Revertir un c贸digo encriptado
Sergio
02 de Febrero del 2009
Hola amigos:
Tengo un problema bien grande...... me han encargado redise帽ar la intranet de la empresa, que esta todo en php. Pero la gran mayor铆a de los archivos estan encriptados. Este es un ejemplo:
<?php
if(!function_exists('findsysfolder'))
{
function findsysfolder($fld)
{
$fld1=dirname($fld);
$fld=$fld1.'/scopbin';
clearstatcache();
if(!is_dir($fld))return findsysfolder($fld1);
else return $fld;
}
}
require_once(findsysfolder(__FILE__).'/911006.php');
$REXISTHECAT4FBI='FE....8(f0666f0acdeed38d4cd9084a de1739498(__FILE__));
$REXISTHEDOG4FBI='7B....BDCD';
$REXISTHECAT4FBI='94....1A6';
eval(y0666f0acdeed38d4cd9084ade1739498'73D77F8186C 4CF3F1E',$REXISTHEDOG4FBI));
?>
donde estan los puntos suspensivos (......) es porque sigue una fila enorme de
caracteres (tanto letras como n煤meros).
Buscando entre todos los archivos, encontre uno llamado fun_libadmin.inc.php que son las funciones globales y ahi encontre un c贸digo que parece ha sido copiado del web (copy & paste) y dice en la advertencia lo siguiente:
* ZLib library is required to execute our encrypted codes. We recommend PHP 4.2 and above because the lower versions will result in buffer handling error.
Hasta donde tenia entendido zlib es una librer铆a para comprimir m谩s no para encriptar, aunque obviamente puedo estar equivocado.
Trate de ubicar al programador pero me entere de que este tuvo problemas con la empresa (en la que estoy trabajando) y simplemente vino un d铆a, instal贸 la intranet y nunca m谩s apareci贸. Todos me aseguran que el c贸digo era plano y no se explican como apareci贸 estos archivos encriptados. Para mi es obvio que dado el problema que tuvo con la empresa, vino y encripto para joder..... y vaya que lo logro. Simplemente esta inubicable.... por ning煤n medio hemos podido ubicarlo y como vino "recomendado por el amigo de la enamorada del hijo del jefe"..... pues vaya uno a saber.
Estoy en un lio....... la otra alternativa es empezar de cero los archivos faltantes y son (no exagero) 183 archivos!!!!!!!!.....
Yo estoy empezando en PHP, pues antes trabaje full ASP. No me ha ido mal hasta ahora, pero necesito apoyo para saber si es posible revertir la encriptaci贸n y de ser asi como hacerlo.
Muchas gracias por todo
Tengo un problema bien grande...... me han encargado redise帽ar la intranet de la empresa, que esta todo en php. Pero la gran mayor铆a de los archivos estan encriptados. Este es un ejemplo:
<?php
if(!function_exists('findsysfolder'))
{
function findsysfolder($fld)
{
$fld1=dirname($fld);
$fld=$fld1.'/scopbin';
clearstatcache();
if(!is_dir($fld))return findsysfolder($fld1);
else return $fld;
}
}
require_once(findsysfolder(__FILE__).'/911006.php');
$REXISTHECAT4FBI='FE....8(f0666f0acdeed38d4cd9084a de1739498(__FILE__));
$REXISTHEDOG4FBI='7B....BDCD';
$REXISTHECAT4FBI='94....1A6';
eval(y0666f0acdeed38d4cd9084ade1739498'73D77F8186C 4CF3F1E',$REXISTHEDOG4FBI));
?>
donde estan los puntos suspensivos (......) es porque sigue una fila enorme de
caracteres (tanto letras como n煤meros).
Buscando entre todos los archivos, encontre uno llamado fun_libadmin.inc.php que son las funciones globales y ahi encontre un c贸digo que parece ha sido copiado del web (copy & paste) y dice en la advertencia lo siguiente:
* ZLib library is required to execute our encrypted codes. We recommend PHP 4.2 and above because the lower versions will result in buffer handling error.
Hasta donde tenia entendido zlib es una librer铆a para comprimir m谩s no para encriptar, aunque obviamente puedo estar equivocado.
Trate de ubicar al programador pero me entere de que este tuvo problemas con la empresa (en la que estoy trabajando) y simplemente vino un d铆a, instal贸 la intranet y nunca m谩s apareci贸. Todos me aseguran que el c贸digo era plano y no se explican como apareci贸 estos archivos encriptados. Para mi es obvio que dado el problema que tuvo con la empresa, vino y encripto para joder..... y vaya que lo logro. Simplemente esta inubicable.... por ning煤n medio hemos podido ubicarlo y como vino "recomendado por el amigo de la enamorada del hijo del jefe"..... pues vaya uno a saber.
Estoy en un lio....... la otra alternativa es empezar de cero los archivos faltantes y son (no exagero) 183 archivos!!!!!!!!.....
Yo estoy empezando en PHP, pues antes trabaje full ASP. No me ha ido mal hasta ahora, pero necesito apoyo para saber si es posible revertir la encriptaci贸n y de ser asi como hacerlo.
Muchas gracias por todo
grekos
02 de Febrero del 2009
Yo puedo desofuscar ese c贸digo ofuscado. Est谩 ofuscado con un programa que se llama sourcecop. De momento tengo que hacerlo a mano y es un trabajo bastante tedioso pero el resultado es el archivo original exactamente igual que antes de que lo ofuscaran.
Ponte en contacto conmigo escribiendome a [email protected] y vemos lo que podemos hacer.
Saludos,
GREKO
Ponte en contacto conmigo escribiendome a [email protected] y vemos lo que podemos hacer.
Saludos,
GREKO