Сейчас на форуме: localhost1, vsv1, asfa, tyns777 (+4 невидимых)

 eXeL@B —› Вопросы новичков —› Подскажите по скрину чем упакован пхп код или в какую сторону смотреть
Посл.ответ Сообщение

Ранг: 1.0 (гость)
Активность: 0.24=0.24
Статус: Участник

Создано: 18 июня 2020 15:54
· Личное сообщение · #1

Всем привет. Нет, это не краденое, это не чернуха или что то запрещеное УК.
Скажите, пожалуйста, можете ли сказать чем упакован пхп код, упакован ли вообще, может просто типа декомпиляция нужна(не знаю как в пхп это называется) или типа того.
Вот скрин кода http://joxi.ru/4AkpkV6fowwRqr
Нужно с этим что то сделать чтобы получить читаемый пхп код.
Подскажите, пожалуйста, в какую сторону смотреть. Можно ли это сделать самому или есть специальные люди и вы их знаете и они готовы помочь?
Спасибо.



Ранг: 63.5 (постоянный), 35thx
Активность: 0.290.96
Статус: Участник

Создано: 18 июня 2020 16:45 · Поправил: _MBK_
· Личное сообщение · #2

На скриншоте просто случайный бинарный мусор, по нему ничего определить нельзя, это может быть все что угодно - и скомпилированный байткод, и просто упакованный-зашифрованный и вообще не пыхпых
Нужно больше данных - как и откуда эта штука запускается и как сам файл хотя бы выглядит?
Вот это может чтото прояснит? https://ru.stackoverflow.com/questions/38585/%D0%9A%D0%BE%D0%BC%D0%BF%D0%B8%D0%BB%D1%8F%D1%86%D0%B8%D1%8F-php



Ранг: 43.1 (посетитель), 20thx
Активность: 0.160.29
Статус: Участник

Создано: 18 июня 2020 16:47
· Личное сообщение · #3

Это какой-то мусор, а не php-код. По этому скриншоту ничего толкового сказать невозможно. Нужно больше информации, а лучше файлы.




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 18 июня 2020 17:16
· Личное сообщение · #4

Хочу назад в эпоху трубочных мониторов, когда юзеры на мобилу скриншоты не делали.

-----
2 оттенка серого


| Сообщение посчитали полезным: plutos

Ранг: 5.8 (гость), 1thx
Активность: 0=0
Статус: Участник

Создано: 18 июня 2020 17:33
· Личное сообщение · #5

tb1tb1 пишет:
Нет, это не краденое, это не чернуха или что то запрещеное УК.


Если не краденное - тогда обратитесь к автору кода, он Вам поможет быстрее.



Ранг: 1.0 (гость)
Активность: 0.24=0.24
Статус: Участник

Создано: 19 июня 2020 12:28
· Личное сообщение · #6

Спасибо, что откликнулись.
GeorgeS пишет:
Если не краденное - тогда обратитесь к автору кода, он Вам поможет быстрее.

Я и мой разработчик уже не знаем что делать. И писали и звонили. Разраб дополнения просто забил. Если получится декомпильнуть, то вышлю ему донат и забью. Если нет, то мой разраб будет писать свое дополнение.
Вот файл для примера из папки backend\actions

49f0_19.06.2020_EXELAB.rU.tgz - index.php



Ранг: 63.5 (постоянный), 35thx
Активность: 0.290.96
Статус: Участник

Создано: 19 июня 2020 14:13
· Личное сообщение · #7

На байткод это тоже не похоже - просто хорошо криптованый кусок чего угодно
А он как то запускается? Откуда? И еще примеры есть?



Ранг: 73.1 (постоянный), 130thx
Активность: 0.040.23
Статус: Участник

Создано: 19 июня 2020 14:41
· Личное сообщение · #8

Нет ли в сопроводиловке (readme или на сайте, откуда брали скрипт) перечня зависимостей?
Может там будет какой-нибудь ioncube, это прояснит вопрос. Должен ведь чем-то этот файл деобфусцироваться/дешифроваться перед выполнением - обычно это стронний модуль к самому PHP-движку.



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

Создано: 19 июня 2020 14:46
· Личное сообщение · #9

tb1 пишет:
index.php

Наверное ж должен какой-то деобфускатор сначала сработать. Типа Zend. Или самопал через eval$
Как это вообще может выполняться в присланном Вами виде?!




Ранг: 104.9 (ветеран), 47thx
Активность: 0.040.02
Статус: Участник

Создано: 19 июня 2020 14:51
· Личное сообщение · #10

ionCube PHP Encoder (Binary)



Ранг: 63.5 (постоянный), 35thx
Активность: 0.290.96
Статус: Участник

Создано: 19 июня 2020 15:04
· Личное сообщение · #11

Насколько я понимаю. у ionCube достаточно упорядоченная структура бинарника получается или он научился шифровать?



Ранг: 1.0 (гость)
Активность: 0.24=0.24
Статус: Участник

Создано: 19 июня 2020 16:10 · Поправил: tb1
· Личное сообщение · #12

_MBK_ пишет:
На байткод это тоже не похоже - просто хорошо криптованый кусок чего угодно
А он как то запускается? Откуда? И еще примеры есть?


Примеров полно http://joxi.ru/n2YkqyJhbvEK9r

ELF_7719116 пишет:
Наверное ж должен какой-то деобфускатор сначала сработать. Типа Zend. Или самопал через eval$
Как это вообще может выполняться в присланном Вами виде?

Подскажите, пожалуйста, что надо прислать?




