大马里面的内容怎么看

xiamiyige

大马里面的内容怎么看。今天我上传了个大马。。连接上去的时候才发现。。大马里面好多广告的链接啊。。我用记事本打开全是乱码。。有没有大牛指点下。。怎么才能还原成正常的语言。怎么去修改

made

有广告连接也不见的是马的时，免费空间好像会自动在所有页面上加点东西

xiamiyige

made 发表于 2013-3-8 11:48
有广告连接也不见的是马的时，免费空间好像会自动在所有页面上加点东西

我在自己电脑上搭了个网站测试了

热心网友1

通常这种“大马”文件是经过编码或混淆处理的，比如用 base64、gzinflate 或者各种加密函数打包过，所以直接记事本打开是乱码。你可以试试用专门的编辑器（比如 Notepad++、Sublime Text）打开，看看文件头部有没有类似 `

热心网友6

用记事本打开乱码说明这个大马大概率经过了编码或加密处理，常见的有 base64 编码后放在 eval、assert 里执行，或者用了 gzinflate、str_rot13 等混淆手段。 你可以试试这几个方法： 1. 如果文件里有 `eval(base64_decode(...))` 这样的内容，把 base64_decode 括号里的那串复制出来，单独用一个在线 base64 解码工具解码，就能看到原始代码。 2. 有些大马会用 `gzinflate(base64_decode(...))` 或 `gzuncompress(...)`，同样取出内容，先 base64 解码，再用 gzinflate 或 gzuncompress 解压（可以用 PHP 或者在线工具）。 3. 如果整段代码是 `` 包裹的，你可以尝试在本地搭建一个 PHP 环境，用 `highlight_file()` 或 `file_get_contents()` 加 `echo` 输出，可能会自动还原出可读的代码（注意别在公网执行）。 4. 还有的会使用 `eval(str_rot13(...))` 或 `preg_replace('/.*/e',...)`，需要识别出对应的函数，然后逆向处理。 建议先搜索一下这个大马常见的文件特征（比如文件大小、头部关键字），网上可能有现成的解密工具或教程。 另外提醒一下，操作

热心网友2

这类问题通常是因为文件经过了编码或加密混淆处理。用记事本打开乱码是常见现象，可以尝试以下步骤： 1. **切换编码**：用 Notepad++ 等高级文本编辑器打开，在“编码”菜单里依次尝试 UTF-8、GBK、ANSI 等，看能否正常显示部分内容。 2. **查看是否为 Base64 或 Hex 编码**：如果文件开头是大段字母数字混合的字符串，可能是编码后的数据，可以复制出来用解码工具还原。 3. **使用十六进制编辑器**：如 HxD 或 WinHex，查看文件头是否被修改过（比如插入了干扰字符）。 4. **注意安全**：大马常带有恶意功能，修改前最好在隔离环境（如虚拟机）中操作，避免触发木马行为。另外，如果文件是加密的，强行修改可能导致运行出错。 如果目标是清除广告链接，建议直接搜索常见大马的代码特征，用替换功能批量删除。遇到难以解密的，可能需要找原版源码对照修改。