Foro de elhacker.net

Programación => PHP => Mensaje iniciado por: Shell Root en 24 Agosto 2012, 05:15 am


Título: Alguien conoce este tipo de ofuscación
Publicado por: Shell Root en 24 Agosto 2012, 05:15 am
Cómo se hace? Que software lo hace?
Código
  1. if (!function_exists("TC9A16C47DA8EEE87")) {
  2.     function TC9A16C47DA8EEE87($T059EC46CFE335260)
  3.     {
  4.         $T059EC46CFE335260 = base64_decode($T059EC46CFE335260);
  5.         $TC9A16C47DA8EEE87 = 0;
  6.         $TA7FB8B0A1C0E2E9E = 0;
  7.         $T17D35BB9DF7A47E4 = 0;
  8.         $T65CE9F6823D588A7 = (ord($T059EC46CFE335260[1]) << 8) + ord($T059EC46CFE335260[2]);
  9.         $TBF14159DC7D007D3 = 3;
  10.         $T77605D5F26DD5248 = 0;
  11.         $T4A747C3263CA7A55 = 16;
  12.         $T7C7E72B89B83E235 = "";
  13.         $T0D47BDF6FD9DDE2E = strlen($T059EC46CFE335260);
  14.         $T43D5686285035C13 = __FILE__;
  15.         $T43D5686285035C13 = file_get_contents($T43D5686285035C13);
  16.         $T6BBC58A3B5B11DC4 = 0;
  17.         preg_match(base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv"), $T43D5686285035C13, $T6BBC58A3B5B11DC4);
  18.         for (; $TBF14159DC7D007D3 < $T0D47BDF6FD9DDE2E; ) {
  19.             # ____________[SNIP]____________
  20.  

Título: Re: Alguien conoce este tipo de ofuscación
Publicado por: alexander1712 en 24 Agosto 2012, 06:37 am
Cita de: Shell Root en 24 Agosto 2012, 05:15 am
Cómo se hace? Que software lo hace?
Código
  1. if (!function_exists("TC9A16C47DA8EEE87")) {
  2.     function TC9A16C47DA8EEE87($T059EC46CFE335260)
  3.     {
  4.         $T059EC46CFE335260 = base64_decode($T059EC46CFE335260);
  5.         $TC9A16C47DA8EEE87 = 0;
  6.         $TA7FB8B0A1C0E2E9E = 0;
  7.         $T17D35BB9DF7A47E4 = 0;
  8.         $T65CE9F6823D588A7 = (ord($T059EC46CFE335260[1]) << 8) + ord($T059EC46CFE335260[2]);
  9.         $TBF14159DC7D007D3 = 3;
  10.         $T77605D5F26DD5248 = 0;
  11.         $T4A747C3263CA7A55 = 16;
  12.         $T7C7E72B89B83E235 = "";
  13.         $T0D47BDF6FD9DDE2E = strlen($T059EC46CFE335260);
  14.         $T43D5686285035C13 = __FILE__;
  15.         $T43D5686285035C13 = file_get_contents($T43D5686285035C13);
  16.         $T6BBC58A3B5B11DC4 = 0;
  17.         preg_match(base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv"), $T43D5686285035C13, $T6BBC58A3B5B11DC4);
  18.         for (; $TBF14159DC7D007D3 < $T0D47BDF6FD9DDE2E; ) {
  19.             # ____________[SNIP]____________
  20.  

es muy sencillo.

Código:
$T6BBC58A3B5B11DC4 <--- esos son variables, simples nombres de variables, nombres raros.

Código:
 for (; $TBF14159DC7D007D3 < $T0D47BDF6FD9DDE2E; )

dos variables.

Código:
$T059EC46CFE335260[1] <--arreglo

a esto ponle un echo

Código:
base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv")

Código:
echo base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv");

así verás su contenido.

no se si lo hace un software, pero que es un bestia programando en php, eso es cierto, es un bestia. solo a un bestia se le ocurre usar "" en un texto explícito como este "LyhwcmludHxzcHJpbnR8ZWNobykv" debería ser 'LyhwcmludHxzcHJpbnR8ZWNobykv' sinó consumes recursos al dope, porque para que querrías parsear un string así?

volviendo a tu pregunta, no creo que sea un software, simplemente decide por ejemplo ponerle un nombre extraño a funciones, variables, etc.

si tienes una variable $pepe y la reemplazas por $TC645654SDA9QWER en todo el código, ya te quedará ofuscada.

ignoro si lo hace un software, pero no sería muy dificil hacer un software, que ofusque así.

saludos!

Título: Re: Alguien conoce este tipo de ofuscación
Publicado por: Shell Root en 24 Agosto 2012, 21:30 pm
1. jajajjajajaja no pedi que lo desofuscarás, simplemente queria saber si algun software lo hace.
2. Así no se desofusca :p
3. No soy tan idiota pa no identificar variables y vectores ¬¬!

Título: Re: Alguien conoce este tipo de ofuscación
Publicado por: alexander1712 en 24 Agosto 2012, 21:32 pm
Cita de: Shell Root en 24 Agosto 2012, 21:30 pm
1. jajajjajajaja no pedi que lo desofuscarás, simplemente queria saber si algun software lo hace.
2. Así no se desofusca :p
3. No soy tan idiota pa no identificar variables y vectores ¬¬!

Paz, hermano!

PD: Sé más explícito con las preguntas.

Título: Re: Alguien conoce este tipo de ofuscación
Publicado por: Shell Root en 28 Agosto 2012, 21:48 pm
Cita de: Shell Root en 24 Agosto 2012, 05:15 am
Cómo se hace? Que software lo hace?
jajajajjaja como mejoro la pregunta?

Título: Re: Alguien conoce este tipo de ofuscación
Publicado por: ShundeHades en 2 Septiembre 2012, 19:06 pm
seria facil, crear una funcion que habra un archivo y que intercambie las variables revolviendo los valores y si son iguales, ambas queduen igual.

Título: Re: Alguien conoce este tipo de ofuscación
Publicado por: Shell Root en 5 Septiembre 2012, 01:50 am
Sí, pero que tipo de hash es ese? Pregunte en Criptografia y dicen que parece que sea un md5, pero supongo que tendrá algun token.

Título: Re: Alguien conoce este tipo de ofuscación
Publicado por: дٳŦ٭ en 21 Septiembre 2012, 01:22 am
Cita de: Shell Root en 24 Agosto 2012, 21:30 pm
1. jajajjajajaja no pedi que lo desofuscarás, simplemente queria saber si algun software lo hace.
2. Así no se desofusca :p
3. No soy tan idiota pa no identificar variables y vectores ¬¬!

Creo q es de para agredecer la explicación del compañero y NO para presumir tus conocimientos.  :rolleyes:

Cita de: alexander1712 en 24 Agosto 2012, 06:37 am
es muy sencillo.

Código:
$T6BBC58A3B5B11DC4 <--- esos son variables, simples nombres de variables, nombres raros.

Código:
 for (; $TBF14159DC7D007D3 < $T0D47BDF6FD9DDE2E; )

dos variables.

Código:
$T059EC46CFE335260[1] <--arreglo

a esto ponle un echo

Código:
base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv")

Código:
echo base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv");

así verás su contenido.

no se si lo hace un software, pero que es un bestia programando en php, eso es cierto, es un bestia. solo a un bestia se le ocurre usar "" en un texto explícito como este "LyhwcmludHxzcHJpbnR8ZWNobykv" debería ser 'LyhwcmludHxzcHJpbnR8ZWNobykv' sinó consumes recursos al dope, porque para que querrías parsear un string así?

volviendo a tu pregunta, no creo que sea un software, simplemente decide por ejemplo ponerle un nombre extraño a funciones, variables, etc.

si tienes una variable $pepe y la reemplazas por $TC645654SDA9QWER en todo el código, ya te quedará ofuscada.

ignoro si lo hace un software, pero no sería muy dificil hacer un software, que ofusque así.

saludos!

Buena explicación bro.

Título: Re: Alguien conoce este tipo de ofuscación
Publicado por: дٳŦ٭ en 21 Septiembre 2012, 01:24 am
Cita de: Shell Root en  5 Septiembre 2012, 01:50 am
Sí, pero que tipo de hash es ese? Pregunte en Criptografia y dicen que parece que sea un md5, pero supongo que tendrá algun token.

Por ningún lado codifica a MD5 y no veo ningún string en dicha criptografía...

Título: Re: Alguien conoce este tipo de ofuscación
Publicado por: Shell Root en 25 Septiembre 2012, 00:34 am
Cita de: дٳŦ٭ en 21 Septiembre 2012, 01:22 am
Creo q es de para agredecer la explicación del compañero y NO para presumir tus conocimientos.  :rolleyes:
No presumo de nada, sólo pregunte por algo pero me respondio algo diferente ;)

Cita de: дٳŦ٭ en 21 Septiembre 2012, 01:24 am
Por ningún lado codifica a MD5 y no veo ningún string en dicha criptografía...
Obvio, porque lo que hace eso es el software el cual trato de encontrar. :p

Título: Re: Alguien conoce este tipo de ofuscación
Publicado por: MinusFour en 25 Septiembre 2012, 17:34 pm
Realmente no sería nada díficil cifrar el nombre variables, etc. Solo habría que parsear el nombre de las variables y no creo que lo haga un software en específico, pero podrías hacer un programa con las librerias del cifrado que quieras.

Respecto a que tipo de cifrado, te recomiendo que busques por metodos que entregen 16 digitos...

Pero aún así, la persona puede estar truncando el cifrado, o puede siquiera que no sea algún algoritmo público.. etc.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines