一款免杀php大马的解密与去后门

今天想找个php木马来管理自己的空间,但是手头没有,只好去网上找个,结果发现黑白网络有一个叫做“新版免杀php大马”的东西,于是下载了下来,我的avast果断给干掉了,尴尬 - -!好吧

于是关掉杀毒 ,重新下载,好吧,这是一个小插曲!、

刚下下来的php源文件下载在这里 http://down.qiannao.com/space/file/strivescript/share/2011/2/7/-514d-6740php-5927-9a6c_-521d-4e0b-8f7d-7248.rar/.page

 

然后把东西移动到虚拟机里面的php环境中,打开一看,有加密,用的函数是:

先用这个函数base64_decode()然后用这个函数gzuncompress()加密,好的是密文就一块啊,然后把这一块全部剪切

重新写个php文件:

 

 

就这个简单,吼吼 ,源代码一览无余啊!!!!

 

看到源代码后

Ctrl+F找这个 http://

发现没问题,然后在浏览一下源代码,发现还有个加密地方:

分别用上面的方法 发现其中有个酷似后门

 

 

然后删除这段代码

ok了 在跑一下 发现释放不出mix.dll

难得弄了 我解密后的源码可以到这里下载

 

 

http://down.qiannao.com/space/file/strivescript/share/2011/2/7/-9700-8981-91ca-653edll-7684php-9a6c.zip/.page

 

 

 

 

这个网盘大家也可以来用,共享给大家:

http://upload.qiannao.com/tomos/ui/qnupload.jsp?id=strivescript

 

你可能感兴趣的:(一款免杀php大马的解密与去后门)