新版phpjm混淆加密解密代码分析

时间:2024年05月07日

/

来源:网络

/

编辑:佚名

php解混淆加密:简单说明一下,具体是什么加密我也不知道,可能是phpjm2
此加密方式我也不知道叫啥,有的php解密平台显示phpjm2、zym、新版phpjm我也不知道是那个,知道的可以评论我改一下标题。
加密文件里面有#!/usr/bin/php -q标识和一堆类似于base64代码,以及混淆的乱码变量。
phpjm的函数变量命名都是 \$[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]* 这个范围的。
加密文件如下图:
使用说明:
把下面代码保存一个文件,与需要解密的文件放在同一个目录。
修改$finame使用文件名,使用浏览器访问保存的这个解密文件,会生成一个 “文件名.de.php”的新文件。
$filename='authorize'';//文件名 不要后缀
待加密的文件authorize.php,执行解密文件phpjm.php,会生成authorize.de.php
解密文件phpjm.php
<?php
$filename='authorize';//文件名 不要后缀
$str = file_get_contents("$filename.php");
preg_match_all('|[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*|', $str, $params) or die('err 1.');
$params = array_unique($params[0]); // 去重复
$replace = array();
foreach ($params as $k=>$v){
    if(preg_match('/[a-zA-Z_]+/',$v,$re)){//过滤掉正常的英文变量名
        unset($params[$k]);
        continue;
    }
    $replace[] = 'MD5_'.md5($v);
}
$str = str_replace($params, $replace, $str);
$file_url = str_replace("\\", "/", dirname(__FILE__))."/$filename.php";
$str = str_replace('__FILE__',"'$file_url'", $str);
$str = str_replace('return(eval(',"\$aaa=((", $str);
$str = str_replace(' ?>','return $aaa; ?>', $str);
$str = str_replace('<?php ','', $str);
$str_array = explode(' ?>',$str);
//print_r($str_array[0]);
$cc = eval($str_array[0]);
 
preg_match_all('|[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*|', $cc, $params) or die('err 1.');
$params = array_unique($params[0]); // 去重复
$replace2 = array();
foreach ($params as $k=>$v){
    if(preg_match('/[a-zA-Z_]+/',$v,$re)){//过滤掉正常的英文变量名
        unset($params[$k]);
        continue;
    }
    $replace2[] = 'MD5_'.md5($v);
}
$str = str_replace($params, $replace2, $cc);
//$str = str_replace('{', '{/*', $str);
//$str = str_replace('}', '*/}', $str);
$str = str_replace('return(eval(',"\$bbb=((", $str);
$str = str_replace(' ?>','return $bbb;', $str);
 
preg_match_all('|\@MD5\_[a-z0-9]{32}\(\);|', $str, $params) or die('cccc');
$params = array_unique($params[0]); // 去重复
$str = str_replace($params, 'NULL;', $str);
 
$dd = eval($str);
 
preg_match_all('|[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*|', $dd, $params) or die('err 1.');
$params = array_unique($params[0]); // 去重复
$replace3 = array();
foreach ($params as $k=>$v){
    if(preg_match('/[a-zA-Z_]+/',$v,$re)){//过滤掉正常的英文变量名
        unset($params[$k]);
        continue;
    }
    $replace3[] = 'MD5_'.md5($v);
}
$str = str_replace($params, $replace3, $dd);
$str = str_replace(';?><?php','<?php', $str);
 
preg_match_all('|MD5\_[a-z0-9]{32}\(\'.*?\',\'.*?\'\)|', $str, $params) or die('cccc');
$params1 = array_unique($params[0]); // 去重复
$replace_a1 = array();
foreach ($params1 as $v){
    eval("\$replace_a1[]=\"'\".".$v.".\"'\";");
}
$str = str_replace($params1, $replace_a1, $str);
 
//print_r($replace_a1);
//exit();
preg_match_all('|\$GLOBALS\[\'MD5\_[a-z0-9]{32}\'\]\[\'MD5\_[a-z0-9]{32}\'\]|', $str, $params) or die('cccc');
$params2 = array_unique($params[0]); // 去重复
 
$replace_a2 = array();
foreach ($params2 as $v){
    eval("\$replace_a2[]=".$v.";");
}
//print_r($replace_a2);
//exit();
$str = str_replace($params2, $replace_a2, $str);
 
//print_r($params2);
echo $str;
file_put_contents($filename.".de.php", $str);
echo 'Done.';
 
//print_r($GLOBALS);
 
//print_r($params);
//echo $str;
猜你需要

豫ICP备2021026617号-1  豫公网安备:41172602000185   Copyright © 2021-2028 www.78moban.com/ All Rights Reserved

本站作品均来自互联网,转载目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。如有侵犯您的版权,请联系 1565229909#qq.com(把#改成@),我们将立即处理。