PHP源代码保护与解密还原技术详解

一、PHP代码执行原理基础

PHP是一种解释型脚本语言，其执行流程与编译型语言不同：

PHP源代码不是直接翻译成机器语言
首先翻译成中间代码(OPCODE)
由ZEND引擎对中间代码进行解释运行

二、PHP源代码保护方案分类

1. 按原理分类

源代码混淆(编码)：对源代码进行各种变换处理
OPCODE混淆(编码)：对生成的中间代码进行操作
修改解释引擎(虚拟机)：定制化ZEND引擎

2. 按部署方式分类

无扩展方案：纯PHP代码实现
有扩展方案：需要加载PHP扩展模块

三、无扩展加密方案分析

1. 源代码混淆技术

特点：

侵入性小，无需服务器额外配置
兼容性强
通常可完全还原源代码，甚至保留注释

常见实现方法：

压缩代码
混淆变量、函数、类名
使用简单函数进行编码加密（如base64、异或等）

手工解密方法：

使用IDE格式化代码（如PhpStorm的Ctrl+Alt+L）
注意PHP特性：base64遇到非表中字符会忽略
查找最后执行的eval函数并打印其内容
注意call_user_func等间接调用eval的情况

自动化解密：

编写PHP扩展hook以下函数：
- zend_compile_string
- zend_include_or_eval

2. 示例扩展代码

#include "php.h"
#include "ext/standard/info.h"

static zend_op_array *(*old_compile_string)(zval *source_string, char *filename TSRMLS_DC);

static zend_op_array *evalhook_compile_string(zval *source_string, char *filename TSRMLS_DC) {
    if(strstr(filename, "eval()'d code")) {
        printf("\n------eval-------\n%s\n------eval-------\n", Z_STRVAL_P(source_string));
    }
    return old_compile_string(source_string, filename TSRMLS_CC);
}

// 其他必要扩展函数...

四、扩展加密方案分析

1. 源代码混淆扩展

特点：

将解密过程转移到PHP扩展中
使用AES、DES、异或等加密方法
解密后通常可完全还原源代码

典型开源项目：

php-beast
tonyenc
screw-plus

2. 手工解密方法（以beast为例）

在PHP扩展目录找到beast.so
使用IDA分析扩展：
- 查找zend_compile_file函数
- 跟踪文件处理逻辑到decrypt_file函数

分析加密文件结构：

| 文件头标记 | 文件长度(4字节) | 到期时间(4字节) | 加密方式(4字节) | 加密后文件 |

确定加密算法（如AES 128 ECB）
提取16位加密密钥

3. 自动化解密方法

编写PHP扩展HOOK zend_compile_file函数
注意扩展加载顺序问题
可直接修改PHP源码Zend/zend_language_scanner.c

五、OPCODE保护方案

特点：

直接操作PHP生成的中间操作码
跳过源代码翻译过程
只能通过反编译还原近似源代码
不同PHP版本可能存在兼容性问题

典型商业方案：

ZendGuard (zend)
SourceGuardian (SG)
IonCube (IC)
Swoole Compiler

解密方法：

HOOK zend_execute获取opcode
使用对应版本PHP的反编译器
从opcode反推PHP代码

六、扩展编译方法

docker run -it --rm -v /path/to/extension/:/ext/ php:5.6 /bin/bash
apt-get update
apt install libtool
phpize
./configure --enable-extensionname
make

使用扩展：

php -d extension=扩展位置 -f 文件

七、保护方案选择建议

优先选择opcode或虚拟机方案
源代码混淆类方案只能增加阅读困难
当加密扩展可被获取时，源代码混淆方案保护有限

八、附录：PHP代码审计要点

关注eval、assert等动态执行函数
检查反序列化操作
验证文件包含路径
审计数据库操作中的SQL注入风险
检查用户输入过滤情况

通过深入理解PHP代码保护和解密技术，可以更好地评估不同保护方案的强度，并在必要时进行有效的代码还原和分析。

PHP源代码保护与解密还原技术详解一、PHP代码执行原理基础 PHP是一种解释型脚本语言，其执行流程与编译型语言不同： PHP源代码不是直接翻译成机器语言首先翻译成中间代码(OPCODE) 由ZEND引擎对中间代码进行解释运行二、PHP源代码保护方案分类 1. 按原理分类源代码混淆(编码) ：对源代码进行各种变换处理 OPCODE混淆(编码) ：对生成的中间代码进行操作修改解释引擎(虚拟机) ：定制化ZEND引擎 2. 按部署方式分类无扩展方案：纯PHP代码实现有扩展方案：需要加载PHP扩展模块三、无扩展加密方案分析 1. 源代码混淆技术特点：侵入性小，无需服务器额外配置兼容性强通常可完全还原源代码，甚至保留注释常见实现方法：压缩代码混淆变量、函数、类名使用简单函数进行编码加密（如base64、异或等）手工解密方法：使用IDE格式化代码（如PhpStorm的Ctrl+Alt+L）注意PHP特性：base64遇到非表中字符会忽略查找最后执行的eval函数并打印其内容注意call_ user_ func等间接调用eval的情况自动化解密：编写PHP扩展hook以下函数： zend_compile_string zend_include_or_eval 2. 示例扩展代码四、扩展加密方案分析 1. 源代码混淆扩展特点：将解密过程转移到PHP扩展中使用AES、DES、异或等加密方法解密后通常可完全还原源代码典型开源项目： php-beast tonyenc screw-plus 2. 手工解密方法（以beast为例）在PHP扩展目录找到beast.so 使用IDA分析扩展：查找 zend_compile_file 函数跟踪文件处理逻辑到 decrypt_file 函数分析加密文件结构：确定加密算法（如AES 128 ECB）提取16位加密密钥 3. 自动化解密方法编写PHP扩展HOOK zend_compile_file 函数注意扩展加载顺序问题可直接修改PHP源码 Zend/zend_language_scanner.c 五、OPCODE保护方案特点：直接操作PHP生成的中间操作码跳过源代码翻译过程只能通过反编译还原近似源代码不同PHP版本可能存在兼容性问题典型商业方案： ZendGuard (zend) SourceGuardian (SG) IonCube (IC) Swoole Compiler 解密方法： HOOK zend_execute 获取opcode 使用对应版本PHP的反编译器从opcode反推PHP代码六、扩展编译方法使用扩展：七、保护方案选择建议优先选择opcode或虚拟机方案源代码混淆类方案只能增加阅读困难当加密扩展可被获取时，源代码混淆方案保护有限八、附录：PHP代码审计要点关注eval、assert等动态执行函数检查反序列化操作验证文件包含路径审计数据库操作中的SQL注入风险检查用户输入过滤情况通过深入理解PHP代码保护和解密技术，可以更好地评估不同保护方案的强度，并在必要时进行有效的代码还原和分析。