Русский / Russian English / Английский

Сейчас на форуме: (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› Подскажите по скрину чем упакован пхп код или в какую сторону смотреть
Посл.ответ Сообщение

Ранг: 1.0 (гость)
Статус: Участник

Создано: 18 июня 2020 15:54 New!
Цитата · Личное сообщение · #1

Всем привет. Нет, это не краденое, это не чернуха или что то запрещеное УК.
Скажите, пожалуйста, можете ли сказать чем упакован пхп код, упакован ли вообще, может просто типа декомпиляция нужна(не знаю как в пхп это называется) или типа того.
Вот скрин кода http://joxi.ru/4AkpkV6fowwRqr
Нужно с этим что то сделать чтобы получить читаемый пхп код.
Подскажите, пожалуйста, в какую сторону смотреть. Можно ли это сделать самому или есть специальные люди и вы их знаете и они готовы помочь?
Спасибо.



Ранг: 61.5 (постоянный)
Статус: Участник

Создано: 18 июня 2020 16:45 · Поправил: _MBK_ New!
Цитата · Личное сообщение · #2

На скриншоте просто случайный бинарный мусор, по нему ничего определить нельзя, это может быть все что угодно - и скомпилированный байткод, и просто упакованный-зашифрованный и вообще не пыхпых
Нужно больше данных - как и откуда эта штука запускается и как сам файл хотя бы выглядит?
Вот это может чтото прояснит? https://ru.stackoverflow.com/questions/38585/%D0%9A%D0%BE%D0%BC%D0%BF%D0%B8%D0%BB%D1%8F%D1%86%D0%B8%D1%8F-php



Ранг: 43.1 (посетитель)
Статус: Участник

Создано: 18 июня 2020 16:47 New!
Цитата · Личное сообщение · #3

Это какой-то мусор, а не php-код. По этому скриншоту ничего толкового сказать невозможно. Нужно больше информации, а лучше файлы.




Ранг: 271.2 (наставник)
Статус: Участник

Создано: 18 июня 2020 17:16 New!
Цитата · Личное сообщение · #4

Хочу назад в эпоху трубочных мониторов, когда юзеры на мобилу скриншоты не делали.

| Сообщение посчитали полезным: plutos


Ранг: 5.8 (гость)
Статус: Участник

Создано: 18 июня 2020 17:33 New!
Цитата · Личное сообщение · #5

tb1tb1 пишет:
Нет, это не краденое, это не чернуха или что то запрещеное УК.


Если не краденное - тогда обратитесь к автору кода, он Вам поможет быстрее.



Ранг: 1.0 (гость)
Статус: Участник

Создано: 19 июня 2020 12:28 New!
Цитата · Личное сообщение · #6

Спасибо, что откликнулись.
GeorgeS пишет:
Если не краденное - тогда обратитесь к автору кода, он Вам поможет быстрее.

Я и мой разработчик уже не знаем что делать. И писали и звонили. Разраб дополнения просто забил. Если получится декомпильнуть, то вышлю ему донат и забью. Если нет, то мой разраб будет писать свое дополнение.
Вот файл для примера из папки backend\actions

{ Атач доступен только для участников форума } - index.php



Ранг: 61.5 (постоянный)
Статус: Участник

Создано: 19 июня 2020 14:13 New!
Цитата · Личное сообщение · #7

На байткод это тоже не похоже - просто хорошо криптованый кусок чего угодно
А он как то запускается? Откуда? И еще примеры есть?



Ранг: 73.1 (постоянный)
Статус: Участник

Создано: 19 июня 2020 14:41 New!
Цитата · Личное сообщение · #8

Нет ли в сопроводиловке (readme или на сайте, откуда брали скрипт) перечня зависимостей?
Может там будет какой-нибудь ioncube, это прояснит вопрос. Должен ведь чем-то этот файл деобфусцироваться/дешифроваться перед выполнением - обычно это стронний модуль к самому PHP-движку.



Ранг: 419.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 19 июня 2020 14:46 New!
Цитата · Личное сообщение · #9

tb1 пишет:
index.php

Наверное ж должен какой-то деобфускатор сначала сработать. Типа Zend. Или самопал через eval$
Как это вообще может выполняться в присланном Вами виде?!




Ранг: 104.9 (ветеран)
Статус: Участник

Создано: 19 июня 2020 14:51 New!
Цитата · Личное сообщение · #10

ionCube PHP Encoder (Binary)



Ранг: 61.5 (постоянный)
Статус: Участник

Создано: 19 июня 2020 15:04 New!
Цитата · Личное сообщение · #11

Насколько я понимаю. у ionCube достаточно упорядоченная структура бинарника получается или он научился шифровать?



Ранг: 1.0 (гость)
Статус: Участник

Создано: 19 июня 2020 16:10 · Поправил: tb1 New!
Цитата · Личное сообщение · #12

_MBK_ пишет:
На байткод это тоже не похоже - просто хорошо криптованый кусок чего угодно
А он как то запускается? Откуда? И еще примеры есть?


Примеров полно http://joxi.ru/n2YkqyJhbvEK9r

ELF_7719116 пишет:
Наверное ж должен какой-то деобфускатор сначала сработать. Типа Zend. Или самопал через eval$
Как это вообще может выполняться в присланном Вами виде?

Подскажите, пожалуйста, что надо прислать?




Ранг: 104.9 (ветеран)
Статус: Участник

Создано: 19 июня 2020 18:29 · Поправил: ManHunter New!
Цитата · Личное сообщение · #13

_MBK_ пишет:
у ionCube достаточно упорядоченная структура бинарника получается

Ну куб же сам должен понимать, что файл представляет "его" код, а не случайный набор данных. Есть сигнатуры, по ним все определяется.
Текстовый выхлоп куба определяется вообще глазками, бинарный чуть похуже.

tb1
У китайцев есть онлайновые сервисы для снятия ioncube, за деньги, естественно.



Ранг: 61.5 (постоянный)
Статус: Участник

Создано: 19 июня 2020 19:09 New!
Цитата · Личное сообщение · #14

Ну я и говорю, в первом файле никаких признаков хоть какой то упорядоченной структуры - с начала до конца - белый шум. Остальные пока не смотрел




Ранг: 56.0 (постоянный)
Статус: Участник

Создано: 19 июня 2020 19:21 New!
Цитата · Личное сообщение · #15

Это больше похоже на гадание на кофейной гуще. Имхо, стоит начинать смотреть на то, где и как он использовался и что его крутило и из этого уже исходить. А так тыканье пальцем в небо.

| Сообщение посчитали полезным: f13nd



Ранг: 104.9 (ветеран)
Статус: Участник

Создано: 19 июня 2020 19:35 New!
Цитата · Личное сообщение · #16

Я так понимаю, мои сообщения в этой теме так никто и не прочитал?
Версию кубика назвать, которым упакован скрипт? Ок, по сигнатуре это версия ionCube 4.
ТС хоть все скрипты тут отскриншотит, сути это не поменяет, на сервере стоит модуль, который это дело расшифровывает и выполняет. А сами по себе скрипты вам ничем не помогут, хоть засмотритесь на них.



Ранг: 61.5 (постоянный)
Статус: Участник

Создано: 19 июня 2020 21:07 New!
Цитата · Личное сообщение · #17

А можно в порядке повышения общей эрудиции - где именно там сигнатура?



Ранг: 1.0 (гость)
Статус: Участник

Создано: 19 июня 2020 21:32 New!
Цитата · Личное сообщение · #18

ManHunter пишет:
У китайцев есть онлайновые сервисы для снятия ioncube, за деньги, естественно.

Дайте ссылку, пожалуйста, если вас не затруднит

Добавлено спустя 1 минуту
ManHunter пишет:
на сервере стоит модуль, который это дело расшифровывает и выполняет.

А как может выглядеть этот модуль?




Ранг: 104.9 (ветеран)
Статус: Участник

Создано: 19 июня 2020 21:35 · Поправил: ManHunter New!
Цитата · Личное сообщение · #19

У кубика два варианта выхлопа, это чисто бинарный, как у ТС, или текстовый, по сути тот же бинарь, но под base64. Это на случай, если в скрипт надо будет добавить какие-нибудь камменты, копирайты и прочую шелуху, чтобы редактор не покалечил кодированный скрипт. Опционально может быть заголовок <?php ...... ?>, но все прекрасно работает и без него.
Сигнатура - первые 4 байта бинаря. В текстовом выхлопе, соответственно, те же 4 байта, но после раскодирования base64.

Добавлено спустя 5 минут
tb1 пишет:
А как может выглядеть этот модуль?

в зависимости от операционной системы сервера https://www.ioncube.com/loaders.php

tb1 пишет:
Дайте ссылку, пожалуйста, если вас не затруднит

http://www.dezend.ir , просят 15$ за скрипт, но с гарантией
https://easytoyou.eu

| Сообщение посчитали полезным: tb1, _MBK_



Ранг: 253.5 (наставник)
Статус: Участник
radical

Создано: 20 июня 2020 01:05 New!
Цитата · Личное сообщение · #20

_MBK_ пишет:
А можно в порядке повышения общей эрудиции - где именно там сигнатура?

Вот тулза, можешь глянуть:

_ttp://www.manhunter.ru/releases/90_pcls_phpid_2_1_public_release.html

| Сообщение посчитали полезным: _MBK_


Ранг: 61.5 (постоянный)
Статус: Участник

Создано: 20 июня 2020 10:21 New!
Цитата · Личное сообщение · #21

То есть, я правильно понимаю, у всех кодированных ionCube скриптов будет сигнатура 45 BF A6 67 ?



Ранг: 1.0 (гость)
Статус: Участник

Создано: 21 июня 2020 20:41 New!
Цитата · Личное сообщение · #22

Закинул файл для теста в https://easytoyou.eu/ и получаю ответ:
The file backend.php can't be decoded.
No decoder available for php version 7.x.

Отсюда вопрос - шансы есть или забить и писать свое?



Ранг: 419.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 21 июня 2020 22:19 New!
Цитата · Личное сообщение · #23

tb1
Быстрее и дешевле переписать. PHP всё таки.
Полагаю, даже в самом лучшем случае, если реверснуть интерпретатор, то функционал будет не полным, читабельные имена переменных и фунций утеряны.

| Сообщение посчитали полезным: tb1



Ранг: 104.9 (ветеран)
Статус: Участник

Создано: 23 июня 2020 14:36 New!
Цитата · Личное сообщение · #24

_MBK_ пишет:
То есть, я правильно понимаю, у всех кодированных ionCube скриптов будет сигнатура 45 BF A6 67 ?

Для разных версий сигнатура меняется, но в пределах мажорной версии сигнатура всегда одинаковая.


 eXeL@B —› Вопросы новичков —› Подскажите по скрину чем упакован пхп код или в какую сторону смотреть

Видеокурс ВЗЛОМ