Декодер Base64 и дополнительно сжатого (Deflate) кода

Разбираясь со скрытым кодом обнаружил, что еще иногда ключ к расшифровке перед кодированием в Base64 еще и дополнительно сжимается с помощью DEFLATE. Это код вида — gzinflate(base64_decode(‘коДиРовАнЫйКОд‘)));

Из Википедии:
DEFLATE — это алгоритм сжатия без потерь, который использует комбинацию алгоритма LZ77 и алгоритма Хаффмана. Изначально он был описан Филом Кацом для 2-й версии своей утилиты для создания архивов PKZIP, который впоследствии был определён в RFC 1951.

DEFLATE считается свободным от всех существующих патентов, и пока патент на LZW (который используется в формате GIF) оставался в силе, это привело к использованию DEFLATE в файлах, сжимаемых gzip, и изображениях в формате PNG в добавок к формату ZIP, для которого Кац изначально его спроектировал.

Поэтому в дополнение к декодеру Base64 написал еще один скриптик, который рапаковывает строку.

Декодирование строк сжатых с помощью Deflate, а потом закодированных с помощью Base64:

Текст для расшифоровки:

Комментировать »

Alex | 09.01.2010 | Рубрики: Скрипты online

Декодер base64 и защиты php файлов.

Ни для кого не секрет, что зачатую в код скачанного Вами бесплатного программного обеспечения (в том числе и шаблоны для CMS веб сайтов Вордпресс (WordPress) и Джумла (Joomla) ) бывает встроен вредоносный код. И очень часто этот код находится в закодированном состоянии.
Вот и у меня при создании этого блока встал вопрос — а что за код находится за символами $_F=__FILE__;$_X= в одном из php файлов шаблона.
Разгадка оказалось очень простой — код закодирован чем то типа ByteRun или SourceCop и имеет вид $_F=__FILE__;$_X=’наБоРбукВиЦИфр‘;eval(base64_decode(‘еЩеБуквиЦифр‘)); так вот после __FILE__;$_X=’ и до следующей ковычки идет сам закодированный код…а после eval(base64_decode(‘ и до следующей ковычки — ключ для расшифровки закодированный через Base64.

В итоге написался вот такой скрипт для расшифровки самого кода. Вставьте в поле текст содержащийся между $_F=__FILE__;$_X=’ и ’; eval

Текст для расшифоровки:

Ну а если Вам интересно, КАК зкодирован текст — то вставьте содержимое идущее между eval(base64_decode(‘и до последней ковычки.
По сути это просто base64 декодер:

Текст для расшифоровки:

p.s. В последствии еще реализован скрипт декодирования Base64 и дополнительно сжатого (Deflate) кода

Комментариев (54) »

Alex | 09.01.2010 | Рубрики: Скрипты online