Ранг: 104.9 (ветеран), 47thx
Активность: 0.040.02
Статус: Участник

Создано: 19 июня 2020 18:29 · Поправил: ManHunter
· Личное сообщение · #13

_MBK_ пишет:
у ionCube достаточно упорядоченная структура бинарника получается

Ну куб же сам должен понимать, что файл представляет "его" код, а не случайный набор данных. Есть сигнатуры, по ним все определяется.
Текстовый выхлоп куба определяется вообще глазками, бинарный чуть похуже.

tb1
У китайцев есть онлайновые сервисы для снятия ioncube, за деньги, естественно.



Ранг: 63.5 (постоянный), 35thx
Активность: 0.290.96
Статус: Участник

Создано: 19 июня 2020 19:09
· Личное сообщение · #14

Ну я и говорю, в первом файле никаких признаков хоть какой то упорядоченной структуры - с начала до конца - белый шум. Остальные пока не смотрел




Ранг: 55.9 (постоянный), 29thx
Активность: 0.120.22
Статус: Участник

Создано: 19 июня 2020 19:21
· Личное сообщение · #15

Это больше похоже на гадание на кофейной гуще. Имхо, стоит начинать смотреть на то, где и как он использовался и что его крутило и из этого уже исходить. А так тыканье пальцем в небо.

| Сообщение посчитали полезным: f13nd


Ранг: 104.9 (ветеран), 47thx
Активность: 0.040.02
Статус: Участник

Создано: 19 июня 2020 19:35
· Личное сообщение · #16

Я так понимаю, мои сообщения в этой теме так никто и не прочитал?
Версию кубика назвать, которым упакован скрипт? Ок, по сигнатуре это версия ionCube 4.
ТС хоть все скрипты тут отскриншотит, сути это не поменяет, на сервере стоит модуль, который это дело расшифровывает и выполняет. А сами по себе скрипты вам ничем не помогут, хоть засмотритесь на них.



Ранг: 63.5 (постоянный), 35thx
Активность: 0.290.96
Статус: Участник

Создано: 19 июня 2020 21:07
· Личное сообщение · #17

А можно в порядке повышения общей эрудиции - где именно там сигнатура?



Ранг: 1.0 (гость)
Активность: 0.24=0.24
Статус: Участник

Создано: 19 июня 2020 21:32
· Личное сообщение · #18

ManHunter пишет:
У китайцев есть онлайновые сервисы для снятия ioncube, за деньги, естественно.

Дайте ссылку, пожалуйста, если вас не затруднит

Добавлено спустя 1 минуту
ManHunter пишет:
на сервере стоит модуль, который это дело расшифровывает и выполняет.

А как может выглядеть этот модуль?




Ранг: 104.9 (ветеран), 47thx
Активность: 0.040.02
Статус: Участник

Создано: 19 июня 2020 21:35 · Поправил: ManHunter
· Личное сообщение · #19

У кубика два варианта выхлопа, это чисто бинарный, как у ТС, или текстовый, по сути тот же бинарь, но под base64. Это на случай, если в скрипт надо будет добавить какие-нибудь камменты, копирайты и прочую шелуху, чтобы редактор не покалечил кодированный скрипт. Опционально может быть заголовок <?php ...... ?>, но все прекрасно работает и без него.
Сигнатура - первые 4 байта бинаря. В текстовом выхлопе, соответственно, те же 4 байта, но после раскодирования base64.

Добавлено спустя 5 минут
tb1 пишет:
А как может выглядеть этот модуль?

в зависимости от операционной системы сервера https://www.ioncube.com/loaders.php

tb1 пишет:
Дайте ссылку, пожалуйста, если вас не затруднит

http://www.dezend.ir , просят 15$ за скрипт, но с гарантией
https://easytoyou.eu

| Сообщение посчитали полезным: tb1, _MBK_


Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 20 июня 2020 01:05
· Личное сообщение · #20

_MBK_ пишет:
А можно в порядке повышения общей эрудиции - где именно там сигнатура?

Вот тулза, можешь глянуть:

_ttp://www.manhunter.ru/releases/90_pcls_phpid_2_1_public_release.html

-----
ds


| Сообщение посчитали полезным: _MBK_

Ранг: 63.5 (постоянный), 35thx
Активность: 0.290.96
Статус: Участник

Создано: 20 июня 2020 10:21
· Личное сообщение · #21

То есть, я правильно понимаю, у всех кодированных ionCube скриптов будет сигнатура 45 BF A6 67 ?



Ранг: 1.0 (гость)
Активность: 0.24=0.24
Статус: Участник

Создано: 21 июня 2020 20:41
· Личное сообщение · #22

Закинул файл для теста в https://easytoyou.eu/ и получаю ответ:
The file backend.php can't be decoded.
No decoder available for php version 7.x.

Отсюда вопрос - шансы есть или забить и писать свое?



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

Создано: 21 июня 2020 22:19
· Личное сообщение · #23

tb1
Быстрее и дешевле переписать. PHP всё таки.
Полагаю, даже в самом лучшем случае, если реверснуть интерпретатор, то функционал будет не полным, читабельные имена переменных и фунций утеряны.

| Сообщение посчитали полезным: tb1


Ранг: 104.9 (ветеран), 47thx
Активность: 0.040.02
Статус: Участник

Создано: 23 июня 2020 14:36
· Личное сообщение · #24

_MBK_ пишет:
То есть, я правильно понимаю, у всех кодированных ionCube скриптов будет сигнатура 45 BF A6 67 ?

Для разных версий сигнатура меняется, но в пределах мажорной версии сигнатура всегда одинаковая.


 eXeL@B —› Вопросы новичков —› Подскажите по скрину чем упакован пхп код или в какую сторону смотреть
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати