Попробуйте использовать evalhook.so.Вам нужно:
- PHP> = 5.2
- php5-devel
- PHP Zend Optimizer
загрузить исходный код с http://php -security.org / downloads / evalhook-0.1.tar.gz
, затем распакуйте и установите его
tar xvfz evalhook-0.1.tar.gz
cd evalhook
phpize
./configure
make
sudo make install
, и вы сможете использовать его с консоли.
php -d extension=evalhook.so encoded_script.php
где encoded_script.php - ваш закодированный скрипт.каждый раз, когда он спрашивает вас
Do you want to allow execution? [y/N]
введите Y, если в вашем коде после выполнения есть какой-то "base64_decode".Затем, когда вы получите что-то подобное
$GLOBALS['_889997777_'] = Array(
...
$GLOBALS['_224568216_'][21]('Xr' . 'x8f7g=')
);
Просто запустите после этого var_export($GLOBALS['_889997777_']);die;
и вы получите имя всех функций, после чего вы сможете заменить его.Вот ссылка, которая может автоматизировать это http://pastebin.com/kBj4iqWh