Что нового?

Вопрос Деобфускация PHP

  • Автор темы Автор темы Fiera
  • Дата начала Дата начала
Fiera
Забаненный
F
Забаненный
Статус
Оффлайн
Регистрация
17 Ноя 2021
Сообщения
271
Реакции
39
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
захотел покопать DarkCrystal RAT, наткнулся на параметры запуска -

javaw.exe которая запускает клиент:
Expand Collapse Copy 
"C:\Program Files\Java\jre1.8.0_51\bin\javaw.exe" -Dfile.encoding=UTF-8 -classpath "lib\.;lib\..;lib\IIlIllIllIIIlIlIlIlIlllllllIlllllIlIIlIIllIIIlIlIlllIIllllIlllllIIlllIlIllIIllIIllllIlIllIllllIlIIlllllIllIIIllIlllIlIII.jar;lib\IIlllIIIlIIIIlIlllIlIllIlIIIllIlIIllIlIllIIlIlIllIIIIlllIllllllIllIlllIllIIIllllllIIlllIllIIlIIIlIllIIIIIlllIllIIIlIIIlI.jar;lib\IIllllIIlllllIlIlIIIlIIllIllIlIlllllIlIIIlIlIlIIIlIIIllllllIlIllIIIIlIIIIIIIIIlIlIllIlIIllllIllIllIllIIlllIIIlllllIllIll.jar;lib\IlIIIllIlIlIIlIIIlIllllllIlIlIlIlIlIIIIlIIllIlIlIlllIIIlIIIlllIIlIIlllIIlIIIlllIllllIlIlllIlIlIllIIIllIIlIllIlIIIIlIIlll.jar;lib\IlIlllIlIlIllIlIIIlIIlIlllIIIlIIlIIIIIIlllIlllIIlllIlIllIllIIIIllIIllllIIlIIIIllIlIlllIIllIIIlllIlIllIIlIllIIIIIIIlllIII.jar;lib\IllIIIlIIlIIllIIlllIlIllIlIIlllllllIIlIllIlIIlIllIllIIllIlIIIIlllIIllIlIIlIIIlIIllIIllIllIlIIIIlIIlllllIIlllIllIIllllIII.jar;lib\IlllIlIIIlllIlIIIIIllIIlIIlllIlIlIIllIllllIIlllIIIlIIllIllIllIlIlIllllIllIlIIIllIlIlIIllIlllIllIIIIIIlIlIllIllllIllllIll.jar;lib\IlllIllIIlIlIIlIllIllIIIIllIIlIIIIIllllIIlIlIIlllllIIllllllIlIlIIlIlIlIllIlIIllIIllIIlIllIIlIllIlIIIIIlIlIlllIlIllIlllII.jar;lib\IlllllIIIIlllIllIIIIlIllllIIlIlIllIlIllIIIIllIIIlIlllIIIlIIIlIIllIIIlIlllIIIlIIllIIIlIllllIllllIIIIlIllllIIllllIIlIIlIIl.jar;lib\lIlIllIIIlIlIIIlIIIlIlllIIlIIIIIllIllIlIllIIIIIIIlIIIIlllllIIIIIlllIIlIlIlIIIllllIlllIIIIllIIlIIlllllIIlllIIlIIIIlIllllI.jar;lib\lIllIIlIIIlllIlllllIIIllIlIlIIlIllIlllIlllIlIIlllIlIIlllIllIIIIIIIlllIlllllIlIIllIllIlIIIlllllIIlIIIlIIlIIIIlllllIlIllII.jar;lib\llIlIIlIIIllIlIlllIlllIIlllIIIlIllIllIllIlllllIllIIlllIlIIIIIlIlIIIlIlIIllllIIIIlllIIIIllIIIlIIIIlIlIlIIllllIlIlllIlIlII.jar;lib\lllIllllllIllIlIlllllllllllllIIlIIIlllIlllIIlllIIIlIIlllIlIlllIllIlllIlIIllIllIIlllIlIllIIlIllIllIllllllllllIIIIllIlIllI.jar;lib\lllllIIIIIllIllIIllllllIIlIIIlllIlIllIIIllIllIlIIIlIllIIIIIllllllIIIIIllIIIIIIllllllIIllIIIIIlllIIlIllIIlIlIlllIIIIIIlIl.jar" org.develnext.jphp.ext.javafx.FXLauncher
Ну так вот, после еще одного круга копания я вышел на App.phb клиента
Вот что я смог получить расшифровывая phb

App.PHB_Decrypted:
Expand Collapse Copy 
<?php

echo "\034љJ’\0013SУ\000\000\000\000\000\000\000\016\000\0161952586485~583\000\000\000-\000-\$php_module_m74fdf19393444def9f4c75ceaa5ae264\000\001яяяяяяяя\000\aUnknown\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\001\001\000\000\000\000\001\000\000\000\000\003\000\003App\000\000\0004\0004\$php_module_m74fdf19393444def9f4c75ceaa5ae264_class0\001\000\000\000\n\000\000\000\t\000\aUnknownяяяя\000\000\000\000\000\000\000\000\000\000\000\005\000\000\000\005\000\000\001\000\000\000\000яяяя\000\000яяяяяяяя\000\001\000\000\000\000\000\000\000\003\000\003pid\000\000\000\005\000\005pid\$0\001\000\000\000\f\000\000\000\v\000\aUnknown\000\000\000\000\000\000\000\000\000\000\001\000\000\000\000яяяя\000\000яяяяяяяя\000\001\000\000\000\000\000\000\000\004\000\004name\000\000\000\006\000\006name\$1\001\000\000\000\021\000\000\000\v\000\aUnknown\000\000\000\000\000\000\000\000\000\000\001\000\000\000\000яяяя\000\000яяяяяяяя\000\001\000\000\000\000\000\000\000\a\000\aversion\000\000\000\t\000\tversion\$2\001\000\000\000\026\000\000\000\v\000\aUnknown\000\000\000\000\000\000\000\000\000\000\001\000\000\000\000яяяя\000\000яяяяяяяя\000\001\000\000\000\000\000\000\000\010\000\010shutdown\000\000\000\n\000\nshutdown\$3\001\000\000\000\033\000\000\000\v\000\aUnknown\000\000\000\000\000\000\000\000\000\000\001\000\000\000\000яяяя\000\000яяяяяяяя\000\001\000\000\000\000\000\000\000\005\000\005later\000\000\000\a\000\alater\$4\001\000\000\000 \000\000\000\v\000\aUnknown\000\000\000\001\000\000\000\010яяяя\000\000\001\000\000\000\000\000\010\000\010callback\001\000\000\000 \000\000\000#\000\aUnknownяяяяяяяя\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\016Кюєѕ\000\000\0002\000°\001\0004\$php_module_m74fdf19393444def9f4c75ceaa5ae264_class0\a\000\001\001\000\033php/runtime/lang/BaseObject\a\000\003\001\000\003\$FN\001\000\022Ljava/lang/String;\001\000\004\$TRC\001\000\034[Lphp/runtime/env/TraceInfo;\001\000\004\$MEM\001\000\025[Lphp/runtime/Memory;\001\000\005\$AMEM\001\000\026[[Lphp/runtime/Memory;\001\000\020\$CALL_FUNC_CACHE\001\000,Lphp/runtime/invoke/cache/FunctionCallCache;\001\000\020\$CALL_METH_CACHE\001\000*Lphp/runtime/invoke/cache/MethodCallCache;\001\000\020\$CALL_PROP_CACHE\001\000,Lphp/runtime/invoke/cache/PropertyCallCache;\001\000\021\$CALL_CONST_CACHE\001\000,Lphp/runtime/invoke/cache/ConstantCallCache;\001\000\021\$CALL_CLASS_CACHE\001\000)Lphp/runtime/invoke/cache/ClassCallCache;\001\000\003\$CL\001\000\003App\010\000\030\001\000\006<init>\001\000D(Lphp/runtime/env/Environment;Lphp/runtime/reflection/ClassEntity;)V\f\000\032\000\033\n\000\004\000\034\001\000\005~this\001\0006L\$php_module_m74fdf19393444def9f4c75ceaa5ae264_class0;\001\000\004~env\001\000\035Lphp/runtime/env/Environment;\001\000\006~class\001\000\005pid\$0\001\000H(Lphp/runtime/env/Environment;[Lphp/runtime/Memory;)Lphp/runtime/Memory;\f\000\a\000\010\t\000\002\000%\001\000\025php\gui\uxapplication\010\000'\001\000\006getpid\010\000)\001\000\025php\gui\UXApplication\010\000+\001\000\006getPid\010\000-\f\000\017\000\020\t\000\002\000/\001\000\037php/runtime/invoke/InvokeHelper\a\0001\001\000\ncallStatic\001\000Ц(Lphp/runtime/env/Environment;Lphp/runtime/env/TraceInfo;Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;[Lphp/runtime/Memory;Lphp/runtime/invoke/cache/MethodCallCache;I)Lphp/runtime/Memory;\f\0003\0004\n\0002\0005\001\000\022php/runtime/Memory\a\0007\001\000\vtoImmutable\001\000\026()Lphp/runtime/Memory;\f\0009\000:\n\0008\000;\001\000\tUNDEFINED\001\000\024Lphp/runtime/Memory;\f\000=\000>\t\0008\000?\001\000\005~args\001\000\023java/lang/Throwable\a\000B\001\000\006name\$1\001\000\035php\gui\\framework\application\010\000E\001\000\003get\010\000G\001\000\035php\gui\\framework\Application\010\000I\001\000\agetName\010\000K\001\000\agetname\010\000M\001\000%php/runtime/invoke/ObjectInvokeHelper\a\000O\001\000\finvokeMethod\001\000›(Lphp/runtime/Memory;Ljava/lang/String;Ljava/lang/String;Lphp/runtime/env/Environment;Lphp/runtime/env/TraceInfo;[Lphp/runtime/Memory;)Lphp/runtime/Memory;\f\000Q\000R\n\000P\000S\001\000\tversion\$2\001\000\ngetVersion\010\000V\001\000\ngetversion\010\000X\001\000\nshutdown\$3\001\000\010shutdown\010\000[\003\000\000\000\006\001\000\alater\$4\001\000\"php/runtime/memory/ReferenceMemory\a\000_\001\000\003()V\f\000\032\000a\n\000`\000b\001\000\vassignRight\001\000>(Lphp/runtime/Memory;Lphp/runtime/Memory;)Lphp/runtime/Memory;\f\000d\000e\n\0008\000f\001\000\004NULL\f\000h\000>\t\0008\000i\003\000\000\000\a\001\000\010runlater\010\000l\001\000\010runLater\010\000n\001\000\010callback\001\000\010<clinit>\003\000\000\000\010\001\000\031php/runtime/env/TraceInfo\a\000s\f\000\005\000\006\t\000\002\000u\005\000\000\000\000\000\000\000\016\005\000\000\000\000\000\000\000\034\001\000\avalueOf\001\0001(Ljava/lang/String;JJ)Lphp/runtime/env/TraceInfo;\f\000{\000|\n\000t\000}\005\000\000\000\000\000\000\000\023\005\000\000\000\000\000\000\000\032\005\000\000\000\000\000\000\000 \005\000\000\000\000\000\000\000\030\005\000\000\000\000\000\000\000\035\005\000\000\000\000\000\000\000\031\005\000\000\000\000\000\000\000\"\005\000\000\000\000\000\000\000\025\f\000\t\000\n\t\000\002\000Џ\a\000\n\f\000\v\000\f\t\000\002\000’\001\000*php/runtime/invoke/cache/FunctionCallCache\a\000”\n\000•\000b\f\000\r\000\016\t\000\002\000—\001\000(php/runtime/invoke/cache/MethodCallCache\a\000™\n\000љ\000b\001\000*php/runtime/invoke/cache/ConstantCallCache\a\000њ\n\000ќ\000b\f\000\023\000\024\t\000\002\000џ\001\000*php/runtime/invoke/cache/PropertyCallCache\a\000Ў\n\000ў\000b\f\000\021\000\022\t\000\002\000¤\001\000'php/runtime/invoke/cache/ClassCallCache\a\000¦\n\000§\000b\f\000\025\000\026\t\000\002\000©\001\000\rConstantValue\001\000\004Code\001\000\022LocalVariableTable\001\000\017LineNumberTable\001\000\rStackMapTable\000!\000\002\000\004\000\000\000\n\000\031\000\005\000\006\000\000\000\t\000\a\000\010\000\000\000\t\000\t\000\n\000\000\000\t\000\v\000\f\000\000\000\t\000\r\000\016\000\000\000\t\000\017\000\020\000\000\000\t\000\021\000\022\000\000\000\t\000\023\000\024\000\000\000\t\000\025\000\026\000\000\000\031\000\027\000\006\000\001\000«\000\000\000\002\000\031\000\a\000\001\000\032\000\033\000\001\000¬\000\000\000I\000\003\000\003\000\000\000\a*+,·\000\035±\000\000\000\002\000\000\000\000 \000\003\000\000\000\006\000\036\000\037\000\000\000\000\000\006\000 \000!\000\001\000\000\000\006\000\"\000\006\000\002\000®\000\000\000\n\000\002\000\000\000\n\000\000\000\n\000\t\000#\000$\000\001\000¬\000\000\000h\000\t\000\002\000\000\000\036*І\000&\0032\022(\022*\022,\022.\001І\0000\003ё\0006¶\000<°\000\000\000ї\000\000\000\003\000\000\000\000\026\000\002\000\000\000\036\000 \000!\000\000\000\000\000\036\000A\000\n\000\001\000®\000\000\000\n\000\002\000\000\000\f\000\000\000\016\000Ї\000\000\000\f\000\001я\000\032\000\000\000\001\a\000C\000\t\000D\000$\000\001\000¬\000\000\000v\000\t\000\002\000\000\000,*І\000&\0042\022F\022H\022J\022H\001І\0000\004ё\0006\022L\022N*І\000&\0052\001ё\000T¶\000<°\000\000\000ї\000\000\000\003\000\000\000\000\026\000\002\000\000\000,\000 \000!\000\000\000\000\000,\000A\000\n\000\001\000®\000\000\000\n\000\002\000\000\000\021\000\000\000\023\000Ї\000\000\000\f\000\001я\000(\000\000\000\001\a\000C\000\t\000U\000$\000\001\000¬\000\000\000v\000\t\000\002\000\000\000,*І\000&\0062\022F\022H\022J\022H\001І\0000\005ё\0006\022W\022Y*І\000&\a2\001ё\000T¶\000<°\000\000\000ї\000\000\000\003\000\000\000\000\026\000\002\000\000\000,\000 \000!\000\000\000\000\000,\000A\000\n\000\001\000®\000\000\000\n\000\002\000\000\000\026\000\000\000\030\000Ї\000\000\000\f\000\001я\000(\000\000\000\001\a\000C\000\t\000Z\000$\000\001\000¬\000\000\000b\000\t\000\002\000\000\000**І\000&\0102\022F\022H\022J\022H\001І\0000\006ё\0006\022\\\022\*І\000&\022]2\001ё\000TWІ\000@°\000\000\000\002\000\000\000\000\026\000\002\000\000\000*\000 \000!