样本
文件样本由上一篇分析文章的 70# 层 提供。
魔方加密网站:https://www.mfenc.com/start.html
魔方加密文档:https://www.mfenc.com/document/start.md
下文称这个编译方法为 mfenc
静静地看着魔方加密吹牛逼
魔方加密的编译系统有这些特点:
- 自主开发
- 有完整的中间表示设计(中间指令和抽象语法树两种形式)
- 有完整的中间表示到目标 PHP 代码的映射规则
- 有与目标代码配套的虚拟机设计,包括虚拟机结构、与 PHP 环境的交互方法
魔方加密的程序不对外公开,随时保持更新,跟进最新的学术研究成果,在根本上杜绝了潜在攻击者的试探、分析等行为,保证了核心算法的安全,也保证了加密代码的安全。
说明
本文涉及大量汇编语言及反编译,需要有一定基础。而且学这个东西真的还不一定有用。
开始破解
格式化代码
我用的是 nikic/php-parser
的 AST 分析器进行的代码格式化,因为我发现这个库对乱码变量名的支持很好。
<?phpuse PhpParserError;use PhpParserParserFactory;use PhpParserPrettyPrinter;
ini_set('xdebug.max_nesting_level', 10000);require 'vendor/autoload.php';$input_file = $argv[1];$output_file = $argv[1] . '.formatted.php';$code = file_get_contents($input_file);// 解析代码$parser = (new ParserFactory)->create(ParserFactory::PREFER_PHP7);try {
$ast = $parser->parse($code);
} catch (Error $error) {
echo "Parse error: {$error->getMessage()}n";
return;
}// 格式化代码$prettyPrinter = new PrettyPrinterStandard;$prettyCode = $prettyPrinter->prettyPrintFile($ast);
file_put_contents($output_file, $prettyCode);
分析代码
代码最前面是一堆拥有同样形式的函数,都是 7 个输入变量,都是以引用的方式传递参数。
function func1(&$arg0, &$eip, &$arg2, &$arg3, &$arg4, &$arg5, &$arg6);
后面是一个函数,包含一个静态变量,这个静态变量等于一个超长的字符串,一个由一堆字符串使用 .
点符号连接起来的超长的字符串。
function func0($arg0, $eip, $arg2 = null)
最后面是一句调用函数。
func0(array(), 0)
然后进行单步调试,跟踪一会就回发现,这特么不是一个虚拟机的形式吗!以下为了方便描述,我就使用 x86 指令集的某些描述方式了(只研究过一些 x86 指令集)。
初步分析结果
经过一段时间的调试,我们大概弄明白了最后一个函数类似于 call
指令,其他的每个函数的 7 个参数分别为:数据内存、指令指针、栈、栈指针、基址指针、报错等级栈、报错等级栈指针。
将变量名替换成有意义的名称之后的代码如下
function func1($memory, $eip, $stack, $esp, $ebp, $error_level_stack, $error_level_stack_pointer) {
// 这里都没有 return 都是通过引用参数返回的}function func_call(array $args, $eip, $ret = null){
static $memory;
if (strlen($memory) == 0) {
$memory = '......';
}
$stack = array();
$error_level_stack = array(); // 用于保存 error_reporting level $esp = $error_level_stack_pointer = 0;
$stack[++$esp] = $ret;
foreach ($args as $item) {
$stack[++$esp] = $item;
}
$stack[++$esp] = count($args);
$stack[++$esp] = -1;
$stack[++$esp] = 0;
$ebp = $esp;
while ($eip >= 0) {
$func = 'func' . ($memory[$eip] ^ $memory[$eip + 1]) . ($memory[$eip] ^ $memory[$eip + 4]) . ($memory[$eip] ^ $memory[$eip + 5]);
$eip += ord($memory[$eip] ^ $memory[$eip + 3]);
$func($memory, $eip, $stack, $esp, $ebp, $error_level_stack, $error_level_stack_pointer);
}
if ($eip == -1) {
return $stack[$esp];
}
}
func_call(array(), 0);
修复局部变量名
经过观察发现,这个加密算法的函数中只有局部变量,所以我们可以轻松地进行变量名替换,而不会影响函数执行结果。
我这里依旧使用 PHP-Parser
先进行语法分析,然后再替换变量名,最后格式化输出。
在解析代码与格式化输出之间添加如下代码
use PhpParserNode;use PhpParserNodeTraverser;use PhpParserNodeVisitorAbstract;// 变量名替换class VariableRenameNodeVisitor extends NodeVisitorAbstract{
protected $paramsMap = [];
public function __construct(&$params_map) {
$this->paramsMap = $params_map;
}
public function generateNewVariableName() {
$values = array_values($this->paramsMap);
$i = 0;
while (in_array('v' . $i, $values)) {
++$i;
}
return 'v' . $i;
}
public function leaveNode(Node $node) {
if ($node instanceof NodeExprVariable) {
if (!isset($this->paramsMap[$node->name])) {
$this->paramsMap[$node->name] = $this->generateNewVariableName();
}
$node->name = $this->paramsMap[$node->name];
}
}
}class FunctionParamsRenameNodeVisitor extends NodeVisitorAbstract{
public function leaveNode(Node $node) {
if ($node instanceof NodeStmtFunction_) {
$params_map = [];
foreach ($node->params as $i => &$param) {
$params_map[$param->name] = 'arg' . $i;
$param->name = $params_map[$param->name];
}
$visitor = new VariableRenameNodeVisitor($params_map);
$traverser = new NodeTraverser;
$traverser->addVisitor($visitor);
$node->stmts = $traverser->traverse($node->stmts);
}
}
}$traverser = new NodeTraverser;$traverser->addVisitor(new FunctionParamsRenameNodeVisitor);$ast = $traverser->traverse($ast);
修复变量名之后之后我们继续调试。
调试的过程中,可以看出这套指令集中,数据与指令是混在一起的,并不是 .text
与 .data
分开的,或者说使用了大量的立即数。
在所有的函数调用、eval
、include
或 require
处下断点,单步调试看看到底是什么逻辑。
然后单步跟踪一会就回发现每个函数的作用,所有的函数都是通过栈来进行数据交换的。
有的函数负责申请栈空间,有的负责清除栈空间,有的函数负责跳转 je
、jnz
之类的,有的负责函数调用,总之前面的 65 个函数可以称之为 mfenc
的指令集。
我们要破解这个文件必须把他的指令集中每一条指令都分析一下,然后对他的 VM 中间函数进行 Hook 操作,提取出关键 Opcode,然后根据 Opcode 对应的操作还原出原始代码,这个过程和 IDA 的还原代码很像,这个过程靠的是脑子和经验,但是最费的还是体力。
我以前没学过虚拟机的原理,破解这个的过程真的学到了很多。
提取原始 Opcode
先把 $memory
变量输出出来,免得原来的文件看起来费劲。
在 $memory
赋值语句之后插入 file_put_contents
$memory = '......';
file_put_contents('1.php.opcode.bin', $memory);
执行一次,之后改成
$memory = file_get_contents('1.php.opcode.bin');
函数重命名
为了消除程序乱码,我想了一个方法,就是把所有的函数名称改成 func1
之类的名字,然后动态地把乱码函数名代{过}{滤}理到我们替换之后的函数。
这样做之后有几个好处,我可以随意地修改程序,而不用担心编码错误。因为有代{过}{滤}理这一层,我可以随意 Hook 其中的步骤。
我又重新修改了我的 format.php
,不过试了一下感觉效果并不是特别好,所以这个暂时就先放弃(不过之后肯定还是要把 Opcode 翻译成汇编语言的)。
function func51(&$memory, &$eip, &$stack, &$esp, &$ebp, &$error_level_stack, &$error_level_stack_pointer){
eval("function " . $stack[$esp] . '(){return func65(func_get_args(),' . (int) ($memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++]) . ');}');
}function func65(array $args, $eip, $ret = null){
static $memory, $func_name_map;
if (strlen($memory) == 0) {
$memory = file_get_contents('1.php.opcode.bin');
$func_name_map = include '2.php.formatted.php.func_name_map.php';
}
$stack = [];
$error_level_stack = [];
$esp = $error_level_stack_pointer = 0;
$stack[++$esp] = $ret;
foreach ($args as $item) {
$stack[++$esp] = $item;
}
$stack[++$esp] = count($args);
$stack[++$esp] = -1;
$stack[++$esp] = 0;
$ebp = $esp;
while ($eip >= 0) {
$func = base64_decode('zb+8') . ($memory[$eip] ^ $memory[$eip + 1]) . ($memory[$eip] ^ $memory[$eip + 2]) . ($memory[$eip] ^ $memory[$eip + 4]) . ($memory[$eip] ^ $memory[$eip + 5]);
$eip += ord($memory[$eip] ^ $memory[$eip + 3]);
if (isset($func_name_map[$func])) {
$func = $func_name_map[$func];
}
$func($memory, $eip, $stack, $esp, $ebp, $error_level_stack, $error_level_stack_pointer);
}
if ($eip == -1) {
return $stack[$esp];
}
exit;
}include '2.php.formatted.php.func_map.php';
继续调试
上面的图中就是我在分析每一个函数的作用,把他们写成汇编语言,顺便分析函数调用的规则,方便我们写 Decompiler
(是反编译器,而不是 Disassembler
反汇编器)
举个例子
00000060 + 006 >>> 00000066 - push (null)00000066 + 006 >>> 00000089 - mov [esp], (string((int(2)[eip])[eip+2] 'GetUrlToDomain', 1400000089 + 006 >>> 00000107 - def [esp], (int(12))[eip] 'GetUrlToDomain', 7667 ; function GetUrlToDomain(){$args=func_get_args();return call($args,7667);}00000107 + 006 >>> 00000113 - sub esp, 1 5
这个汇编语言是我自己随便发明的语法,int(12)
表面后面的 [eip]
的整数值占 12
位数(十进制)。
最前面的数值是十进制,表示指令开始位置 +006
表示指令占 6 字节(这 6
字节包含指令调用的函数名和指令参数相对位置),根据指令循环的代码,+0
是异或加密的秘钥 +1, +2, +4, +5
是指令调用的函数名(以后就称之为指令名吧),+3
是本条指令的操作数位置或下一条指令的位置
在这个程序中,压栈会导致栈指针增大,出栈使用 sub
而不是 add
,同理为局部变量分配空间是 add esp, ...
而不是使用 sub
。
我们应该把上面的代码反编译成什么呢?
function GetUrlToDomain(...$args) {
// 内部的代码的指令从偏移 7667 处开始}
再举个例子
00000848 + 006 >>> 00000854 - add esp, (int(2)) [eip] 4, '16'
这里把 esp
增加了 16
,这意味着我们当前运行的这个代码块中就要有 16
个局部变量。
但是,我们得想办法用代码来实现上述功能。
反编译分析
我们要开始规规矩矩地分析了。
首先我们手工分析一下,然后根据我们手工分析的方法,用代码实现反编译。
片段 1
00000856 + 006 >>> 00000862 - push (null)00000862 + 006 >>> 00000878 - mov [esp], (string((int(1)[eip])[eip+2] 'is_admin', 800000878 + 006 >>> 00000884 - call (0) [esp] 'is_admin'00000884 + 006 >>> 00000890 - not [esp] true00000890 + 006 >>> 00000908 - jtrue [esp], ptr +(int(12))[eip] false, 599700000908 + 006 >>> 00000914 - sub esp, 1 21
第一句是压栈,这个 mfenc
没有 x86
那种直接压入变量的指令,只能先压入一个 null
,然后再向当前栈顶写入内容。
这是接下来的一段,第二句可以反编译成
$stack[$esp] = 'is_admin';
其实,更准确的说法应该是 $s1 = 'is_admin';
,用 s
代表 symbol
就是符号的意思,这个符号肯定要被后文用到。
第三句是
$stack[$esp] = $stack[$esp]();
这时我们就要查找前面对寄存器写入的语句了,反编译成
$stack[$esp] = is_admin();
然后下一句是 not
,而且在同一层栈中操作的,就是反编译成
$stack[$esp] = !is_admin();
jtrue
其实是我为了方便的,应该写成 jnz
才对,反编译应该就是
if (!is_admin()) {
// 正常继续 // 这里如果还有一个 jmp 就是标准的 if-else}// 5997 字节的指令后
最后一句 恢复栈平衡是一定要有的,由于这套指令集没有符号位,所以必须依赖栈作为判断依据,判断后无论是否跳转,肯定都要移动一下栈指针,把刚才判断的那个数值移到栈外。
片段 2
