PHP chiffré par une protec commerciale

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

PHP chiffré par une protec commerciale

Messagepar corwinou » 11 Février 2016, 16:45

Hello,
J'aimerais en savoir plus sur le chiffrement des fichiers PHP avec 2 protections commerciales :
i/o*n-c+u*b/e en version 9.0.2 (la dernière a ce jour)
et
s+o-u*r/c*e-g+u-a*r/d*i*a-n en v10.1.6

Une petite recherche sur gogol pour déchiffrer amène sur des sites +/- de daube qui ne sont pas fonctionnels, en tout cas pas avec ces versions.
Il semble qu'on ne puisse pas revenir au fichier original, qu'en est-il reellement ? Je ne trouve pas de doc claire à ce sujet, votre avis la-dessus ?
Pour bricoler, j'ai plusieurs exemples (je possède le codeur/decodeur pour le premier soft, je pourrais y aller progressivement), mais comment procéder ? J'avoue ne pas savoir à quel moment intercepter le bidule et quel outil utiliser ...
Bye
corwinou
Visiteur
Visiteur
 
Messages: 13
Inscription: 09 Octobre 2012, 23:38

Re: PHP chiffré par une protec commerciale

Messagepar etherlord » 12 Février 2016, 10:00

corwinou a écrit:Il semble qu'on ne puisse pas revenir au fichier original, qu'en est-il reellement ? Je ne trouve pas de doc claire à ce sujet, votre avis la-dessus ?


Qu'il faut bien que le serveur qui publie la page php la décode avant.... c'est comme si tu chiffre un document texte pour le protéger, quel interêt de le faire si tu ne peut
plus relire ton document après-coup ?

Pour bricoler, j'ai plusieurs exemples (je possède le codeur/decodeur pour le premier soft, je pourrais y aller progressivement), mais comment procéder ? J'avoue ne pas savoir à quel moment intercepter le bidule et quel outil utiliser ...


Un debuggeur pour déjà voir ce qu'il fait quand il protège le document. A priori il manipule un fichier, donc un break-point sur une API d'ouverture de fichier en lecture devrait te
donner un bon point de départ pour voir ce que le programme fait du fichier. Ensuite en tracant pas a pas, tu va voir ce qu'il fait sur le fichier.

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2554
Inscription: 22 Mars 2004, 16:12

Re: PHP chiffré par une protec commerciale

Messagepar dionosis » 12 Février 2016, 14:13

Salut,

corwinou a écrit:Il semble qu'on ne puisse pas revenir au fichier original, qu'en est-il reellement ? Je ne trouve pas de doc claire à ce sujet, votre avis la-dessus ?

Dans ton cas je n'en sais rien, mais il est probable que ton code ait été obfusqué (altération dataflow, controlflow, etc) auquel cas un retour au source original peut s'avérer extrêmement fastidieux malgré le fait que le fichier soit fonctionnel.

Par aillleurs, il est aujourd'hui possible de servir directement le bytecode de ton source compilé à une vm php (hhvm en libre, mais il y en a d'autres il me semble), auquel cas c'est directement celle-ci qu'il te faudra débugger (ça se fait sans trop de difficulté s'il n'y a pas eu salopage du code de la vm).

L'un puis l'autre ça peut vite être très chiant.

Je n'ai pas le temps d'aller regarder ce que proposent les protectors que tu cites mais j'imagine que ça doit être plus ou moins ça.
En fonction de la situation il n'est pas toujours possible d'utiliser la protection via bytecode, dans le cas où le source doit être fourni impérativement en php à un client par exemple.
Peut-être faudrait'il que tu nous en dises plus sur la nature des fichiers que tu as en ta possession..

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: PHP chiffré par une protec commerciale

Messagepar corwinou » 12 Février 2016, 16:47

Effectivement je vois sur le premier soft plusieurs parametres d'obfuscation ainsi qu'une protection sur les include.
Merci pour les tuyaux, je vais m'y mettre et poster un cas concret.
corwinou
Visiteur
Visiteur
 
Messages: 13
Inscription: 09 Octobre 2012, 23:38

Re: PHP chiffré par une protec commerciale

Messagepar AmandaLear » 14 Février 2016, 17:03

Avec Ioncube* c'est le bytcode pour l’interpréteur PHP (le Zend Engine) qui est diffusé donc le code source original n'est pas récupérable.

* si ma mémoire ne me joue pas des tours et que je ne confonds pas avec un autre protecteur commercial.
Avatar de l’utilisateur
AmandaLear
Elève
Elève
 
Messages: 46
Inscription: 06 Octobre 2015, 17:42

Re: PHP chiffré par une protec commerciale

Messagepar hex0id » 15 Février 2016, 04:08

Je te recommande la lecture de :

h**ps://www.syssec.rub.de/media/emma/veroeffentlichungen/2016/01/14/PHP-De-Protection_RAID15.pdf.
Avatar de l’utilisateur
hex0id
 
Messages: 3
Inscription: 15 Février 2016, 03:59

Re: PHP chiffré par une protec commerciale

Messagepar dionosis » 16 Février 2016, 13:01

Salut,

Sympa le lien, merci.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43


Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités