天宇小偷程序破解过程之普通程序员大战2B程序

前言：童鞋都知道小偷程序太可恶了，为维护世界和平，打击小偷程序本人以己之微力耗时20分钟完成破解一直在疯狂捞钱的"天宇"(程序名称)。

小偷程序的坏处不是本人探讨指出，如需了解请自行Google手气不错。

     天宇小偷程序最初是百度知道小偷，发展成，百度知道，新浪爱问，39健康，XX漫画等等一系列小偷程序。从最初的威盾加密(已破解,不探讨)，到自写加密规则，再到Zend+自写，本人一路见证了天宇小偷的发展。

现在天宇百度知道小偷程序从最初的v1.0发展到现在的v8.0可见其中的利益驱动之大。

(相信没有一个2B程序员一直开发着没钱赚得程序，至于你信不信反正我信了)

     话说回来，小偷毕竟是小偷不是自己的内容，想投机取巧，图自身便利，疯狂的抓取数据(相同内容)。对内容，对站长，对服务器，对搜索引擎都不是一件好事。可恶至极...

只为伸张正义，请勿作为非法用户。(百度也我爱你)

本次破程序版本：天宇百度知道小偷程序V8.1版本 (其他小偷，其他版本类似)

下载了V8.1版本后普通运行正常，但是含有广告信息，无法去除(代码已加密)如下图：

 

得知是使用 Zend加密，(手动太麻烦，为了懒省事) 以迅雷的速度调出Zend破解程序zendok

破解完毕得到源码如下图：

 

其实这时候已经可以看到一部分源代码，但是还是没有破解完整，这里就是这家伙自己写的加密算法规则(高估了)。这时候慢慢来不过也就是一些 PHP的 base64_decode 和 urldecode函数的使用(2B的事情在下面)。

1、开头 eval输出语句为base64_decode 单独拿出来输出得到一个$IIil1IIl类似误导人的变量=base64_decode

2、第二行 变量 $OOO000000  解密urldecode 为：ah6sbehqla4co_sad

3、下面3行的目的是从上述字符串中取出字符组成串 base64_decode 赋给变量$OOO0000O0 又把变量$OOO0000O0去掉$符号赋给$O0O0000O0 （注意分别!）

4、下面看到一个qq86226656 很是费解。。。其实就是个方法，这个方法在/inc/function.php 内，功能是使用Curl或File_get_contents等获取指定地址的内容。(PS：2B)

5、下面的一些代码都可以使用base64_decode或 urldecode 函数反编译出来。

这里说下注意的：

大家看到下面有不少 $$OOO0000O0( "SUlJSUlJSUlsbGwx" ) 这样的字符。。

双$$符号 $$OOO0000O0 代表上面破解得到的 base64_decode 然后使用base64_decode来反编译字符串“SUlJSUlJSUlsbGwx” 得到preg_match_all 就是使用preg_match_all正则匹配。。

 

其他的大家一步步使用上面2个函数进行反编译就行了。碰到$OOO0000O0 就理解为base64_decode

碰到含有诸多 % 号的乱码，把前面的误导变量理解成urldecode 一点点反编译就可以全部搞定。

其他几个加密文件依次破解。。。。。(我已经语无伦次了。。。大家自己整理着看吧。。。)

附加一句：这界面做的也叫 风格模板？？？？

（PS：2B程序员写的所谓的加密程序，2B的迷糊变量，Ctrl+H批量替换。对了这Y还使用的Dedecms 的一些分词技术(不留版权)，甚是可恶！）

 

 

使用下面代码进行反编译时，需要注意反编译完成要查看浏览器源代码否则可能丢失代码！！！！！

例如代码：|<title>  浏览器显示只能看到 | ，字符<title>作为html代码解析不是显示。

<?php

echo urldecode("..........")."<br />";

echo base64_decode(".........");

?>

 

附上Zend破工具zendok

下载地址：http://hs2.php100.com/08/zendok.rar

注：被加密文件在 /rules/ 内所有php文件。

需要全部已破解文件的请留下Email稍后发送，仅供研究2B加密使用请在下载后24小时内删除。。。。（我笑了。。）