一款免杀php大马的解密与去后门

今天想找个php木马来管理自己的空间，但是手头没有，只好去网上找个，结果发现黑白网络有一个叫做“新版免杀php大马”的东西，于是下载了下来，我的avast果断给干掉了，尴尬 - -!好吧

于是关掉杀毒 ，重新下载，好吧，这是一个小插曲!、

刚下下来的php源文件下载在这里 http://down.qiannao.com/space/file/strivescript/share/2011/2/7/-514d-6740php-5927-9a6c_-521d-4e0b-8f7d-7248.rar/.page

 

然后把东西移动到虚拟机里面的php环境中，打开一看，有加密，用的函数是：

先用这个函数base64_decode（）然后用这个函数gzuncompress(）加密，好的是密文就一块啊，然后把这一块全部剪切

重新写个php文件：

 

 

就这个简单，吼吼 ，源代码一览无余啊！！！！

 

看到源代码后

Ctrl+F找这个 http://

发现没问题，然后在浏览一下源代码，发现还有个加密地方：

分别用上面的方法 发现其中有个酷似后门

 

 

然后删除这段代码

ok了 在跑一下 发现释放不出mix.dll

难得弄了 我解密后的源码可以到这里下载

 

 

http://down.qiannao.com/space/file/strivescript/share/2011/2/7/-9700-8981-91ca-653edll-7684php-9a6c.zip/.page

 

 

 

 

这个网盘大家也可以来用，共享给大家：

http://upload.qiannao.com/tomos/ui/qnupload.jsp?id=strivescript