\000\000\000\000\000*\000A\000\n\000\001\000®\000\000\000\n\000\002\000\000\000\033\000\000\000\035\000\t\000^\000$\000\001\000¬\000\000\000‘\000\n\000\003\000\000\000=»\000`Y·\000cM+\0032,ё\000gЗ\000\vІ\000j,ё\000gW*І\000&\022k2\022(\022m\022,\022o\004Ѕ\0008Y\003,SІ\0000\aё\0006WІ\000@°\000\000\000\003\000\000\000\000 \000\003\000\000\000=\000 \000!\000\000\000\000\000=\000A\000\n\000\001\000\000\000=\000p\000>\000\002\000®\000\000\000\016\000\003\000\000\000 \000\000\000 \000\000\000\"\000Ї\000\000\000\010\000\001ь\000\032\a\000`\000\010\000q\000a\000\001\000¬\000\000\000Ы\000\010\000\000\000\000\000Г\022rЅ\000tY\003І\000v\024\000w\024\000yё\000~SY\004І\000v\024\000\024\000Ѓё\000~SY\005І\000v\024\000\024\000ѓё\000~SY\006І\000v\024\000…\024\000Ѓё\000~SY\aІ\000v\024\000…\024\000ѓё\000~SY\010І\000v\024\000‡\024\000ё\000~SY\022]І\000v\024\000‡\024\000‰ё\000~SY\022kІ\000v\024\000‹\024\000Ќё\000~Sі\000&\003Ѕ\0008і\000ђ\003Ѕ\000‘і\000“»\000•Y·\000–і\000»\000љY·\000›і\0000»\000ќY·\000ћі\000 »\000ўY·\000Јі\000Ґ»\000§Y·\000Ёі\000Є±\000\000\000\001\000®\000\000\000\006\000\001\000\000\000\n\000\000\000\000\000\000\000\000\aќКюєѕ\000\000\0002\000]\001\000-\$php_module_m74fdf19393444def9f4c75ceaa5ae264\a\000\001\001\000\033php/runtime/lang/BaseObject\a\000\003\001\000\003\$FN\001\000\022Ljava/lang/String;\001\000\004\$TRC\001\000\034[Lphp/runtime/env/TraceInfo;\001\000\004\$MEM\001\000\025[Lphp/runtime/Memory;\001\000\005\$AMEM\001\000\026[[Lphp/runtime/Memory;\001\000\020\$CALL_FUNC_CACHE\001\000,Lphp/runtime/invoke/cache/FunctionCallCache;\001\000\020\$CALL_METH_CACHE\001\000*Lphp/runtime/invoke/cache/MethodCallCache;\001\000\020\$CALL_PROP_CACHE\001\000,Lphp/runtime/invoke/cache/PropertyCallCache;\001\000\021\$CALL_CONST_CACHE\001\000,Lphp/runtime/invoke/cache/ConstantCallCache;\001\000\021\$CALL_CLASS_CACHE\001\000)Lphp/runtime/invoke/cache/ClassCallCache;\001\000\003\$CL\010\000\001\001\000\006<init>\001\000D(Lphp/runtime/env/Environment;Lphp/runtime/reflection/ClassEntity;)V\f\000\031\000\032\n\000\004\000\033\001\000\005~this\001\000\006Lnull;\001\000\004~env\001\000\035Lphp/runtime/env/Environment;\001\000\006~class\001\000\t__include\001\000h(Lphp/runtime/env/Environment;[Lphp/runtime/Memory;Lphp/runtime/memory/ArrayMemory;)Lphp/runtime/Memory;\001\000\036php/runtime/memory/ArrayMemory\a\000$\001\000\nvalueOfRef\001\000B(Lphp/runtime/memory/ArrayMemory;)Lphp/runtime/memory/ArrayMemory;\f\000&\000'\n\000%\000(\001\000\022php/runtime/Memory\a\000*\001\000\tUNDEFINED\001\000\024Lphp/runtime/Memory;\f\000,\000-\t\000+\000.\001\000\005~args\001\000\f~passedLocal\001\000 Lphp/runtime/memory/ArrayMemory;\001\000\006~local\001\000\010<clinit>\001\000\003()V\001\000\031php/runtime/env/TraceInfo\a\0006\f\000\a\000\010\t\000\002\0008\f\000\t\000\n\t\000\002\000:\a\000\n\f\000\v\000\f\t\000\002\000=\001\000*php/runtime/invoke/cache/FunctionCallCache\a\000?