Архивы автора: NetSpider

Об авторе NetSpider

ask

Function hijaking

Перехват функций – архиполезная штука. Если нет возможности изобрести пяттиколесный велосопед, поймать опасную функцию (системную команду) за хвост можно с помощью модуля Baxtep (спасибо Андрею). Baxtep – PHP security extension to intercept execution of system commands. Для сборки модуля понадобятся пара прямых рук и такие команды: # скачиваем с репозитория svn checkout https://baxtep.googlecode.com/svn/trunk/ baxtep #… Читать далее »

Скрытие кода, метод 6: ionCube HTML obfuscator

На сайте ionCube случайно заметил бесплатную плюшку – Free Obfuscating HTML Encoder. Захотелось посмотреть и раскодировать) Закодированная страница в примере на сайте выглядит следующим образом: <script language=javascript> c="e66x75…Y7dF7d"; // [1] first long string eval(unescape("%64%3d…%22%3b")); // [2] second long string x("C3Bomk…4ApQkS"); // [3] third long string </script> В оригинале весь код располагается в одну строку. В… Читать далее »

Microsoft Facepalm 2012

Майкрософт такой Майкрософт. Ну вот нахрена им люди в техподдержке, если на вопросы живых людей они отвечают как роботы-имбецилы? Задал 4 вопроса, ответили куском текста с сайта, ну не ептель? Нахрена вообще такая “техподдержка”? Маразм крепчает…

VMWare + physical drive vs Android

Некоторое время назад я описывал способ лечения VMWare, которая отказывалась открывать физический диск. С того времени еще не раз сталкивался с прекрасным. Bug #2 Второй баг обнаружился вот просто только что. Перезагрузил Виндовс после установки обновлений и VMWare выдала свое феерическое: The physical disk is already in use (73). Проклиная VMWare Не понимая, что происходит,… Читать далее »

Скрытие кода, метод 5

Следующий код был выдран из тела страницы взломанного сайта, этот javascript вставлял небольшой фрейм (сразу покажу причесанный вид, изначально все было в одну строку и без пробелов, пугающе 🙂 ): var s = »; try { new asd[0] } catch (q) { if (q) r = 1; c = String; } if (r && document.createTextNode)… Читать далее »

Скрытие кода, метод 4

Взято из демо-версии DLE: <?php $_F=__FILE__;$_X=’STRING=’;$_D=strrev(‘edoced_46esab’);eval($_D(‘STRING2==’));?> В коде бросаются в глаза две длиннющие строки в base64, раскодировать “в лоб” можно только вторую, там содержится кусок кода для дешифрации первой строки (STRING=). Причесанный вид файла: $_F = __FILE__; $_X = ‘STRING=’; $_D = strrev( ‘edoced_46esab’ ); eval( $_D( ‘STRING2==’ ) ); edoced_46esab – это всего лишь… Читать далее »

Скрытие кода, метод 3

Не совсем PHP, но тоже может быть интересно. Для вставки в страницы вредительского кода, в частности блоков iframe, используют javascript и данные, закодированные в unicode: <script type="text/javascript">document.write(‘\u003c\u0069\u0066\u0072\u0061\u006d\u0065’)</script> Раскодировать можно с помощью PHP: $str = "\u003c\u0069\u0066\u0072\u0061\u006d\u0065"; $str = preg_replace( "/\\\\u([0-9a-f]{3,4})/i", "&#x\\1;", $str ); $str = html_entity_decode( $str, null, ‘UTF-8’ ); echo $str . "\n"; Чтобы посмотреть,… Читать далее »