一款免杀php大马的解密与去后门

2011-02-07 15:00 1322人阅读

今天想找个php木马来管理自己的空间，但是手头没有，只好去网上找个，结果发现黑白网络有一个叫做“新版免杀php大马”的东西，于是下载了下来，我的avast果断给干掉了，尴尬 - -!好吧

于是关掉杀毒 ，重新下载，好吧，这是一个小插曲!、

[delphi] view
plaincopyprint?

刚下下来的php源文件下载在这里
http://down.qiannao.com/space/file/strivescript/share/2011/2/7/-514d-6740php-5927-9a6c_-521d-4e0b-8f7d-7248.rar/.page
然后把东西移动到虚拟机里面的php环境中，打开一看，有加密，用的函数是：

先用这个函数base64_decode（）然后用这个函数gzuncompress(）加密，好的是密文就一块啊，然后把这一块全部剪切

重新写个php文件：

[c-sharp] view
plaincopyprint?

<?php

print_r(gzunconpress(base64_decode(密文段)));

?>

就这个简单，吼吼 ，源代码一览无余啊！！！！

看到源代码后

Ctrl+F找这个 http://
发现没问题，然后在浏览一下源代码，发现还有个加密地方：

分别用上面的方法 发现其中有个酷似后门

<script src='貌似后门地址' ></script>

然后删除这段代码

ok了 在跑一下 发现释放不出mix.dll

难得弄了 我解密后的源码可以到这里下载

[c-sharp] view
plaincopyprint?
http://down.qiannao.com/space/file/strivescript/share/2011/2/7/-9700-8981-91ca-653edll-7684php-9a6c.zip/.page
该地址已失效 http://www.gngngn.com