今天想找个php木马来管理自己的空间,但是手头没有,只好去网上找个,结果发现黑白网络有一个叫做“新版免杀php大马”的东西,于是下载了下来,我的avast果断给干掉了,尴尬 - -!好吧
于是关掉杀毒 ,重新下载,好吧,这是一个小插曲!、
刚下下来的php源文件下载在这里 http://down.qiannao.com/space/file/strivescript/share/2011/2/7/-514d-6740php-5927-9a6c_-521d-4e0b-8f7d-7248.rar/.page
然后把东西移动到虚拟机里面的php环境中,打开一看,有加密,用的函数是:
先用这个函数base64_decode()然后用这个函数gzuncompress()加密,好的是密文就一块啊,然后把这一块全部剪切
重新写个php文件:
<?php print_r(gzunconpress(base64_decode(密文段))); ?>
就这个简单,吼吼 ,源代码一览无余啊!!!!
看到源代码后
Ctrl+F找这个 http://
发现没问题,然后在浏览一下源代码,发现还有个加密地方:
分别用上面的方法 发现其中有个酷似后门
<script src='貌似后门地址' ></script>
然后删除这段代码
ok了 在跑一下 发现释放不出mix.dll
难得弄了 我解密后的源码可以到这里下载
http://down.qiannao.com/space/file/strivescript/share/2011/2/7/-9700-8981-91ca-653edll-7684php-9a6c.zip/.page
这个网盘大家也可以来用,共享给大家:
http://upload.qiannao.com/tomos/ui/qnupload.jsp?id=strivescript
