前言
对于 php 主流的加密方式有两种:
1、基于扩展的
2、本地加密,不涉及扩展
一些在 php 端通过 zend_compile_file 等函数就可以直接 dump 出原代码的,称之为加密实在是抬举了
之前有写过一篇直接 dump 出源码的分析 https://blog.qc7.org/archives/php-decode
基于本人有限的了解,私以为 z5 和 swoole 等类似的才能称得上加密,这里的分析仅限于技术交流
代码可读
之前已经有大佬写过 z5 的逆向分析 https://www.52pojie.cn/thread-995682-1-1.html
最近拿到一份样本,从技术的角度简单了解基于 vm 加密的实现思路,由于逆向难度太大,这里的只是半成品
代码分为两大部分,前面两个函数为 vm 相关的逻辑,函数名是不可读的,后面的为业务函数实现,两个 vm 函数姑且命名为 func_a、 func_b
业务函数部分,函数签名以及最后面的部分代码都是可读的
两个 vm 相关的函数都是定义了一个 $a 变量,经过 gzinflate 解压然后 return $a,解压出来的 $a 也是加密的
业务函数的最后 eval 调用了 func_b,将其函数执行一遍,func_b 函数 gzinflate 出来的密文如下图
代码显示前面有一个 eval(gzinflate(…)),后面还有大量的 eval 调用(截图没截出来)
在 Ganlv 大佬的基础上,实现代码可读显示这个问题不大
调用 func_b 的时候,将第一个 eval(gzinflate(…)) 改为 print(gzinflate(…)),得到的内容为一个常量数组
return array (
0 => '1;',
1 => '屡爷伅谍夻',
2 => 'fgetc',
3 => 'PHP_VERSION_ID',
4 => 'is_array',
5 => 'function_exists',
6 => 'current',
7 => 'valid',
8 => 'r+',
9 => 'count',
10 => 'fopen',
11 => 'Z5Encrypt VM Error: Unhandled',
12 => '$藰傰绢撥垇=array_search($幍娷柶牍聊,$瑡吐€);if($藰傰绢撥垇===false){$拐陡湌灭莫++;$瑡吐€[$拐陡湌灭莫]=$幍娷柶牍聊;$溤鋄$拐陡湌灭莫]=NULL;$藰傰绢撥垇=$拐陡湌灭莫;}return $藰傰绢撥垇;',
13 => 'get_object_vars',
14 => 'newInstance',
15 => 'parent::',
16 => 'is_string',
17 => 'array_keys',
18 => 'n*',
19 => 'php://filter/read=zlib.inflate/resource=php://memory',
20 => ' if($柪0]==0)return substr($柪?1);$膊=intval($柪0]);$宕∩哼膨?substr($柪?0,$膊+1);$胤热劓煢麠=substr($柪?$膊+1);$溆侚娆儫潄气=openssl_decrypt($胤热劓煢麠,"AES-128-ECB",$宕∩哼膨?1);return $溆侚娆儫潄气;',
21 => 'call_user_func_array',
22 => 'fread',
23 => 'ob_start',
24 => 'substr',
25 => 'constant',
26 => 'fclose',
27 => 'c/N*',
28 => 'microtime',
29 => 'fputs',
30 => 'strlen',
31 => 'is_numeric',
32 => 'ord',
33 => '#opcodeString',
34 => 'getIterator',
35 => 'next',
36 => 'hasMethod',
37 => 'is_object',
38 => 'defined',
39 => 'newInstanceArgs',
40 => '__construct',
41 => 'key',
42 => 'hi debugger~',
43 => 'unpack',
44 => 'rewind',
45 => 'Nk/na/Nz',
46 => 'str_replace',
);
将展开后的常量数组以及后半部分代码,更新回业务函数中,使用 php-parser 格式化后显示如下
之后需要解决代码可读的问题,在 php-parser 基础上进行变量重命名,替换为 $var__ 开始的变量名
变量 $var__7 中就是前面的一个常量数组,基于 $var__7 替换掉函数中部分其他的 $var__ 变量后显示如下
到这里大部分代码已经可读,$var__3 猜测应该是业务函数主体,另外 $var__7 中还有部分代码不可读,不过影响不大
代码展开后,虚拟机的部分代码显示如下
$var__31 = ('count')($var__11);
$var__27 = $var__16;
$var__32 = eval($var__25);
$var__32 = eval("return {$var__32};");
unset($var__13);
$var__33 = $var__31 * 3;
while ($var__15 < $var__31) {
$var__34 = $var__11[$var__15];
if (!$var__34) {
throw new Exception('Z5Encrypt VM Error: Unhandled');
}
$var__35 = $var__34['s'];
$var__36 = $var__34['z'];
$var__15 = $var__34['a'];
switch ($var__36) {
case 0x1f13:
$var__26[$var__35[1][1]] = null;
break;
case 0xdb7:
$var__15 = (bool) ($var__35[1] === "" ? "" : ($var__35[1][0] === "\x00" ? isset($var__26[$var__35[1][1]]) ? $var__26[$var__35[1][1]] : null : (($var__19 = $var__35[1][0]) && $var__19 === "\x04" || $var__19 === "\x05" ? ($var__27 = $var__35[1][1]) && ($var__27 = eval($var__25)) || 1 ? $var__19 === "\x04" ? $var__27 : eval("return {$var__27};") : "" : ($var__19 === "\x01" ? $var__35[1][1] : NULL)))) ? ($var__35[2] === "" ? "" : ($var__35[2][0] === "\x00" ? isset($var__26[$var__35[2][1]]) ? $var__26[$var__35[2][1]] : null : (($var__19 = $var__35[2][0]) && $var__19 === "\x04" || $var__19 === "\x05" ? ($var__27 = $var__35[2][1]) && ($var__27 = eval($var__25)) || 1 ? $var__19 === "\x04" ? $var__27 : eval("return {$var__27};") : "" : ($var__19 === "\x01" ? $var__35[2][1] : NULL)))) - 1 : $var__15;
break;
case 0x19d4:
$var__15 = (bool) ($var__35[1] === "" ? "" : ($var__35[1][0] === "\x00" ? isset($var__26[$var__35[1][1]]) ? $var__26[$var__35[1][1]] : null : (($var__19 = $var__35[1][0]) && $var__19 === "\x04" || $var__19 === "\x05" ? ($var__27 = $var__35[1][1]) && ($var__27 = eval($var__25)) || 1 ? $var__19 === "\x04" ? $var__27 : eval("return {$var__27};") : "" : ($var__19 === "\x01" ? $var__35[1][1] : NULL)))) ? $var__15 : ($var__35[2] === "" ? "" : ($var__35[2][0] === "\x00" ? isset($var__26[$var__35[2][1]]) ? $var__26[$var__35[2][1]] : null : (($var__19 = $var__35[2][0]) && $var__19 === "\x04" || $var__19 === "\x05" ? ($var__27 = $var__35[2][1]) && ($var__27 = eval($var__25)) || 1 ? $var__19 === "\x04" ? $var__27 : eval("return {$var__27};") : "" : ($var__19 === "\x01" ? $var__35[2][1] : NULL)))) - 1;
break;
case 0x1461:
eval($var__35[1] === "" ? "" : ($var__35[1][0] === "\x00" ? isset($var__26[$var__35[1][1]]) ? $var__26[$var__35[1][1]] : null : (($var__19 = $var__35[1][0]) && $var__19 === "\x04" || $var__19 === "\x05" ? ($var__27 = $var__35[1][1]) && ($var__27 = eval($var__25)) || 1 ? $var__19 === "\x04" ? $var__27 : eval("return {$var__27};") : "" : ($var__19 === "\x01" ? $var__35[1][1] : NULL))));
break;
case 0x411:
$var__26[$var__35[2][1]] = $var__35[1] === "" ? "" : ($var__35[1][0] === "\x00" ? isset($var__26[$var__35[1][1]]) ? $var__26[$var__35[1][1]] : null : (($var__19 = $var__35[1][0]) && $var__19 === "\x04" || $var__19 === "\x05" ? ($var__27 = $var__35[1][1]) && ($var__27 = eval($var__25)) || 1 ? $var__19 === "\x04" ? $var__27 : eval("return {$var__27};") : "" : ($var__19 === "\x01" ? $var__35[1][1] : NULL)));
break;
case 0xbd0:
$var__37 = $var__26[$var__35[1][1]];
$var__15 = ($var__37 ? $var__26[$var__35[2][1]] : $var__26[$var__35[3][1]]) - 1;
break;
case 0x18b2:
$var__26[$var__35[1][1]] = $var__5[1];
break;
这里大量的分支都是相同代码,基于 Ganlv 的基础上进行 get_value 收缩掉这部分代码
$var__35[3] === "" ? "" : ($var__35[3][0] === "\x00" ? isset($var__26[$var__35[3][1]]) ? $var__26[$var__35[3][1]] : null : (($var__19 = $var__35[3][0]) && $var__19 === "\x04" || $var__19 === "\x05" ? ($var__27 = $var__35[3][1]) && ($var__27 = eval($var__25)) || 1 ? $var__19 === "\x04" ? $var__27 : eval("return {$var__27};") : "" : ($var__19 === "\x01" ? $var__35[3][1] : NULL)))
收缩代码 get_value 函数如下,这里的 varMap.php 文件是在使用 php-parser 进行重命名时 dump 出来的,将原变量名映射到 $var__ 变量
function get_value($key)
{
static $varMap = [];
if (empty($varMap)) {
$varMap = include 'varMap.php';
}
$value = _get_value($key);
if (is_string($value)) {
if (array_key_exists($value, $varMap)) {
$value = $varMap[$value];
}
}
// echo $value;
return $value;
}
function _get_value($key) {
global $var__19, $var__25, $var__26, $var__27, $var__35;
if ($key === "") {
return "";
} else {
if ($key[0] === "\x00") {
if (isset($var__26[$key[1]])) {
return $var__26[$key[1]];
} else {
return null;
}
} else {
$var__19 = $key[0];
if (($var__19 && $var__19 === "\x04") || $var__19 === "\x05") {
$var__27 = $key[1];
if (($var__27 && ($var__27 = eval($var__25))) || 1) {
if ($var__19 === "\x04") {
return $var__27;
} else {
return eval("return {$var__27};");
}
} else {
return "";
}
} else {
if ($var__19 === "\x01") {
return $key[1];
} else {
return null;
}
}
}
}
}
收缩后的部分代码显示如下
$var__7 中有一个 openssl_decrypt 的代码段,使用时提取到 $var__25 变量
该代码段有几个临时变量名为乱码,手工修改可读显示如下
至此 vm 代码已经全部可读,代码展开后的完整显示如下,其中 get_value 就是前面的定义,$var__3 为密文由于太长这里删掉了
下来分析 vm 的整体逻辑
function user_function($var__1 = false, $var__2 = 'danger')
{
global $var__19, $var__25, $var__26, $var__27, $var__35, $callfunc;
$var__3 = '......';
true;
$var__4 = func_get_args();
$var__5 = array(&$var__3, __FILE__, __FUNCTION__, __CLASS__, version_compare(PHP_VERSION, '5.3') === -1 ? '' : __NAMESPACE__);
$var__6 = $var__5[0];
true;
$var__7 = array(0 => '1;', 1 => 'ÂĹŇŻŻľý‰ţ', 2 => 'fgetc', 3 => 'PHP_VERSION_ID', 4 => 'is_array', 5 => 'function_exists', 6 => 'current', 7 => 'valid', 8 => 'r+', 9 => 'count', 10 => 'fopen', 11 => 'Z5Encrypt VM Error: Unhandled', 12 => '$var__17=array_search($var__8,$var__32);if($var__17===false){$var__33++;$var__32[$var__33]=$var__8;$var__26[$var__33]=NULL;$var__17=$var__33;}return $var__17;', 13 => 'get_object_vars', 14 => 'newInstance', 15 => 'parent::', 16 => 'is_string', 17 => 'array_keys', 18 => 'n*', 19 => 'php://filter/read=zlib.inflate/resource=php://memory', 20 => ' if($var__27[0]==0)return substr($var__27,1);$ŞĄĄ ˛˛=intval($var__27[0]);$ĺ´ĄÉşßĹňŁ=substr($var__27,0,$ŞĄĄ ˛˛+1);$ءČČŘćŸŚű—=substr($var__27,$ŞĄĄ ˛˛+1);$äÓůćŹƒŸĆř=openssl_decrypt($ءČČŘćŸŚű—,"AES-128-ECB",$ĺ´ĄÉşßĹňŁ,1);return $äÓůćŹƒŸĆř;', 21 => 'call_user_func_array', 22 => 'fread', 23 => 'ob_start', 24 => 'substr', 25 => 'constant', 26 => 'fclose', 27 => 'c/N*', 28 => 'microtime', 29 => 'fputs', 30 => 'strlen', 31 => 'is_numeric', 32 => 'ord', 33 => '#opcodeString', 34 => 'getIterator', 35 => 'next', 36 => 'hasMethod', 37 => 'is_object', 38 => 'defined', 39 => 'newInstanceArgs', 40 => '__construct', 41 => 'key', 42 => 'hi debugger~', 43 => 'unpack', 44 => 'rewind', 45 => 'Nk/na/Nz', 46 => 'str_replace');
$var__8 = '';
$var__9 = '$var__17=array_search($var__8,$var__32);if($var__17===false){$var__33++;$var__32[$var__33]=$var__8;$var__26[$var__33]=NULL;$var__17=$var__33;}return $var__17;';
$var__10 = true;
while ($var__10) {
$var__10 = false;
$var__11 = array();
$var__12 = ('fopen')('php://filter/read=zlib.inflate/resource=php://memory', 'r+');
('fputs')($var__12, $var__6);
('rewind')($var__12);
$var__13 = ('unpack')('n*', ('fread')($var__12, 4));
$var__14 = ('microtime')(true) * 1000;
$var__15 = $var__13[2];
('fgetc')($var__12);
$var__16 = ('fread')($var__12, $var__13[1] - 1);
$var__17 = 0;
eval('1;');
unset($var__13);
$var__18 = ('microtime')(true) * 1000;
if ($var__18 - $var__14 > 1000) {
exit('hi debugger~');
}
while (true) {
$var__19 = ('fread')($var__12, 10);
if ($var__19 === '') {
break;
}
$var__20 = ('unpack')('Nk/na/Nz', $var__19);
$var__21 = $var__20['k'];
unset($var__20['k']);
$var__22 = array('');
$var__17 = 6;
while ($var__17 < $var__21) {
$var__23 = ('unpack')("N", ('fread')($var__12, 4));
$var__24 = $var__23[1] > 0 ? ('fread')($var__12, $var__23[1]) : '';
if ($var__24 !== '') {
if ($var__24[0] === "\v") {
$var__24 = ('unpack')('c/N*', $var__24);
$var__24 = ('substr')(func_a(), $var__24[1], $var__24[2]);
}
if ($var__24[0] === "\x03") {
$var__24 = array("\x01", (int) ('substr')($var__24, 1));
} elseif ($var__24[0] === "\x06") {
$var__24 = array("\x01", true);
} elseif ($var__24[0] === "\x07") {
$var__24 = array("\x01", false);
} elseif ($var__24[0] === "\x08") {
$var__24 = array("\x01", (double) ('substr')($var__24, 1));
} elseif (('ord')($var__24) <= 12) {
$var__24 = array($var__24[0], ('substr')($var__24, 1));
} elseif (('is_numeric')($var__24)) {
$var__24 = array("\x00", (int) $var__24);
} else {
$var__24 = array("\x00", $var__24);
}
}
$var__17 += $var__23[1] + 4;
$var__22[] = $var__24;
}
unset($var__13);
$var__20['s'] = $var__22;
$var__11[] = $var__20;
unset($var__21);
}
('fclose')($var__12);
$var__25 = ' if($var__27[0]==0)
return substr($var__27,1);
$n1=intval($var__27[0]);
$s1=substr($var__27,0,$n1+1);
$s2=substr($var__27,$n1+1);
$r1=openssl_decrypt($s2,"AES-128-ECB",$s1,1);
return $r1;';
$var__26 = array();
$var__27 = '';
$var__28 = null;
$var__19 = null;
$var__29 = false;
$var__30 = null;
$var__31 = ('count')($var__11);
$var__27 = $var__16;
$var__32 = eval($var__25);
$var__32 = eval("return {$var__32};");
unset($var__13);
$var__33 = $var__31 * 3;
while ($var__15 < $var__31) {
$var__34 = $var__11[$var__15];
if (!$var__34) {
throw new Exception('Z5Encrypt VM Error: Unhandled');
}
$var__35 = $var__34['s'];
$var__36 = $var__34['z'];
$var__15 = $var__34['a'];
switch ($var__36) {
case 0x1f13:
$var__26[$var__35[1][1]] = null;
break;
case 0xdb7:
$var__15 = (bool) get_value($var__35[1]) ? get_value($var__35[2]) - 1 : $var__15;
break;
case 0x19d4:
$var__15 = (bool) get_value($var__35[1]) ? $var__15 : get_value($var__35[2]) - 1;
break;
case 0x1461:
$dynamic = get_value($var__35[1]);
eval($dynamic);
break;
case 0x411:
$var__26[$var__35[2][1]] = get_value($var__35[1]);
break;
case 0xbd0:
$var__37 = $var__26[$var__35[1][1]];
$var__15 = ($var__37 ? $var__26[$var__35[2][1]] : $var__26[$var__35[3][1]]) - 1;
break;
case 0x18b2:
$var__26[$var__35[1][1]] = $var__5[1];
break;
case 0x1583:
$var__26[$var__35[1][1]] = (bool) get_value($var__35[2]);
break;
case 0x9ea:
$var__26[$var__35[1][1]] = array();
break;
case 0x107a:
$var__26[$var__35[1][1]] = get_value($var__35[2]) !== get_value($var__35[3]);
break;
case 0x4ba:
if ($var__35[2] !== '') {
$var__26[$var__35[3][1]][get_value($var__35[2])] = get_value($var__35[1]);
} else {
$var__26[$var__35[3][1]][] = get_value($var__35[1]);
}
break;
case 0x1977:
break;
case 0xc9d:
$var__26[$var__35[1][1]] = get_value($var__35[1]) - get_value($var__35[2]);
break;
case 0x176b:
$var__26[$var__35[1][1]] = array();
if ($var__35[3] !== '') {
$var__26[$var__35[1][1]][get_value($var__35[3])] = get_value($var__35[2]);
} else {
$var__26[$var__35[1][1]][] = get_value($var__35[2]);
}
break;
case 0x7ea:
$var__37 = get_value($var__35[2]);
if ($var__29) {
$var__38 = @('call_user_func_array')($var__37, $var__26[$var__35[1][1]]);
} else {
$var__38 = ('call_user_func_array')($var__37, $var__26[$var__35[1][1]]);
}
if ($var__35[3] !== '') {
$var__26[$var__35[3][1]] = $var__38;
}
break;
case 0x154e:
$var__26[$var__35[1][1]] = $var__5[2];
break;
case 0x1bf2:
$var__26[$var__35[1][1]] = !get_value($var__35[2]);
break;
case 0x4e5:
$var__37 = get_value($var__35[3]);
if (('defined')($var__37)) {
$var__26[$var__35[1][1]] = ('constant')($var__37);
} elseif (('defined')('PHP_VERSION_ID') && PHP_VERSION_ID >= 50300) {
$var__13 = ('str_replace')($var__5[4], '', $var__37);
$var__26[$var__35[1][1]] = ('defined')($var__13) ? ('constant')($var__13) : $var__37;
} else {
$var__26[$var__35[1][1]] = $var__37;
}
break;
case 0x9c8:
if ($var__35[3] === "") {
$var__28 = $var__39;
} else {
$var__28 = get_value($var__35[3]);
}
$var__26[$var__35[1][1]] = array();
$var__26[$var__35[2][1]] = array($var__28, get_value($var__35[4]));
break;
case 0x1899:
$var__28 =& $var__26[$var__35[1][1]];
if ($var__35[2] === '') {
$var__37 = ('is_string')($var__28) ? ('strlen')($var__28) : (('is_array')($var__28) ? ('count')($var__28) : ($var__28 instanceof ArrayAccess ? null : 0));
} else {
$var__37 = get_value($var__35[2]);
}
$var__28[$var__37] = get_value($var__35[3]);
unset($var__28);
break;
case 0x11c3:
$var__37 = get_value($var__35[4]);
if (get_value($var__35[3])) {
if ($var__37 === '') {
$var__37 = $var__5[3];
}
$var__40 = new ReflectionClass($var__37);
if ($var__40->{'hasMethod'}('__construct')) {
if ($var__29) {
$var__41 = @$var__40->{'newInstanceArgs'}($var__26[$var__35[2][1]]);
} else {
$var__41 = $var__40->{'newInstanceArgs'}($var__26[$var__35[2][1]]);
}
} else if ($var__29) {
$var__41 = @$var__40->{'newInstance'}();
} else {
$var__41 = $var__40->{'newInstance'}();
}
$var__26[$var__35[1][1]] = $var__41;
} else {
if ($var__29) {
$var__38 = @('call_user_func_array')($var__37, $var__26[$var__35[2][1]]);
} else {
$var__38 = ('call_user_func_array')($var__37, $var__26[$var__35[2][1]]);
}
if ($var__35[1] !== '') {
$var__26[$var__35[1][1]] = $var__38;
}
}
break;
case 0x7d7:
$var__26[$var__35[1][1]] = $var__5[3];
break;
case 0x478:
$var__37 = $var__26[$var__35[1][1]];
switch (('count')($var__37)) {
case 0:
$var__38 = ('ob_start')();
break;
case 1:
$var__38 = ('ob_start')($var__37[0]);
break;
case 2:
$var__38 = ('ob_start')($var__37[0], $var__37[1]);
break;
}
if ($var__35[2] !== '') {
$var__26[$var__35[2][1]] = $var__38;
}
break;
case 0x14da:
$var__26[$var__35[1][1]] = get_value($var__35[2]) < get_value($var__35[3]);
break;
case 0x6b0:
$var__28 =& $var__26[$var__35[2][1]];
$var__26[$var__35[1][1]] = ('count')($var__28);
unset($var__28);
break;
case 0x1975:
break;
case 0x11a9:
$var__26[$var__35[1][1]][] =& $var__26[$var__35[2][1]];
break;
case 0xa8e:
exit(get_value($var__35[1]));
break;
case 0x1c92:
$var__38 = ('function_exists')($var__26[$var__35[1][1]][0]);
if ($var__35[2] !== '') {
$var__26[$var__35[2][1]] = $var__38;
}
break;
case 0x1f6f:
$var__26[$var__35[1][1]] = array();
break;
case 0xc4b:
$var__26[$var__35[1][1]] = get_value($var__35[2]) === get_value($var__35[3]);
break;
case 0x1bab:
$var__37 = get_value($var__35[2]);
$var__26[$var__35[1][1]] =& ${$var__37};
break;
case 0x1cbb:
$var__37 = get_value($var__35[2]);
if (${$var__37} === null) {
$var__26[$var__35[1][1]] = get_value($var__35[3]);
} else {
$var__26[$var__35[1][1]] =& ${$var__37};
}
break;
case 0xbb6:
$var__37 = get_value($var__35[4]);
if ($var__37 === '') {
$var__37 = '__construct';
}
if ($var__35[3] === "") {
$var__28 = $var__39;
$var__37 = 'parent::' . $var__37;
} else {
$var__28 = get_value($var__35[3]);
}
$var__26[$var__35[1][1]] = array();
$var__26[$var__35[2][1]] = array($var__28, $var__37);
break;
case 0x9d2:
$var__37 = get_value($var__35[3]);
$var__26[$var__35[1][1]] = $var__37(get_value($var__35[2]));
break;
case 0x10c9:
$var__26[$var__35[1][1]] = !(bool) get_value($var__35[2]);
break;
case 0xc0b:
$var__26[$var__35[1][1]] = get_value($var__35[2]) . get_value($var__35[3]);
break;
case 0x16da:
echo get_value($var__35[1]);
break;
case 0x1cf3:
$var__26[$var__35[1][1]] = 'ńüăűÉňኔ';
break;
case 0x757:
$var__37 = get_value($var__35[2]);
while ($var__37 instanceof IteratorAggregate) {
$var__37 = $var__37->{'getIterator'}();
}
if ($var__37 instanceof Iterator) {
$var__26[$var__35[1][1]] = array($var__37, null, null, 0, $var__35[3], 'i');
} elseif (('is_object')($var__37)) {