\f\000\031\0005\n\000@\000A\f\000\r\000\016\t\000\002\000C\001\000(php/runtime/invoke/cache/MethodCallCache\a\000E\n\000F\000A\f\000\017\000\020\t\000\002\000H\001\000*php/runtime/invoke/cache/ConstantCallCache\a\000J\n\000K\000A\f\000\023\000\024\t\000\002\000M\001\000*php/runtime/invoke/cache/PropertyCallCache\a\000O\n\000P\000A\f\000\021\000\022\t\000\002\000R\001\000'php/runtime/invoke/cache/ClassCallCache\a\000T\n\000U\000A\f\000\025\000\026\t\000\002\000W\001\000\rConstantValue\001\000\004Code\001\000\022LocalVariableTable\001\000\017LineNumberTable\000!\000\002\000\004\000\000\000\n\000\031\000\005\000\006\000\000\000\t\000\a\000\010\000\000\000\t\000\t\000\n\000\000\000\t\000\v\000\f\000\000\000\t\000\r\000\016\000\000\000\t\000\017\000\020\000\000\000\t\000\021\000\022\000\000\000\t\000\023\000\024\000\000\000\t\000\025\000\026\000\000\000\031\000\027\000\006\000\001\000Y\000\000\000\002\000\030\000\003\000\001\000\031\000\032\000\001\000Z\000\000\000I\000\003\000\003\000\000\000\a*+,·\000\034±\000\000\000\002\000[\000\000\000 \000\003\000\000\000\006\000\035\000\036\000\000\000\000\000\006\000\037\000 \000\001\000\000\000\006\000!\000\006\000\002\000\\\000\000\000\n\000\002\000\000\000\000\000\000\000\000\000\031\000\"\000#\000\001\000Z\000\000\000Q\000\001\000\004\000\000\000\t,ё\000)NІ\000/°\000\000\000\002\000[\000\000\000*\000\004\000\000\000\t\000\037\000 \000\000\000\000\000\t\0000\000\n\000\001\000\000\000\t\0001\0002\000\002\000\000\000\t\0003\0002\000\003\000\\\000\000\000\006\000\001\000\000\000\000\000\010\0004\0005\000\001\000Z\000\000\000`\000\002\000\000\000\000\000H\003Ѕ\0007і\0009\003Ѕ\000+і\000;\003Ѕ\000<і\000>»\000@Y·\000Bі\000D»\000FY·\000Gі\000I»\000KY·\000Lі\000N»\000PY·\000Qі\000S»\000UY·\000Vі\000X±\000\000\000\001\000\\\000\000\000\006\000\001\000\000\000\000\000\000\000\000\000\000";

?>
Вопрос такой - как можно деобфусцировать App.PHB_Decrypted сверху?
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

MaximumMaxa
UE4 Asset Special Move Animations
Ответы
0
Просмотры
214
MaximumMaxa
MaximumMaxa
MaximumMaxa
UE4 Asset SCIFI Traps 2
Ответы
0
Просмотры
119
MaximumMaxa
MaximumMaxa
W
Моделька Garry's mod или как сломать себе мозг и стол
Ответы
0
Просмотры
737
whyorkavo
W
U
UE4 Asset Fantastic Gems
Ответы
0
Просмотры
300
UnrealEngine
U
Nicole3D
UE4 Asset Environment Pack for Unreal Engine
Ответы
5
Просмотры
1K
MatthewQ
MatthewQ
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Назад
Сверху Снизу