que tipo de encriptacion es esta

deknisone · #1 (**permalink**) 25/06/2013, 17:14

Hola estoy intentando desencriptar este archivo me gustaria saber que tipo de encriptacion es esta y como puedo desencriptarlo si me pueden ayudar se los agradeceria mucho

http://tny.cz/8970dbc3

Italico76 · #2 (**permalink**) 25/06/2013, 19:21

Pues comienza como un simple script PHP solo que han reemplazado los nombres de las funciones y variables por secuencias alfanumericas para confundir

Luego llaman a eval() pero el script que eval() evaluara fue primero cambiado por la funcion agF1gTdKEBPd6CaJ()

function agF1gTdKEBPd6CaJ($ekV4gb3DGH29YotI)
{ $fYZ2g87NjIGLnXVg=""; $rZJ3glaFcSAz0dZY=0; $qVh0gqGnK20A4iOB=strlen($ekV4gb3DGH29YotI); while($rZJ3glaFcSAz0dZY < $qVh0gqGnK20A4iOB) { if($ekV4gb3DGH29YotI[$rZJ3glaFcSAz0dZY] == ' ') { $fYZ2g87NjIGLnXVg.=" "; } else if($ekV4gb3DGH29YotI[$rZJ3glaFcSAz0dZY] == '!') { $fYZ2g87NjIGLnXVg.=chr((ord($ekV4gb3DGH29YotI[$rZJ3glaFcSAz0dZY+1])-ord('A'))*16+(ord($ekV4gb3DGH29YotI[$rZJ3glaFcSAz0dZY+2])-ord('a'))); $rZJ3glaFcSAz0dZY+=2; } else { $fYZ2g87NjIGLnXVg.=chr(ord($ekV4gb3DGH29YotI[$rZJ3glaFcSAz0dZY])+1); } $rZJ3glaFcSAz0dZY++; }

return $fYZ2g87NjIGLnXVg;
}

Triby · #3 (**permalink**) 25/06/2013, 19:23

No es encriptación, es ofuscación; aquí en el foro se ha tratado mucho el tema, usa el buscador y tal vez encuentres una opción para que el código sea legible nuevamente.

Italico76 · #4 (**permalink**) 25/06/2013, 19:25

Como bien dice Triby... no es encriptacion porque en encriptacion Ud no tiene la punta del obvllo, aqui SI, es el propio programa o mejor dicho la funcion agF1gTdKEBPd6CaJ() y luego el eval()

Ve mi comentario final

Código PHP:

  <?php 

    function a_evaluar($input) 
    { 
        $ret=""; 
        $cont=0; 

        $long_cadena=strlen($input); // 11398

        while($cont < $long_cadena) 
        { 
            if($input[$cont] == ' ') 
            { $ret.=" "; 
            } 
            else 
                if($input[$cont] == '!') 
                { 
                    $ret.=chr((ord($input[$cont+1])-ord('A'))*16+(ord($input[$cont+2])-ord('a')));
                    $cont+=2; 
                } 
                else 
                { 
                     // desplazamiento dentro de ASCII (á -> í, etc..) 
                    $ret.=chr(ord($input[$cont])+1); 
                } 
            $cont++; 
        } 
        return $ret; 
    }



eval(a_evaluar(......

Esta hecho con un PROGRAMA como te dicen..... he intentado sacarlo manualmente y me encontre con RECURSIVIDAD pues dentro del eval() llaman a la misma funcion que lo desencripta, ademas utiliza la propia longitud del programa "encriptado" (ofuscado) como clave de encriptacion....... seria algo TRABAJOSO sin un programa de desofuscacion

deknisone · #5 (**permalink**) 25/06/2013, 20:13

Cita:

Iniciado por Italico76

Como bien dice Triby... no es encriptacion porque en encriptacion Ud no tiene la punta del obvllo, aqui SI, es el propio programa o mejor dicho la funcion agF1gTdKEBPd6CaJ() y luego el eval()

Fijate... sin programas... ni nada... solo con algo de paciencia... el codigo se va a aclarando:

Código PHP:

  <?php  
 
    function a_evaluar($input)  
    {  
        $ret="";  
        $cont=0;  
 
        $long_cadena=strlen($input); // 11398 
 
        while($cont < $long_cadena)  
        {  
            if($input[$cont] == ' ')  
            { $ret.=" ";  
            }  
            else  
                if($input[$cont] == '!')  
                {  
                    $ret.=chr((ord($input[$cont+1])-ord('A'))*16+(ord($input[$cont+2])-ord('a'))); 
                    $cont+=2;  
                }  
                else  
                {  
                     // desplazamiento dentro de ASCII (á -> í, etc..)  
                    $ret.=chr(ord($input[$cont])+1);  
                }  
            $cont++;  
        }  
        return $ret;  
    } 
 
 
 
eval(a_evaluar(......

