Online PHP Obfuscator

Update:

L’excellent projet php-malware-finder de Nbs-system a sans aucun problème mis à mal les 4 versions de mon projet, toutes basées sur les fonctions eval et preg_replace. J’ai donc libéré les 3 versions qui n’étaient pas disponibles et j’en ai rajouté une qui permet de d’éviter leurs détections ObfuscatedPhp et DodgyPhp. Cette nouvelle version est uniquement vue par SuspiciousEncoding, une solution est déjà prête pour ce dernier point, mais je ne vais pas fournir librement une meilleure offuscation (et faire monter le niveau) sans que nbs-system ai résolu ce nouveau challenge ;)

End Update

Après avoir disséquer une forme courante d’offuscation de malware php (PHP:Decode-DE [Trj]) voila un générateur fait à la main qui contourne cette détection. Mes tests avec le webshell c99.php, dans sa forme habituelle, envoyé sur VirusTotal arrivent à une detection de 0/53.

Nul doute que si cet outil est utilisé, le score montera assez rapidement mais c’est le jeu. Pour palier à ce futur problème j’ai déjà mis au point 3 autres versions qui corrigeront ce souci dont 2 versions polymorphes afin d’éviter d’avoir une signature statique, en réduisant la surface de détection et les dépendances utilisées.

Bien sur ce POC n’est donné que dans un but purement éducatif, je ne pourrais être tenu comme responsable de l’utilisation que vous en faites.

Choose obfuscation type






Post your data to get obfuscate php

3 réponses à Online PHP Obfuscator

  1. Alone dit :

    Deprecated: preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead in

  2. Gleeze dit :

    Can we get the source please?

  3. Zephilou dit :

    Hi Gleeze,

    Thank you for your interest but at this time the source code is closed.
    I’m have to challenge my code to the last enhancement of the php-malware-finder.
    The tool will be publish on my github when all the issues on php7 will be corrected.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *