Pendahuluan

Pada tutorial kali ini, saya akan membahas cara singkat untuk men-deofuscate script tuyulgaple yang sering ditanyakan.

Langkah-langkah

Sebenarnya, proteksi yang digunakan oleh script-script yang diobfuscate oleh tuyulgaple hanya memanfaatkan fungsi eval dan beberapa fungsi lainnya. Dan cara yang paling mudah untuk men-deobfuscate-nya adalah dengan menggunakan evalhook. Install terlebih dahulu evalhook, jika belum ada pada sistem Anda. Setelah itu, Anda cukup menjalankan php dengan modul evalhook pada script yang diproteksi oleh tuyulgaple, misalnya script ini. Simpan script tersebut dengan nama tes.php. Lalu jalankan php dengan modul evalhook dengan perintah seperti ini:

php -d extension=evalhook.so tes.php

Maka akan muncul informasi seperti ini:

[i] Script tries to evaluate the following string.
----
EvAl(StR_rOt13(gZInFlAtE(sTr_rOt13(GzinFLAte(Base64_DECOde($v�k��CS����l�将朜�D�F��������b���������kk��SF�l))))));
----
[?] Do you want to allow execution? [y/N]

Tekan tombol y pada keyboard untuk melanjutkan eksekusi scriptnya. Setelah itu akan muncul script aslinya. Nah, karena versi evalhook yang saya gunakan sudah saya modifikasi, jadi outputnya bisa saya simpan ke file. Berikut ini adalah lanjutan output setelah menekan tombol y dan enter pada keyboard:

[?] Do you want to allow execution? [y/N] n
[?] Write output to file? [y/N] y
[i] Output written to "evalhook_output.php"
PHP Fatal error:  evalhook: script abort due to disallowed eval() in tes.php(1) : eval()'d code on line 1

Outputnya akan tersimpan pada file evalhook_output.php, dan berikut ini adalah sebagian isi dari file tersebut (yang telah saya rapikan sedikit):

<?php
date_default_timezone_set('Asia/Jakarta');
system("clear");

$t = "\n";
$r = "\t";

// warna
$br  = "\033[34m";
$tr  = "\033[36m";
$ijo = "\033[92m";
$pth = "\033[37m";
$pnk = "\033[35m";
$red = "\033[31m";
$kn  = "\033[33m";
$blk = "\033[8m";
$nt  = "\033[0m";

$coki = "cookie";

# projek new

function gets ($url,$head)
{
    $curl = curl_init();
    curl_setopt_array($curl, array(
        CURLOPT_RETURNTRANSFER => true,
        CURLOPT_URL => $url,
        CURLOPT_TIMEOUT => 300,
        CURLOPT_HEADER => false,
        CURLOPT_HTTPHEADER => $head,
        CURLOPT_PROXY => $proxy,
        CURLOPT_PROXYUSERPWD => $proxyauth,
        CURLOPT_SSL_VERIFYPEER => true,
        CURLOPT_COOKIEJAR => $coki,
        CURLOPT_COOKIEFILE => $coki,
        CURLOPT_VERBOSE=>false
    ));
    $result = curl_exec($curl);
    $code   = curl_getinfo($curl,CURLINFO_HTTP_CODE);
    $info   = curl_getinfo($curl);
    curl_close($curl);
    if ($code == 302) {
        return $info["redirect_url"];
    }
    else
    {
        return $result;
    }
}
//...

Penutup

Sekian tutorial yang sangat singkat kali ini. Semoga bermanfaat. Terima kasih kepada Tuhan Yang Maha Esa, dan Anda yang telah membaca tutorial ini.

Klo blh tau Modif Evalhook nya gmna gan? Bknya File evalhook.so nya bntk Binary ya? apa bsa di bka? klo memng bsa di buka ,gmna cara nya gan?

Ga perlu dibuka, soalnya itu kan ada sourcenya di github. Ada di tulis di atas itu linknya. Ini saya buatkan tutorial cara menambahkan fitur menyimpan ke file.

Kirain yg di modif evalhook.so nya, Makasih gan

sepertinya gak perlu dibuka deh

klo gak di buka ya gak di buka ya gak bisa di edit donkkk