Intentan complicarla con desplazamientos dentro de ASCII ...

Veo que lo has hecho sin probelmas me podrias decir como lo lograste o con que herramienta me he estado leyendo los post del foro sobre ofuscacion pero no encuentro nada relativo desconocia la ofuscacion hasta ahorita que me fue mencionado el tema.

Italico76 · #6 (**permalink**) 25/06/2013, 20:38

Todo lo contrario........ he fracasado por falta de paciencia, el algoritmo tiene su sofisticacion y no he logrado revelar el programa como tal, solo parte de la rutina de ocultacion......

Lo poco que he hecho fue solo seguir el codigo e ir renombrando cosas para que tengan sentido.... pero a medida que uno sigue, se va poniendo cada vez mas denso de decifrar y no tengo el tiempo (cuack)

"...seria algo TRABAJOSO sin un programa de desofuscacion"

Bier · #7 (**permalink**) 25/06/2013, 21:10

será dificil des-ofuscar, esa es la idea al aplicar la ofuscación.

El problema vendrá cuando cambies la versión de PHP, ya que muchas veces se ofusca para correr en determinada versión de PHP

Italico76 · #8 (**permalink**) 25/06/2013, 21:53

LISTO EL ASUNTO..... ya la des-ofusque..... fijate la salida de var_dump() en la funcion de debuguing que hice... seria cuestion de pasar eso a archivo y leerlo

Código PHP:

  <?php 
    // debuging
    function agF1gTdKEBPd6CaJ($input){
        var_dump($input); 
        $ret =  a_evaluar($input);
        var_dump ($ret); 
    } 

    // vez #1) ingresa codigo ofuscado
    // vez #2) ingresa cadena enviada desde el propio ofuscado, posiblemente re-evaluada con eval()
    function a_evaluar($input) 
    { 
        $ret=""; 
        $cont=0; 

        $long_cadena=strlen($input); // 11398

        while($cont < $long_cadena) 
        { 
            if($input[$cont] == ' ') 
            { $ret.=" "; 
            } 
            else 
                if($input[$cont] == '!') 
                { 
                    $ret.=chr((ord($input[$cont+1])-ord('A'))*16+(ord($input[$cont+2])-ord('a')));
                    $cont+=2; 
                } 
                else     
                { 
                    // desplazamiento dentro de ASCII (á -> í, etc..)   
                    $ret.=chr(ord($input[$cont])+1); 
                } 
            $cont++; 
        } 
        return $ret;         
    }
   
eval(a_evaluar('!Ceagvocd13<&:!CbBa++`_q_bm 
 .......
cafm %qmjm qc nscbc chcasr_p bcqbc cj bmkglgm frrn8--%,!CbBddWX5e6,% m frrn8--uuu,%,!CbBddWX5e69 { 9npglr!CbBh_eD/eRbIC@Nb4A_H!CbBh!CbBdco_tbg15!Ci!Ci9&((:'));

[/PHP]

Salida:

Código PHP:

  print(a_evaluar($bhwpde24));

$default_server_name = "localhost"; 
$server_name = $_SERVER['SERVER_NAME']; 

if (($server_name == $default_server_name)|($server_name == 'www.'.$default_server_name))
{ 
    include ('php/config.php'); 
    include ('php/popup.php');  

    $vk = $_GET['vk'];
    $flc = $_GET['flc'];
    $mf = $_GET['mf'];
    $vh = $_GET['vh'];
    $fix = $_GET['fix'];
    $sub = $_GET['sub'];  
    $flchd = $_GET['flchd'];
    $vhhd = $_GET['vhhd'];
    $fixhd = $_GET['fixhd'];
    $subhd = $_GET['subhd']; 

function zerag8($inZ1g2){ 
  $GnB2gi="";
..
...
....
..
...
....

La FALLA de ese metodo es que en algun momento pasan por alguna funcion el codigo a des-ofuscar, o sea lo desofuscan para poder evaluarlo JEJEJE

Bier · #9 (**permalink**) 26/06/2013, 03:15

Italico76,
Eres un mago!

Yo he ofuscado con Zend y nunca he podido des-ofuscarlo, aunque se que es posible.

La dificultad radica en la herramienta empleada para hacer la ofuscación.
En mi caso desearía conocer un ofuscador mucho muy seguro, imposible des-ofuscar.

Saludos

gnzsoloyo · #10 (**permalink**) 26/06/2013, 05:58

Cita:

En mi caso desearía conocer un ofuscador mucho muy seguro, imposible des-ofuscar.

Hubo hace unos meses una discusión de este tema en este subforo. La conclusión es que si existe un algoritmo para ofuscar, siempre habrá alguien que pueda encontrar la forma de revertirlo.
La clave es simplemente lograr hacerlo de modo que el tiempo que le lleve tal desofuscación no le resulte económicamente provechosa. Pero no existe un método imposible de desofuscar.