Hướng dẫn how to decode php file - cách giải mã tập tin php

Nếu bạn đã từng có một trang web hoặc máy chủ bị hack đang phục vụ các tệp PHP, thì bạn có thể đã bắt gặp một tệp như thế này:

Đây là một ví dụ thực tế mà Reddit User /U /Narcissus921 đã đăng ở đây. Ngay cả một lập trình viên có kinh nghiệm cũng có thể gặp khó khăn trong việc làm sáng tỏ những gì một chương trình như thế này làm. & NBSP; tin tặc thường làm xáo trộn mã của họ để bạn không thể giải mã được cách thức hoạt động.Hackers often obfuscate their code so you can't decipher how it works.

$ dghpp = '3Ga, k#) mt: [y2v*'^'v53c9 | [($ u)-[8m`kre/z'; $ gqwmvj = '4}'^'ph`t.p';/ *$ yyb; u`wg6 | cj! j3Hpokqu #fzbv#s

/*$zbrux;Slz07 = Hf`ldyrg ';/*cxuyn/5.i7yprma7pb*? {*/

Nó vẫn không thể đọc chính xác, nhưng đó là một bước đi đúng hướng.

Một số bạn có thể đã nhận thấy rất nhiều mã trong tệp này không làm gì cả. Mã nơi các hoạt động được thực hiện, nhưng không có giá trị nào được gán, chuỗi không được gán, v.v. Đây là một thủ thuật khác, các tin tặc sử dụng để loại bỏ bạn: thêm mã ngẫu nhiên không thực sự làm gì cả.

Bước tiếp theo của chúng tôi là sẽ loại bỏ loại mã đó. Nó có thể là một chút khó khăn để tìm ra liệu mã có đang làm gì đó hay không, nhưng một hướng dẫn dễ dàng để tuân theo là: nếu không có bài tập ($ foo = $ bar) hoặc không có gọi gọi chức năng (foo () hoặc $ foo ()) , sau đó chúng ta có thể giả sử mã một cách an toàn không ảnh hưởng đến chương trình và nó có thể được xóa. & nbsp;

Một ví dụ hoàn hảo về những gì tôi đang nói là 3 dòng này ngay tại đây:

'j [vo'; ##? SM) O ([K], 2WP-Qbjloily) k:+l0; $ As? C: 03.

$ wwii ('$ (r6%] W? DVM! Y $ `-W?

}

$ rsx = $ zff;

$ yknx = 'l+o_ $ urrrsho = szmn $';

$ txwtr = 'hn8#8sm^';

Đây là một ví dụ về những gì tôi muốn nói khi đi từng dòng. Trong trường hợp này, tôi lưu ý những gì biến chứa bằng cách đặt giá trị của nó trong một nhận xét ở trên nó.

$ dghpp = '3Ga, k#) mt: [y2v*' ^ 'v53c9 | [($ u)-[8m`kre/z';

$ gqwmvj = '4}' ^ 'ph`t.p';evalute its variables. After all, is said and done, our program should now look like this:

$ txwtr = 'hn8#8sm^';

$ oqxj = 'ou4! qg1';

$ txwtr = 'hn8#8sm^';

// $ wwii không thực sự chấp nhận bất kỳ tham số nào

Bạn sẽ nhận thấy trong 2 dòng mã đầu tiên, chương trình sẽ tắt lỗi. Điều này là để ngăn chặn các lỗi được ghi lại và cảnh báo có khả năng được hiển thị cho người dùng. Tiến hành điều đó, chương trình sau đó đọc trong một giá trị băm từ cookie của người dùng; Nếu giá trị khớp với giá trị băm được mã hóa cứng, thì chương trình sẽ thực thi mã trong khối if. Xác thực nguyên thủy này được thực hiện để chỉ đảm bảo hacker hoặc ai đó có kiến ​​thức về giá trị băm được lưu trữ có thể chạy một số phần của chương trình.

Bên trong khối IF, chương trình cố gắng lấy nội dung của một tệp được lưu trữ cục bộ trên máy chủ. Nếu tệp không tồn tại cục bộ, nó sẽ cố gắng sử dụng giá trị văn bản được lưu trữ trong cookie của người dùng. Nó lặp lại bước một lần nữa cho một tập tin thứ hai. Sau đó, nó giải mã và kết hợp hai nội dung của tệp thành một số có lẽ là một số mã PHP thực thi khó chịu. & NBSP; bước cuối cùng là thực sự chạy mã đó bằng cách sử dụng eval ().

Như bạn có thể thấy, tin tặc thường đi rất lâu để che giấu ý định của họ và che giấu hành động của họ. Việc obfuscation ở trên chỉ là một trong nhiều cách tin tặc có thể ẩn chức năng của mã của chúng.

Hy vọng, bạn không bao giờ thấy một trong những tệp này trên máy chủ của riêng bạn. Nhưng, nếu bạn làm thế, bây giờ bạn sẽ có thể tìm thấy nó và tìm hiểu hoạt động bên trong của nó.

Làm cách nào để mở tệp định dạng PHP?

Giải mã PHP là gì?