°z·”О\x10o»\x05ЖDjG)ДІјн˜xYB“Щh°>Vб°\x07ЖЯЯЕn>3*љX\x1F\x05}‹\x15=eK\x0F_"; echo "µ`ѓ,…ьg\x02‘ш\x03tб'7ќѓіЁЌr2q\x05‰§Zџ*(\x0Cj}W”8ч‘\\…ъi\x17Jђл4NЪ\x1C?y%ЮзбНяkIяh\x08c/џяZl’Ґ\x1CyI«™\x1E‡ќ7p¬їv*у\r‡eЫҐs‚\"\x0BЭ¬уZ\nЮу‚©хgfУЮ\nH_\x0Eµ в›5?¬Iє;·T.Ї\x16\x0C…\x01ГЃ’к“ђЁj«м#*БЯЮrkF\x19#Э}З†G˜\x0E*ПEйє`їєьЭ\x05Є\x1B¶\x14л*ї\x10Ќ]CЕжѕД™\x0Fф¶H*L&2яµ¤ґ9Љ\x1FЉI\x10-‡фДЂ.\x13JҐЬ\x11”P@m‰}я˜'e-їОM°А\x03ROj\x08Qіч\x04°4Щ{о™”жЖ\\[dmm\x01{tЦШУ\x00*[[‚ўйХ*,Ъ8'|\x17JК=ОљИД:*\"AчyІ\x02\\яґйEЖђцй\rЌЩзј\x13M\x05п!ЂЪйK‘УK\x06RQ”sNrfьЯ\r±\x12”лоАСЁънжхhbљU“o\\\x19\x0CїЕЇ\x15!Ћуg\np\x16Дh_\x00\x0BшЏ@мНї|:o]№ZЮ\x05РкRYnњНЩ¤|l\x1EЯ…ґ‹cУjY"; echo "бђXR‰t¬Њ\x03Т\x11I#З\x19?зМt]&д7'Ї9Ќє{aВ\x04\\ж\x0CнР\$\x11Ђg„ш—\"pЂЂ7:ХґњЫџ’%\x0Bв7T±¶\x13ЋF^*љ\ryй\x03„tL›\x1E\x0Bw6ГVљ*t¬_‰\x06йIe6Б\"bћъ]\n—Ћ~R+џH‘%—¦?‘MMT‡G\r\x06C\x16Ќ`X\x0B\x17А^}Лґгђ“Аrz\x02Н.э2\t#*CнћЦЋд¤©ІьЂ+ўЉh§Cѓ[ЈЃ\x18?un\x1E=±t#ј\x0F’&Ю*Њ\x1CKм‰Q?o\x11°я@‚‡ГcЭFРз\x1Egr\x1EFоAХж)лЁ®‹9:Ґ\x18®\x13 5y®j—ђжйЂ2vdU'Ж\x05jдф”\$Х*Њ^ш:ЙKl9чЩхG”и[`\x1EµhнЬ["; ?>
это на выходе уже типо как декодированные файлы видимо требуется еще какая то операция чего я к сожелению не знаю,
Вопрос это можно раскадировать далее или это не правильный код выдал декодер ?? и если можно продемонстрируйте пожалуйста как это сделать что бы остальные файлы добить.
Спасибо за ответ. |
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид