本次,是一次不成功的记录,仅供分析使用.
易盾2.X加密的PHP文件以@%开头,后面跟的是PHP版本号.如下图:@%53 则代表易盾2.X加密的,PHP5.3版本的文件.
通过IDA 加载易盾的DLL文件,如下图:
判断易盾的标识,后面有一个对数据进行运算的,目的是对数据进行解密.这个解密是可逆的.
这一组数据10进制为:2B90H->11152 0170H-> 368 00C0H-> 192 0501H-> 1281 003EH-> 62 通过以上数据进行了异或运算,这里很容易逆向的.
接下来,对解密后的数据是一个压缩数据包,再通过:gzinflate 进行解压缩,可以得到数据. 这时我们所得到的数据为编译数据.可以通过再次转换得到所要的结果.