| Сейчас на форуме: localhost1, vsv1, asfa, tyns777 (+4 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Подскажите по скрину чем упакован пхп код или в какую сторону смотреть |
| Посл.ответ | Сообщение |
|
|
Создано: 18 июня 2020 15:54 · Личное сообщение · #1 Всем привет. Нет, это не краденое, это не чернуха или что то запрещеное УК. Скажите, пожалуйста, можете ли сказать чем упакован пхп код, упакован ли вообще, может просто типа декомпиляция нужна(не знаю как в пхп это называется) или типа того. Вот скрин кода http://joxi.ru/4AkpkV6fowwRqr Нужно с этим что то сделать чтобы получить читаемый пхп код. Подскажите, пожалуйста, в какую сторону смотреть. Можно ли это сделать самому или есть специальные люди и вы их знаете и они готовы помочь? Спасибо.  |
|
|
Создано: 18 июня 2020 16:45 · Поправил: _MBK_ · Личное сообщение · #2 На скриншоте просто случайный бинарный мусор, по нему ничего определить нельзя, это может быть все что угодно - и скомпилированный байткод, и просто упакованный-зашифрованный и вообще не пыхпых Нужно больше данных - как и откуда эта штука запускается и как сам файл хотя бы выглядит? Вот это может чтото прояснит? https://ru.stackoverflow.com/questions/38585/%D0%9A%D0%BE%D0%BC%D0%BF%D0%B8%D0%BB%D1%8F%D1%86%D0%B8%D1%8F-php |
|
|
Создано: 18 июня 2020 16:47 · Личное сообщение · #3 Это какой-то мусор, а не php-код. По этому скриншоту ничего толкового сказать невозможно. Нужно больше информации, а лучше файлы. |
|
|
Создано: 18 июня 2020 17:16 · Личное сообщение · #4 Хочу назад в эпоху трубочных мониторов, когда юзеры на мобилу скриншоты не делали. ----- 2 оттенка серого | Сообщение посчитали полезным: plutos |
|
|
Создано: 18 июня 2020 17:33 · Личное сообщение · #5 tb1tb1 пишет: Нет, это не краденое, это не чернуха или что то запрещеное УК. Если не краденное - тогда обратитесь к автору кода, он Вам поможет быстрее. |
|
|
Создано: 19 июня 2020 12:28 · Личное сообщение · #6 Спасибо, что откликнулись. GeorgeS пишет: Если не краденное - тогда обратитесь к автору кода, он Вам поможет быстрее. Я и мой разработчик уже не знаем что делать. И писали и звонили. Разраб дополнения просто забил. Если получится декомпильнуть, то вышлю ему донат и забью. Если нет, то мой разраб будет писать свое дополнение. Вот файл для примера из папки backend\actions  49f0_19.06.2020_EXELAB.rU.tgz - index.php
|
|
|
Создано: 19 июня 2020 14:13 · Личное сообщение · #7 На байткод это тоже не похоже - просто хорошо криптованый кусок чего угодно А он как то запускается? Откуда? И еще примеры есть? |
|
|
Создано: 19 июня 2020 14:41 · Личное сообщение · #8 Нет ли в сопроводиловке (readme или на сайте, откуда брали скрипт) перечня зависимостей? Может там будет какой-нибудь ioncube, это прояснит вопрос. Должен ведь чем-то этот файл деобфусцироваться/дешифроваться перед выполнением - обычно это стронний модуль к самому PHP-движку. |
|
|
Создано: 19 июня 2020 14:46 · Личное сообщение · #9 tb1 пишет: index.php Наверное ж должен какой-то деобфускатор сначала сработать. Типа Zend. Или самопал через eval$ Как это вообще может выполняться в присланном Вами виде?! |
|
|
Создано: 19 июня 2020 14:51 · Личное сообщение · #10 ionCube PHP Encoder (Binary) |
|
|
Создано: 19 июня 2020 15:04 · Личное сообщение · #11 Насколько я понимаю. у ionCube достаточно упорядоченная структура бинарника получается или он научился шифровать? |
|
|
Создано: 19 июня 2020 16:10 · Поправил: tb1 · Личное сообщение · #12 _MBK_ пишет: На байткод это тоже не похоже - просто хорошо криптованый кусок чего угодно А он как то запускается? Откуда? И еще примеры есть? Примеров полно http://joxi.ru/n2YkqyJhbvEK9r ELF_7719116 пишет: Наверное ж должен какой-то деобфускатор сначала сработать. Типа Zend. Или самопал через eval$ Как это вообще может выполняться в присланном Вами виде? Подскажите, пожалуйста, что надо прислать? |
|
|
