Alguien conoce este tipo de ofuscación

Iniciado por Shell Root, 24 Agosto 2012, 05:15 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1 2
Acciones del Usuario

Shell Root

24 Agosto 2012, 05:15 AM Ultima modificación: 24 Agosto 2012, 05:20 AM por Shell Root
Cómo se hace? Que software lo hace?
Código (php) [Seleccionar]
if (!function_exists("TC9A16C47DA8EEE87")) {
   function TC9A16C47DA8EEE87($T059EC46CFE335260)
   {
       $T059EC46CFE335260 = base64_decode($T059EC46CFE335260);
       $TC9A16C47DA8EEE87 = 0;
       $TA7FB8B0A1C0E2E9E = 0;
       $T17D35BB9DF7A47E4 = 0;
       $T65CE9F6823D588A7 = (ord($T059EC46CFE335260[1]) << 8) + ord($T059EC46CFE335260[2]);
       $TBF14159DC7D007D3 = 3;
       $T77605D5F26DD5248 = 0;
       $T4A747C3263CA7A55 = 16;
       $T7C7E72B89B83E235 = "";
       $T0D47BDF6FD9DDE2E = strlen($T059EC46CFE335260);
       $T43D5686285035C13 = __FILE__;
       $T43D5686285035C13 = file_get_contents($T43D5686285035C13);
       $T6BBC58A3B5B11DC4 = 0;
       preg_match(base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv"), $T43D5686285035C13, $T6BBC58A3B5B11DC4);
       for (; $TBF14159DC7D007D3 < $T0D47BDF6FD9DDE2E; ) {
           # ____________[SNIP]____________
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

alexander1712

#1
24 Agosto 2012, 06:37 AM
Cita de: Shell Root en 24 Agosto 2012, 05:15 AM
Cómo se hace? Que software lo hace?
Código (php) [Seleccionar]
if (!function_exists("TC9A16C47DA8EEE87")) {
   function TC9A16C47DA8EEE87($T059EC46CFE335260)
   {
       $T059EC46CFE335260 = base64_decode($T059EC46CFE335260);
       $TC9A16C47DA8EEE87 = 0;
       $TA7FB8B0A1C0E2E9E = 0;
       $T17D35BB9DF7A47E4 = 0;
       $T65CE9F6823D588A7 = (ord($T059EC46CFE335260[1]) << 8) + ord($T059EC46CFE335260[2]);
       $TBF14159DC7D007D3 = 3;
       $T77605D5F26DD5248 = 0;
       $T4A747C3263CA7A55 = 16;
       $T7C7E72B89B83E235 = "";
       $T0D47BDF6FD9DDE2E = strlen($T059EC46CFE335260);
       $T43D5686285035C13 = __FILE__;
       $T43D5686285035C13 = file_get_contents($T43D5686285035C13);
       $T6BBC58A3B5B11DC4 = 0;
       preg_match(base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv"), $T43D5686285035C13, $T6BBC58A3B5B11DC4);
       for (; $TBF14159DC7D007D3 < $T0D47BDF6FD9DDE2E; ) {
           # ____________[SNIP]____________


es muy sencillo.

Código [Seleccionar]
$T6BBC58A3B5B11DC4 <--- esos son variables, simples nombres de variables, nombres raros.

Código [Seleccionar]
 for (; $TBF14159DC7D007D3 < $T0D47BDF6FD9DDE2E; )

dos variables.

Código [Seleccionar]
$T059EC46CFE335260[1] <--arreglo

a esto ponle un echo

Código [Seleccionar]
base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv")

Código [Seleccionar]
echo base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv");

así verás su contenido.

no se si lo hace un software, pero que es un bestia programando en php, eso es cierto, es un bestia. solo a un bestia se le ocurre usar "" en un texto explícito como este "LyhwcmludHxzcHJpbnR8ZWNobykv" debería ser 'LyhwcmludHxzcHJpbnR8ZWNobykv' sinó consumes recursos al dope, porque para que querrías parsear un string así?

volviendo a tu pregunta, no creo que sea un software, simplemente decide por ejemplo ponerle un nombre extraño a funciones, variables, etc.

si tienes una variable $pepe y la reemplazas por $TC645654SDA9QWER en todo el código, ya te quedará ofuscada.

ignoro si lo hace un software, pero no sería muy dificil hacer un software, que ofusque así.

saludos!

