使用Ghidra分析phpStudy後門

2022-09-15 12:54:09 字數 1196 閱讀 2385

主要工具:

kali linux

ghidra 9.0.4

010editor 9.0.2

樣本環境:

windows7

phpstudy 20180211

先在 windows 7 虛擬機器中安裝 phpstudy 20180211,然後把安裝完後的目錄拷貝到 kali linux 中。

根據網上公開的資訊:後門存在於 php_xmlrpc.dll 檔案中,裡面存在「eval」關鍵字,檔案 md5 為 c339482fd2b233fb0a555b629c0ea5d5。

因此,先去找到有後門的檔案:

lu4nx@lx-kali:/tmp/phpstudy$ find ./ -name php_xmlrpc.dll -exec md5sum{} \;

3d2c61ed73e9bb300b52a0555135f2f7 ./phptutorial/php/php-7.2.1-nts/ext/php_xmlrpc.dll

7c24d796e0ae34e665adcc6a1643e132 ./phptutorial/php/php-7.1.13-nts/ext/php_xmlrpc.dll

3ff4ac19000e141fef07b0af5c36a5a3 ./phptutorial/php/php-5.4.45-nts/ext/php_xmlrpc.dll

c339482fd2b233fb0a555b629c0ea5d5 ./phptutorial/php/php-5.4.45/ext/php_xmlrpc.dll

5db2d02c6847f4b7e8b4c93b16bc8841 ./phptutorial/php/php-7.0.12-nts/ext/php_xmlrpc.dll

42701103137121d2a2afa7349c233437 ./phptutorial/php/php-5.3.29-nts/ext/php_xmlrpc.dll

0f7ad38e7a9857523dfbce4bce43a9e9 ./phptutorial/php/php-5.2.17/ext/php_xmlrpc.dll

149c62e8c2a1732f9f078a7d17baed00 ./phptutorial/php/php-5.5.

使用分析單

分析函式計算基於行組的值,並可以用來實現rownum偽列表述的結果 sql selectename sal,row number over order bysaldesc assal orderfromemp select ename sal,row number over order by sal...

操作使用分析

表示式的值為多少?15 嗎?16 嗎?18 嗎?對於這種情況,語言標準並沒有作出規定。有的編譯器計算出來為18,因為i 經過3 次自加後變為6,然後3 個6 相加得18 而有的編譯器計算出來為16 比如visual c 6.0,gcc,g 先計算前兩個i 的和,這時候i自加兩次,2 個i 的和為10...

Scroller使用分析

我們在需求實現時,經常遇到view滑動的情況,而scrollto scrollby方法都可以實現view的滑動,但是效果是瞬間完成的,使用者體驗並不好,我們可以使用scroller或者smoothscrollto 內部也是scroller實現的 來實現平滑移動的效果。常見於自定義view中。mscr...