Alguien conoce este tipo de ofuscación

Iniciado por Shell Root, 24 Agosto 2012, 05:15 AM

0 Miembros y 1 Visitante están viendo este tema.

Shell Root

Cómo se hace? Que software lo hace?
Código (php) [Seleccionar]
if (!function_exists("TC9A16C47DA8EEE87")) {
   function TC9A16C47DA8EEE87($T059EC46CFE335260)
   {
       $T059EC46CFE335260 = base64_decode($T059EC46CFE335260);
       $TC9A16C47DA8EEE87 = 0;
       $TA7FB8B0A1C0E2E9E = 0;
       $T17D35BB9DF7A47E4 = 0;
       $T65CE9F6823D588A7 = (ord($T059EC46CFE335260[1]) << 8) + ord($T059EC46CFE335260[2]);
       $TBF14159DC7D007D3 = 3;
       $T77605D5F26DD5248 = 0;
       $T4A747C3263CA7A55 = 16;
       $T7C7E72B89B83E235 = "";
       $T0D47BDF6FD9DDE2E = strlen($T059EC46CFE335260);
       $T43D5686285035C13 = __FILE__;
       $T43D5686285035C13 = file_get_contents($T43D5686285035C13);
       $T6BBC58A3B5B11DC4 = 0;
       preg_match(base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv"), $T43D5686285035C13, $T6BBC58A3B5B11DC4);
       for (; $TBF14159DC7D007D3 < $T0D47BDF6FD9DDE2E; ) {
           # ____________[SNIP]____________
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

alexander1712

Cita de: Shell Root en 24 Agosto 2012, 05:15 AM
Cómo se hace? Que software lo hace?
Código (php) [Seleccionar]
if (!function_exists("TC9A16C47DA8EEE87")) {
   function TC9A16C47DA8EEE87($T059EC46CFE335260)
   {
       $T059EC46CFE335260 = base64_decode($T059EC46CFE335260);
       $TC9A16C47DA8EEE87 = 0;
       $TA7FB8B0A1C0E2E9E = 0;
       $T17D35BB9DF7A47E4 = 0;
       $T65CE9F6823D588A7 = (ord($T059EC46CFE335260[1]) << 8) + ord($T059EC46CFE335260[2]);
       $TBF14159DC7D007D3 = 3;
       $T77605D5F26DD5248 = 0;
       $T4A747C3263CA7A55 = 16;
       $T7C7E72B89B83E235 = "";
       $T0D47BDF6FD9DDE2E = strlen($T059EC46CFE335260);
       $T43D5686285035C13 = __FILE__;
       $T43D5686285035C13 = file_get_contents($T43D5686285035C13);
       $T6BBC58A3B5B11DC4 = 0;
       preg_match(base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv"), $T43D5686285035C13, $T6BBC58A3B5B11DC4);
       for (; $TBF14159DC7D007D3 < $T0D47BDF6FD9DDE2E; ) {
           # ____________[SNIP]____________


es muy sencillo.

$T6BBC58A3B5B11DC4 <--- esos son variables, simples nombres de variables, nombres raros.

 for (; $TBF14159DC7D007D3 < $T0D47BDF6FD9DDE2E; )

dos variables.

$T059EC46CFE335260[1] <--arreglo

a esto ponle un echo

base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv")

echo base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv");

así verás su contenido.

no se si lo hace un software, pero que es un bestia programando en php, eso es cierto, es un bestia. solo a un bestia se le ocurre usar "" en un texto explícito como este "LyhwcmludHxzcHJpbnR8ZWNobykv" debería ser 'LyhwcmludHxzcHJpbnR8ZWNobykv' sinó consumes recursos al dope, porque para que querrías parsear un string así?

volviendo a tu pregunta, no creo que sea un software, simplemente decide por ejemplo ponerle un nombre extraño a funciones, variables, etc.

si tienes una variable $pepe y la reemplazas por $TC645654SDA9QWER en todo el código, ya te quedará ofuscada.

ignoro si lo hace un software, pero no sería muy dificil hacer un software, que ofusque así.

saludos!

Shell Root

1. jajajjajajaja no pedi que lo desofuscarás, simplemente queria saber si algun software lo hace.
2. Así no se desofusca :p
3. No soy tan idiota pa no identificar variables y vectores ¬¬!
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

alexander1712

Cita de: Shell Root en 24 Agosto 2012, 21:30 PM
1. jajajjajajaja no pedi que lo desofuscarás, simplemente queria saber si algun software lo hace.
2. Así no se desofusca :p
3. No soy tan idiota pa no identificar variables y vectores ¬¬!

Paz, hermano!

PD: Sé más explícito con las preguntas.

Shell Root

Cita de: Shell Root en 24 Agosto 2012, 05:15 AMCómo se hace? Que software lo hace?
jajajajjaja como mejoro la pregunta?
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

ShundeHades

seria facil, crear una funcion que habra un archivo y que intercambie las variables revolviendo los valores y si son iguales, ambas queduen igual.

Shell Root

Sí, pero que tipo de hash es ese? Pregunte en Criptografia y dicen que parece que sea un md5, pero supongo que tendrá algun token.
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

дٳŦ٭

Cita de: Shell Root en 24 Agosto 2012, 21:30 PM
1. jajajjajajaja no pedi que lo desofuscarás, simplemente queria saber si algun software lo hace.
2. Así no se desofusca :p
3. No soy tan idiota pa no identificar variables y vectores ¬¬!

Creo q es de para agredecer la explicación del compañero y NO para presumir tus conocimientos.  :rolleyes:

Cita de: alexander1712 en 24 Agosto 2012, 06:37 AM
es muy sencillo.

$T6BBC58A3B5B11DC4 <--- esos son variables, simples nombres de variables, nombres raros.

for (; $TBF14159DC7D007D3 < $T0D47BDF6FD9DDE2E; )

dos variables.

$T059EC46CFE335260[1] <--arreglo

a esto ponle un echo

base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv")

echo base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv");

así verás su contenido.

no se si lo hace un software, pero que es un bestia programando en php, eso es cierto, es un bestia. solo a un bestia se le ocurre usar "" en un texto explícito como este "LyhwcmludHxzcHJpbnR8ZWNobykv" debería ser 'LyhwcmludHxzcHJpbnR8ZWNobykv' sinó consumes recursos al dope, porque para que querrías parsear un string así?

volviendo a tu pregunta, no creo que sea un software, simplemente decide por ejemplo ponerle un nombre extraño a funciones, variables, etc.

si tienes una variable $pepe y la reemplazas por $TC645654SDA9QWER en todo el código, ya te quedará ofuscada.

ignoro si lo hace un software, pero no sería muy dificil hacer un software, que ofusque así.

saludos!

Buena explicación bro.


Con sangre andaluza :)


дٳŦ٭

Cita de: Shell Root en  5 Septiembre 2012, 01:50 AM
Sí, pero que tipo de hash es ese? Pregunte en Criptografia y dicen que parece que sea un md5, pero supongo que tendrá algun token.

Por ningún lado codifica a MD5 y no veo ningún string en dicha criptografía...


Con sangre andaluza :)


Shell Root

Cita de: дٳŦ٭ en 21 Septiembre 2012, 01:22 AMCreo q es de para agredecer la explicación del compañero y NO para presumir tus conocimientos.  :rolleyes:
No presumo de nada, sólo pregunte por algo pero me respondio algo diferente ;)

Cita de: дٳŦ٭ en 21 Septiembre 2012, 01:24 AMPor ningún lado codifica a MD5 y no veo ningún string en dicha criptografía...
Obvio, porque lo que hace eso es el software el cual trato de encontrar. :p
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.