Shell Root

#2
24 Agosto 2012, 21:30 PM
1. jajajjajajaja no pedi que lo desofuscarás, simplemente queria saber si algun software lo hace.
2. Así no se desofusca :p
3. No soy tan idiota pa no identificar variables y vectores ¬¬!
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

alexander1712

#3
24 Agosto 2012, 21:32 PM
Cita de: Shell Root en 24 Agosto 2012, 21:30 PM
1. jajajjajajaja no pedi que lo desofuscarás, simplemente queria saber si algun software lo hace.
2. Así no se desofusca :p
3. No soy tan idiota pa no identificar variables y vectores ¬¬!

Paz, hermano!

PD: Sé más explícito con las preguntas.

Shell Root

#4
28 Agosto 2012, 21:48 PM
Cita de: Shell Root en 24 Agosto 2012, 05:15 AMCómo se hace? Que software lo hace?
jajajajjaja como mejoro la pregunta?
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

ShundeHades

#5
2 Septiembre 2012, 19:06 PM
seria facil, crear una funcion que habra un archivo y que intercambie las variables revolviendo los valores y si son iguales, ambas queduen igual.

Shell Root

#6
5 Septiembre 2012, 01:50 AM
Sí, pero que tipo de hash es ese? Pregunte en Criptografia y dicen que parece que sea un md5, pero supongo que tendrá algun token.
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

дٳŦ٭

#7
21 Septiembre 2012, 01:22 AM
Cita de: Shell Root en 24 Agosto 2012, 21:30 PM
1. jajajjajajaja no pedi que lo desofuscarás, simplemente queria saber si algun software lo hace.
2. Así no se desofusca :p
3. No soy tan idiota pa no identificar variables y vectores ¬¬!

Creo q es de para agredecer la explicación del compañero y NO para presumir tus conocimientos.  :rolleyes:

Cita de: alexander1712 en 24 Agosto 2012, 06:37 AM
es muy sencillo.

Código [Seleccionar]
$T6BBC58A3B5B11DC4 <--- esos son variables, simples nombres de variables, nombres raros.

Código [Seleccionar]
for (; $TBF14159DC7D007D3 < $T0D47BDF6FD9DDE2E; )

dos variables.

Código [Seleccionar]
$T059EC46CFE335260[1] <--arreglo

a esto ponle un echo

Código [Seleccionar]
base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv")

Código [Seleccionar]
echo base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv");

así verás su contenido.

no se si lo hace un software, pero que es un bestia programando en php, eso es cierto, es un bestia. solo a un bestia se le ocurre usar "" en un texto explícito como este "LyhwcmludHxzcHJpbnR8ZWNobykv" debería ser 'LyhwcmludHxzcHJpbnR8ZWNobykv' sinó consumes recursos al dope, porque para que querrías parsear un string así?

volviendo a tu pregunta, no creo que sea un software, simplemente decide por ejemplo ponerle un nombre extraño a funciones, variables, etc.

si tienes una variable $pepe y la reemplazas por $TC645654SDA9QWER en todo el código, ya te quedará ofuscada.

ignoro si lo hace un software, pero no sería muy dificil hacer un software, que ofusque así.

saludos!

Buena explicación bro.


Con sangre andaluza :)






https://www.putasvipmexico.com

дٳŦ٭

#8
21 Septiembre 2012, 01:24 AM
Cita de: Shell Root en  5 Septiembre 2012, 01:50 AM
Sí, pero que tipo de hash es ese? Pregunte en Criptografia y dicen que parece que sea un md5, pero supongo que tendrá algun token.

Por ningún lado codifica a MD5 y no veo ningún string en dicha criptografía...


Con sangre andaluza :)






https://www.putasvipmexico.com

Shell Root

#9
25 Septiembre 2012, 00:34 AM
Cita de: дٳŦ٭ en 21 Septiembre 2012, 01:22 AMCreo q es de para agredecer la explicación del compañero y NO para presumir tus conocimientos.  :rolleyes:
No presumo de nada, sólo pregunte por algo pero me respondio algo diferente ;)

Cita de: дٳŦ٭ en 21 Septiembre 2012, 01:24 AMPor ningún lado codifica a MD5 y no veo ningún string en dicha criptografía...
Obvio, porque lo que hace eso es el software el cual trato de encontrar. :p
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
Imprimir
Ir Arriba Páginas1 2
Acciones del Usuario