Создано: 19 июня 2020 18:29 · Поправил: ManHunter · Личное сообщение · #13 _MBK_ пишет: у ionCube достаточно упорядоченная структура бинарника получается Ну куб же сам должен понимать, что файл представляет "его" код, а не случайный набор данных. Есть сигнатуры, по ним все определяется. Текстовый выхлоп куба определяется вообще глазками, бинарный чуть похуже. tb1 У китайцев есть онлайновые сервисы для снятия ioncube, за деньги, естественно. |
|
|
Создано: 19 июня 2020 19:09 · Личное сообщение · #14 Ну я и говорю, в первом файле никаких признаков хоть какой то упорядоченной структуры - с начала до конца - белый шум. Остальные пока не смотрел |
|
|
Создано: 19 июня 2020 19:21 · Личное сообщение · #15 Это больше похоже на гадание на кофейной гуще. Имхо, стоит начинать смотреть на то, где и как он использовался и что его крутило и из этого уже исходить. А так тыканье пальцем в небо. | Сообщение посчитали полезным: f13nd |
|
|
Создано: 19 июня 2020 19:35 · Личное сообщение · #16 Я так понимаю, мои сообщения в этой теме так никто и не прочитал? Версию кубика назвать, которым упакован скрипт? Ок, по сигнатуре это версия ionCube 4. ТС хоть все скрипты тут отскриншотит, сути это не поменяет, на сервере стоит модуль, который это дело расшифровывает и выполняет. А сами по себе скрипты вам ничем не помогут, хоть засмотритесь на них. |
|
|
Создано: 19 июня 2020 21:07 · Личное сообщение · #17 А можно в порядке повышения общей эрудиции - где именно там сигнатура? |
|
|
Создано: 19 июня 2020 21:32 · Личное сообщение · #18 ManHunter пишет: У китайцев есть онлайновые сервисы для снятия ioncube, за деньги, естественно. Дайте ссылку, пожалуйста, если вас не затруднит Добавлено спустя 1 минуту ManHunter пишет: на сервере стоит модуль, который это дело расшифровывает и выполняет. А как может выглядеть этот модуль? |
|
|
Создано: 19 июня 2020 21:35 · Поправил: ManHunter · Личное сообщение · #19 У кубика два варианта выхлопа, это чисто бинарный, как у ТС, или текстовый, по сути тот же бинарь, но под base64. Это на случай, если в скрипт надо будет добавить какие-нибудь камменты, копирайты и прочую шелуху, чтобы редактор не покалечил кодированный скрипт. Опционально может быть заголовок <?php ...... ?>, но все прекрасно работает и без него. Сигнатура - первые 4 байта бинаря. В текстовом выхлопе, соответственно, те же 4 байта, но после раскодирования base64. Добавлено спустя 5 минут tb1 пишет: А как может выглядеть этот модуль? в зависимости от операционной системы сервера https://www.ioncube.com/loaders.php tb1 пишет: Дайте ссылку, пожалуйста, если вас не затруднит http://www.dezend.ir , просят 15$ за скрипт, но с гарантией https://easytoyou.eu | Сообщение посчитали полезным: tb1, _MBK_ |
|
|
Создано: 20 июня 2020 01:05 · Личное сообщение · #20 _MBK_ пишет: А можно в порядке повышения общей эрудиции - где именно там сигнатура? Вот тулза, можешь глянуть: _ttp://www.manhunter.ru/releases/90_pcls_phpid_2_1_public_release.html ----- ds | Сообщение посчитали полезным: _MBK_ |
|
|
Создано: 20 июня 2020 10:21 · Личное сообщение · #21 То есть, я правильно понимаю, у всех кодированных ionCube скриптов будет сигнатура 45 BF A6 67 ? |
|
|
Создано: 21 июня 2020 20:41 · Личное сообщение · #22 Закинул файл для теста в https://easytoyou.eu/ и получаю ответ: The file backend.php can't be decoded. No decoder available for php version 7.x. Отсюда вопрос - шансы есть или забить и писать свое? |
|
|
Создано: 21 июня 2020 22:19 · Личное сообщение · #23 tb1 Быстрее и дешевле переписать. PHP всё таки. Полагаю, даже в самом лучшем случае, если реверснуть интерпретатор, то функционал будет не полным, читабельные имена переменных и фунций утеряны. | Сообщение посчитали полезным: tb1 |
|
|
Создано: 23 июня 2020 14:36 · Личное сообщение · #24 _MBK_ пишет: То есть, я правильно понимаю, у всех кодированных ionCube скриптов будет сигнатура 45 BF A6 67 ? Для разных версий сигнатура меняется, но в пределах мажорной версии сигнатура всегда одинаковая. |
|
eXeL@B —› Вопросы новичков —› Подскажите по скрину чем упакован пхп код или в какую сторону смотреть |
Для печати