Revertir un código encriptado

Sergio
02 de Febrero del 2009
Hola amigos:
Tengo un problema bien grande...... me han encargado rediseñar la intranet de la empresa, que esta todo en php. Pero la gran mayoría de los archivos estan encriptados. Este es un ejemplo:

<?php
if(!function_exists('findsysfolder'))
{
function findsysfolder($fld)
{
$fld1=dirname($fld);
$fld=$fld1.'/scopbin';
clearstatcache();
if(!is_dir($fld))return findsysfolder($fld1);
else return $fld;
}
}
require_once(findsysfolder(__FILE__).'/911006.php');
$REXISTHECAT4FBI='FE....8(f0666f0acdeed38d4cd9084a de1739498(__FILE__));
$REXISTHEDOG4FBI='7B....BDCD';
$REXISTHECAT4FBI='94....1A6';
eval(y0666f0acdeed38d4cd9084ade1739498'73D77F8186C 4CF3F1E',$REXISTHEDOG4FBI));
?>

donde estan los puntos suspensivos (......) es porque sigue una fila enorme de
caracteres (tanto letras como números).

Buscando entre todos los archivos, encontre uno llamado fun_libadmin.inc.php que son las funciones globales y ahi encontre un código que parece ha sido copiado del web (copy & paste) y dice en la advertencia lo siguiente:

* ZLib library is required to execute our encrypted codes. We recommend PHP 4.2 and above because the lower versions will result in buffer handling error.

Hasta donde tenia entendido zlib es una librería para comprimir más no para encriptar, aunque obviamente puedo estar equivocado.

Trate de ubicar al programador pero me entere de que este tuvo problemas con la empresa (en la que estoy trabajando) y simplemente vino un día, instaló la intranet y nunca más apareció. Todos me aseguran que el código era plano y no se explican como apareció estos archivos encriptados. Para mi es obvio que dado el problema que tuvo con la empresa, vino y encripto para joder..... y vaya que lo logro. Simplemente esta inubicable.... por ningún medio hemos podido ubicarlo y como vino "recomendado por el amigo de la enamorada del hijo del jefe"..... pues vaya uno a saber.

Estoy en un lio....... la otra alternativa es empezar de cero los archivos faltantes y son (no exagero) 183 archivos!!!!!!!!.....

Yo estoy empezando en PHP, pues antes trabaje full ASP. No me ha ido mal hasta ahora, pero necesito apoyo para saber si es posible revertir la encriptación y de ser asi como hacerlo.

Muchas gracias por todo


grekos
02 de Febrero del 2009
Yo puedo desofuscar ese código ofuscado. Está ofuscado con un programa que se llama sourcecop. De momento tengo que hacerlo a mano y es un trabajo bastante tedioso pero el resultado es el archivo original exactamente igual que antes de que lo ofuscaran.
Ponte en contacto conmigo escribiendome a [email protected] y vemos lo que podemos hacer.
Saludos,
GREKO