no-img
اِمیلا

رمز گشایی فایل های PHP در برابر ویروس ها

بروزرسانی؛
22 مارس 2020
تروجان اسم ویروس کرم اینترنتی

اکثر بد افزار های PHP مانند تروجان ها و … معمولا به صورت رمزگذاری شده استفاده می شود. مثلا شما زمانی که یک ویروس یا فایل مخرب PHP را پیدا می کنید، ممکن است با چنین چیزی مواجه شوید.

<?php eval(gzinflate(str_rot13(base64_decode('vUl6QttV  ...........  EP58V')))); ?>

برای این که بتوانیم فایل مخرب را رمز گشایی کنیم، می بایست تابع eval را با تابع print جایگزین کنیم تا کدهای اصلی برنامه به جای این که اجرا شود، فقط نمایش داده شود. سپس فایل را اجرا میکنیم و خروجی را مشاهده میکنیم که سورس اصلی برنامه خواهد بود.

اما همیشه مسئله به این سادگی نیست. گاهی اوقات رمز گشایی یک ویروس بسیار دشوار و زمان بر می باشد. مثلا ممکن است از فراخوانی های recursive تابع eval استفاده شده باشد. ضمن این که به جای تابع eval از چند تابع دیگر نیز می توان استفاده کرد.

در این مطلب قصد داریم دو روش ساده برای رمز گشایی چنین فایل هایی را معرفی کنیم.

1- ابزار اول سایت http://www.unphp.net/ به طور موثری این گونه فایل ها را رمز گشایی می کند و همچنین یک نمودار به شما تحویل می دهد که چگونگی رمز نگاری فایل را در قالب الگوریتم مشخص میکند.

مثال: این لینک :

http://www.unphp.net/decode/989784f552ed894f67b7691487375a37/

2- ابزار دوم، سایت http://ddecode.com/phpdecoder است.

این سایت امکان رمز گشایی php و فایل های hex را دارا می باشد. مثال های زیادی هم در صفحه ی اصلی سایت وجود دارد.

نمونه:

http://ddecode.com/phpdecoder/?results=989784f552ed894f67b7691487375a37

لینک کوتاه : https://emila.ir/?p=14897
سلام علیکم!
فرم گزارش را به دقت تکمیل نمایید...
از همکاری شما پیشاپیش سپاسگذاریم