00000914 + 006 >>> 00000920 - push (null)00000920 + 006 >>> 00000927 - link [esp], [ebp+(int(1))[eip]] 21, 5, NULL ; ebp=4 [eip]=100000927 + 006 >>> 00000933 - push (null)00000933 + 006 >>> 00000946 - mov [esp], (string((int(1)[eip])[eip+2] 'Grace', 500000946 + 006 >>> 00000952 - mov [esp-1], [esp] 'Grace'00000952 + 006 >>> 00000958 - sub esp, 1 2200000958 + 006 >>> 00000964 - unlink [esp], [esp] 'Grace'00000964 + 006 >>> 00000970 - sub esp, 1 21
这里的 link
指令表示令 esp 执向 ebp+(int(1))[eip] 的引用,这里看 [eip]
的值,[eip]=1
那么后面那一整个操作数就相当于第 2
个局部变量 $v0
。所以这段代码可以反编译成
$stack[$esp] =& $v0;
或者说
$v0 =& $stack[$esp];
然后这里就是提取一个字符串到栈中
$stack[$esp] = 'Grace';
然后这里有一个,赋值语句,要注意这里面包含被引用的变量,所以意思不一样。
$v0 = 'Grace';
上面代码有一个典型的结构,就是 push + link + push + 读取内容 + mov + sub + unlink + sub
,这一套结构的用途就是给一个局部变量赋值。
片段 3
00000970 + 006 >>> 00000976 - push (null)00000976 + 006 >>> 00000983 - link [esp], [ebp+(int(1))[eip]] 21, 6, NULL ; ebp=4 [eip]=200000983 + 006 >>> 00000989 - push (null)00000989 + 006 >>> 00001023 - mov [esp], (string((int(2)[eip])[eip+2] 'http://yun.api.suxing.me/', 2500001023 + 006 >>> 00001029 - mov [esp-1], [esp] 'http://yun.api.suxing.me/'00001029 + 006 >>> 00001035 - sub esp, 1 2200001035 + 006 >>> 00001041 - unlink [esp], [esp] 'http://yun.api.suxing.me/'00001041 + 006 >>> 00001047 - sub esp, 1 2100001047 + 006 >>> 00001053 - push (null)00001053 + 006 >>> 00001060 - link [esp], [ebp+(int(1))[eip]] 21, 7, NULL ; ebp=4 [eip]=300001060 + 006 >>> 00001066 - push (null)00001066 + 006 >>> 00001096 - mov [esp], (string((int(2)[eip])[eip+2] 'http://www.suxing.me/', 2100001096 + 006 >>> 00001102 - mov [esp-1], [esp] 'http://www.suxing.me/'00001102 + 006 >>> 00001108 - sub esp, 1 2200001108 + 006 >>> 00001114 - unlink [esp], [esp] 'http://www.suxing.me/'00001114 + 006 >>> 00001120 - sub esp, 1 21
熟练了吗?
$v1 = 'http://yun.api.suxing.me/';$v2 = 'http://www.suxing.me/';
片段 4
00001120 + 006 >>> 00001126 - push (null)00001126 + 006 >>> 00001150 - mov [esp], (string((int(2)[eip])[eip+2] 'function_exists', 1500001150 + 006 >>> 00001156 - push (null)00001156 + 006 >>> 00001173 - mov [esp], (string((int(1)[eip])[eip+2] 'curl_init', 900001173 + 006 >>> 00001179 - call (1) [esp-1], [esp] 'function_exists', 'curl_init'00001179 + 006 >>> 00001185 - sub esp, 1 2200001185 + 006 >>> 00001191 - not [esp] true00001191 + 006 >>> 00001197 - not [esp] false00001197 + 006 >>> 00001215 - jtrue [esp], ptr +(int(12))[eip] true, 12600001341 + 006 >>> 00001347 - sub esp, 1 21
if (function_exists('curl_init') != false) {
// 正常执行}// 126 字节后
注意,这里有个很奇怪的东西,就是连续两次 not
指令,我分析的原因是 if (... != false)
的编译结果,我们可以认为是花指令,把它直接简化为 if (...)
call
指令是用栈中最深的做函数名,函数名上方的都做参数,返回值直接把函数名覆盖掉。call
后面要把栈多余的参数都移除。
jtrue
之后一定会有一个出栈的操作。
现在我们已经发现了函数调用和 if
语句的结构了,可以想想怎么反编译了。
自动化反编译
如果遇到 jtrue
则要新建一个 if
指令,if 指令有 3 部分 cond
、stmts
、else
,其中 cond
由前面的指令提供,stmts
由跳转后的指令决定,else
内容由紧随其后的指令决定。
因为 stmts
是在 if
之后解析的,所以我们知道按照 if
来解析,但是我们再解析 cond
的时候,并不知道这个内容是被 if
使用的,所以也要像运行时一样,使用一个栈来存储未完成的表达式片段。
比如遇到读取 function_exists
时,我们就要进行下列内容(使用 php-parser
)
++$decompile_stack_pointer;$decompile_stack[$decompile_stack_pointer] = new PhpParserNodeScalarString_('function_exists');
同理,
++$decompile_stack_pointer;$decompile_stack[$decompile_stack_pointer] = new PhpParserNodeScalarString_('curl_init');
然后就是 call
指令了,
$decompile_stack[$decompile_stack_pointer - 1] = new PhpParserNodeExprFuncCall(
new PhpParserNodeName($decompile_stack[$decompile_stack_pointer - 1]->value),
[
new PhpParserNodeArg($decompile_stack[$decompile_stack_pointer]),
]
);
--$decompile_stack_pointer;
两次 not
指令
$decompile_stack[$decompile_stack_pointer] = new PhpParserNodeExprBooleanNot($decompile_stack[$decompile_stack_pointer]);$decompile_stack[$decompile_stack_pointer] = new PhpParserNodeExprBooleanNot($decompile_stack[$decompile_stack_pointer]);
if
指令
$decompile_stack[$decompile_stack_pointer] = new PhpParserNodeStmtIf_($decompile_stack[$decompile_stack_pointer]);
由于我们不知道这个 if
指令到底走哪条路,我们就要开始 dfs 搜索了,按照两条路各走一遍,分别添加到 stmts
块和 else
块。
不过,想一想,这里会不会有什么问题?
如果这个跳转不是 if
而是 while
呢?跳转之后执行到某处又会跳转回来呢?
就算确定了就是是 if
,我们又怎么知道 stmts
块和 else
块会合的位置呢?
想想 IDA Pro,我们是不是又代码片段的说法,我们通过 jmp
和 jtrue
语句把代码分成片段,jtrue
一定是 stmts
段的开始,jmp
是 stmts
段的结束。jtrue
的目标地址是 else
段的开始,jmp
的目标地址是 else
段的结束。
因为 php 中没有 goto 语句,所以我们可以大胆地使用上面的猜想。
比如下面这个标准的 if 嵌套
if ($cond1) {
if ($cond2) {
// stmt1 } else {
// stmt2 }
} else {
if ($cond3) {
// stmt3 } else {
// stmt4 }
}
jtrue $cond1 label1
jtrue $cond3 label2
// stmt4 jmp label3
label2:
// stmt3 label3:
label1:
jtrue $cond2 label4
// stmt2 jmp label5
label4:
// stmt1 label5:
如果不存在花指令的话,按上述分析应该很容易解析得到 if 语句
部分成果
功能代码已略去,仅保留验证部分
<?phpif (!is_admin()) {
} else {
$v0 = 'Grace';
$v1 = 'http://yun.api.suxing.me/';
$v2 = 'http://www.suxing.me/';
if (!!function_exists('curl_init')) {
} else {
wp_die('主机不支持curl,请联系主机服务商。');
}
if (!defined('WP_HOME')) {
} else {
if (!is_ssl()) {
$v3 = str_replace('http://', '', defined('WP_HOME') ? constant('WP_HOME') : 'WP_HOME');
} else {
$v3 = str_replace('https://', '', defined('WP_HOME') ? constant('WP_HOME') : 'WP_HOME');
}
}
if (!is_ssl()) {
$v3 = str_replace('http://', '', home_url());
} else {
$v3 = str_replace('https://', '', home_url());
}
$v4 = explode('/', $v3);
$v5 = $v4[0];
$v6 = GetUrlToDomain($v5, $v1);
if (!isset($_GET['do'])) {
} else {
if (!!!($_GET['do'] == 'activeapi')) {
} else {
$v7 = '{"copyright":"200"}';
$v8 = json_decode($v7, (bool) 1);
update_option('_nice_' . $v0 . '_' . $v6, $v8);
}
if (!isset($_GET['do'])) {
} else {
if (!!!($_GET['do'] == 'delelteapi')) {
} else {
update_option('_nice_' . $v0 . '_' . $v6, '');
}
$v9 = get_option('_nice_' . $v0 . '_' . $v6);
if (!$v9) {
$v10 = 400;
} else {
$v10 = (int) $v9['copyright'];
}
if ($v10 == 400) {
} else {
if (!$v9) {
} else {
if (!(bool) (!!!($v10 == 200))) {
} else {
$v11 = mee_curl_get_contents($v1 . '?domain=' . $v6 . '&theme=' . $v0);
$v12 = json_decode($v11, (bool) 1);
update_option('_nice_' . $v0 . '_' . $v6, $v12);
$v13 = (int) $v12['copyright'];
$v13;
if ($v13 == 200) {
}
}
}
wp_die('您未获得' . $v0 . '主题的授权,请联系苏醒:<a href="https://www.suxing.me/i?a=qq">获取授权</a>', '授权提示');
}
}
$v14 = get_option('_order_' . $v0 . '_' . $v6);
if (!$v14) {
$v15 = 400;
} else {
$v15 = (int) $v14['status'];
}
if ($v15 == 400) {
} else {
if (!$v14) {
} else {
if (!(bool) (!!!($v15 == 200))) {
} else {
$v11 = mee_curl_get_contents($v2 . '?domain=' . $v6 . '&theme=' . $v0);
$v12 = json_decode($v11, (bool) 1);
update_option('_order_' . $v0 . '_' . $v6, $v12);
$v13 = (int) $v12['status'];
$v13;
if ($v13 == 200) {
}
}
wp_die('您未获得' . $v0 . '主题的服务授权,请联系苏醒:<a href="https://www.suxing.me/i?a=qq">续费服务</a>', '服务到期提示');
}
}
}
}
可以看到许多“编译”的产物,比如连续三个“逻辑非”,比如说只有 else
没有 stmts
块。
破解这个东西之后,我真的觉得 IDA 实在太牛逼了,想做到反编译必须得已知大量的编译前后的对应方法。
总结
说实话,真的挺恶心,我需要把他的虚拟机的每一个 opcode 都看一遍,然后翻译成 php-parser
的 AST 构造代码。
这个虚拟机有 65 个 opcode,我看了两天时间,相当于把基本的自动反编译器的原理弄懂些了,写了一个基本的反编译器。
我真的没学过编译原理什么的,感觉研究完这个东西收获挺大的,有兴趣的同学也可以尝试一下反编译,还是有很多独特的技巧的,比如 dfs 搜索代码,或者如何找到代码会合的路径。
完全可以使用这个网站来加密 php,加密效果应该说是不错的,我给 90 分。不过这个加密的性能损失应该不小,凭感觉能在500%以上的性能损失,而且看样子好像没有关于 class
的 opcode,只能针对面向过程的 php 文件。
附录
反编译器还没完全写完,目前只能手动一段一段地输出代码,还不能直接全文反编译。
这里有另一个样本可以供大家研究
上个帖子的 92# 层
看样子同样是虚拟机加密方式
最后再说一句,你不应该把这个当成练习破解,而应该将其看做学习反编译原理。
–官方论坛
www.52pojie.cn
–推荐给朋友
公众微信号:吾爱破解论坛
或搜微信号:pojie_52