请教一个问题，关于php加密，黑客

猛犸

是这样的，我建的企业站被黑了，很多目录加了个php文件

第一次解密后，发现是调用了图片目录里边的一个  ".123456.ico" 文件

查看ico文件，并非图片，而是php代码

再次解密，得到代码，我是用unphp的在线解密的，代码太长，直接发链接

https://www.unphp.net/decode/99955e2940ac96171c579009917a1847/

可以看到是

1. $_4lrawfh = basename /*vazs*/
   
2. ( /*sf8*/
   
3. trim /*qyf*/
   
4. ( /*ga*/
   
5. preg_replace /*8fd17*/
   
6. ( /*60*/
   
7. rawurldecode /*wugz5*/
   
8. ( /*06*/
   
9. "%2F%5C%28.%2A%24%2F" /*bi*/
   
10. ) /*6*/, '', __FILE__ /*w*/
    
11. ) /*fhd*/ /*i7d*/
    
12. ) /*7y0r*/ /*qxu5*/
    
13. ) /*9eyb*/;
    
14. $_x6jl2 = "xxxxxxcode"
    
15. ;
    
16. eval /*ia*/
    
17. ( /*hmxf9*/
    
18. rawurldecode /*t*/
    
19. ( /*qhn*/
    
20. $_x6jl2 /*874h*/
    
21. ) /*jp2*/ ^ substr /*78*/
    
22. ( /*r0cv*/
    
23. str_repeat /*eh*/
    
24. ( /*k*/
    
25. $_4lrawfh, /*0n*/
    
26. ( /*dqo7i*/
    
27. strlen /*t2d1*/
    
28. ( /*6xe7*/
    
29. $_x6jl2 /*wfo*/
    
30. ) /*eijdf*/ / strlen /*jly*/
    
31. ( /*t*/
    
32. $_4lrawfh /*i*/
    
33. ) /*x*/ /*hcn*/
    
34. ) /*4svih*/ + 1 /*0a*/
    
35. ) /*xz*/, 0, strlen /*g96ik*/
    
36. ( /*ocw*/
    
37. $_x6jl2 /*7*/
    
38. ) /*jqxp*/ /*ia*/
    
39. ) /*alo9e*/ /*673yl*/
    
40. ) /*rcg6*/;

复制代码

请问这是什么加密方法，用的什么加密软件？

如何解密$_x6jl2 = "xxxxxxcode"中间的xxxxxxcode部分。

很苦恼，被反复黑。。

xfspace

猛犸 发表于 2018-12-22 14:52
非常感谢， url解码后很混乱，php混淆有办法破吗？

eval换成echo

xfspace

simple php混淆

1. $_4lrawfh = basename( trim ( preg_replace (rawurldecode("%2F%5C%28.%2A%24%2F" ) , '', __FILE__ ) ));
   
2. $_x6jl2 = "xxxxxxcode";
   
3. 
   
4. eval ( rawurldecode ( $_x6jl2 )  ^ substr ( str_repeat ( $_4lrawfh, ( strlen ( $_x6jl2 )  / strlen ( $_4lrawfh ) )  + 1 ) , 0, strlen ( $_x6jl2))) ;
   

复制代码

$_x6jl2用URL Decode

猛犸

xfspace 发表于 2018-12-22 13:41
simple php混淆

非常感谢， url解码后很混乱，php混淆有办法破吗？