$var__26[$var__35[1][1]] = array($var__37, null, null, 0, $var__35[3], 'o');
} else {
$var__26[$var__35[1][1]] = array($var__37, ('array_keys')($var__37), null, 0, $var__35[3], 'a');
}
break;
case 0x1e6f:
$var__13 = get_value($var__35[1]);
$var__28 =& $var__26[$var__35[2][1]];
if ($var__28[5] === 'i') {
if ($var__28[3] === 0) {
$var__28[0]->{'rewind'}();
} else {
$var__28[0]->{'next'}();
}
$var__28[3]++;
if (!$var__28[0]->{'valid'}()) {
$var__15 = get_value($var__28[4]) - 1;
} else {
$var__26[$var__35[3][1]] = $var__28[0]->{'current'}();
if ($var__13) {
$var__26[$var__35[4][1]] = $var__28[0]->{'key'}();
}
}
} else {
if ($var__28[5] === 'o') {
$var__37 = ('get_object_vars')($var__28[0]);
$var__42 = ('array_keys')($var__37);
} else {
$var__37 =& $var__28[0];
$var__42 =& $var__28[1];
}
if ($var__28[3] >= ('count')($var__37)) {
$var__15 = get_value($var__28[4]) - 1;
} else {
if ($var__13) {
$var__26[$var__35[4][1]] = $var__42[$var__28[3]];
}
$var__26[$var__35[3][1]] = $var__37[$var__42[$var__28[3]]];
$var__28[3]++;
}
unset($var__37);
unset($var__42);
}
unset($var__28);
break;
case 0x56f:
$var__26[$var__35[1][1]] = get_value($var__35[2]) - get_value($var__35[3]);
break;
case 0x1815:
break;
}
}
foreach ($var__26 as $var__43 => &$var__44) {
unset($var__26[$var__43]);
}
unset($var__11);
unset($var__26);
unset($var__44);
unset($var__37);
unset($var__28);
}
return $var__30;
$var__45;
return NULL;
$var__45;
}
代码分析
经过前面处理,代码已经全部可读,可以在此基础上进行任意修改代码进行调试,不过需要注意 eval 调用
在没确认安全前,直接进行 eval 调用是非常危险的,一些产品会在反逆向的时插入暗装,严重的可能会直接进行硬盘格式化
单步调试是一个漫长的过程,涉及到异常的情况,需要手工修改代码逻辑再次调试,整体还是比较麻烦的
这里就不展示过程了,整体逻辑和 Ganlv 大佬的分析差别不大,vm 部分暂不涉及,不过就目前的分析来看
1、最前面有一个 microtime 的检查,可以注释忽略掉
2、初始指令流会从 $var__3 中 unpack 出来
3、unpack 指令流后,通过 $var__25 中的 openssl_decrypt 进行解密,密文组成为:key长度 + key + 待解密数据
4、虚拟机的 vm 流分两轮,第一轮校验并解密业务流,第二轮执行业务流
5、待解密的业务流在 func_a 的 $a 数据中,前面这一行已经截取出来 $var__24 = ('substr')(func_a(), $var__24[1], $var__24[2]);
6、这段业务流的解密,在分支中的 call_user_func_array 中进行处理,通过 openssl_decrypt 进行解密
7、这里的 openssl_decrypt 和前面 $var__25 的不同,前面是 ECB 解密,这里是 CBC 解密
8、openssl_decrypt 的 CBC 解密除了需要 key 外,额外还需要一个 IV
9、第一轮 vm 迭代的时候,通过 ReflectFunction 反射,然后 getStartLine、getEndLine 起始行拿到 func_b 函数文本
10、将 func_b 函数文本通过 hash_hmac 计算哈希值,然后进行 str_rot13 处理拿到解密的 key
11、每一个加密文件的 func_b 都是不同的,因此没有通用的 key,但是同一个文件不同函数的 key 是相同的
12、再次通过 ReflectFunction 反射,然后 getStartLine、getEndLine 起始行拿到 user_function 函数文本
13、截取 user_function 的 从 ;true; 到函数结束 ;$_SERVER;} 的代码文本,计算 md5 值,这个就是 IV
14、在 user_function 函数计算 md5 的这部分代码中,使用的一些变量,在不同文件的不同函数内都是不同的,因此没有通用的 IV
15、在得到 key 和 IV 后,通过 call_user_func_array 调用 openssl_decrypt 解密业务流
16、解密业务流后,进入第二轮 vm 迭代,流程转到业务代码执行,当然业务代码依然还是加密的,以及经 vm 处理的
17、这里可以看出,如果代码文件被改动,就会导致 key 和 IV 都计算错误,业务流解密必然失败
18、vm 普遍存在运行速度拖慢的问题,几行的业务函数,膨胀到近 400 条业务指令,这还不涉及前面校验这些,实在有点夸张
19、从安全角度来看,z5还是非常难逆向的,速度慢的问题需要使用人员衡量
扫一扫
1121
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
