ワードプレスに感染したマルウェアファイルを復元(デコード)する方法を解説いたします。
難読化処理されたマルウェアファイル
ワードプレスに感染するマルウェアのプログラムファイルは図のように一見して何の処理をしているのかわからないようになっていることが多いです。
この処理を難読化といい、プログラムの文字列を加工したり、順番を入れ替えたりすることによって動作は変えずに人間にだけ読みにくくする処理のことです。
難読化処理は、様々なソフトウェアを使用して行われます(難読化処理プログラムやスクリプトはGitHubなどで無料で配布されていることが多いです)。
ハッカーはファイルを難読化することによってマルウェアの検出を避けたり、どのサイトやメールアドレスに接続(やデータの送信)しているかが露見しないようにしています。
難読化されたPHPやJAVASCRIPTファイルを元の読みやすいコードに復元する
完全なプログラムの再現はできないこともありますが、このようなファイルの難読化を解除するウェブサービスがございます。
手作業で複合化することも場合によっては可能です。
例えば
eval (base64_decode('文字列
のようなマルウェアのコードはeval という実行関数を echoという出力関数に変えると、何を実行しようとしたかが分かります。
echo (base64_decode('文字列
ご参考になりましたら幸いです。
