比如：欧美热歌 中的第一首：后街男孩的Shape Of My Heart就不提供下载，如图：

[attach=24]

但是它还是提供试听的，本想通过试听地址下载下来，不想google对音乐文件地址进行了简单的加密处理。通过分析html页面还不好找到，经过一番分析后，终于发现了，google隐藏地址的原理，在这里就不啰嗦了，有兴趣的自己研究下。为了方便以后下载，用C#写了个小工具，不敢独享，放出来给需要的朋友用下了。

[attach=25]

使用方法：

0.此软件基于.net2.0开发，因此如果是XP的系统，运行的话，需要安装Microsoft .NET Framework 2.0 版可再发行组件包 。Windows7的系统，默认支持.net2.0了。

1.点击打开试听地址，输入到试听地址中，然后点击GET，即可获取到歌曲的信息，如果获取不成功则报错,地址栏变红色，成功，则会输出歌曲信息，地址栏变绿色。

2.点击保存地址的按钮选择保存的路径，如果不选则默认保存在程序允许的目录下面。

3.开始下载，等待下载完成，点击重来，重新下载其他歌曲。

本地下载

主要解决了以下几个问题：

1. 更新搜索引擎跳转引起的误报。其实这个是由于之前的默认的过滤规则中有%的缘故，如果有的网站统计了访问来源的话，就有可能导致搜索引擎过来的访客报sql注入，无法访问，20091206版中删除了对于%和*的过滤。
2. 修改数据库访问路径为绝对路径。原来的是采用虚拟路径访问数据库的，如果有的朋友部署的目录比较奇怪的话，可能会导致找不到sql防注入的数据库，20091206版本不会有这个问题了，可以支持将数据库放之非web目录。
3. 修改原来的安全页面功能为安全表单。原来的安全页面功能是为了防止后台添加数据的时候，存在sql注入过滤关键字字符而设置了，本版本修改了安全页面功能为安全表单，将误报白名单细化到了表单。使用方法：如果发现本系统影响了你的网站正常的添加数据，可以将你认为安全的表单添加至安全表单，可通过管理页面查看影响的参数，然后将其添加至后台管理-》参数设置中的安全表单，并启用安全表单即可。
4. 对后台界面做了优化，实在看不下去以前的后台界面了，太丑了。

代码继续托管至Google，访问地址：http://code.google.com/p/defencesqlinject/

本地下载：/attachments/sql_20091206.rar

如果使用过程中发现问题，请留言或者Email给我。

此为免费程序，可随意使用，不过由于本人已工作，时间有限，恕不提供免费服务，请见谅。

一、主要功能有：

1.无需winrar支持即可加压缩，主要是采用winrar官方发布的unrar.dll来实现的。

2.可修改需要下载病毒库的url，这个主要考虑是官方如果修改url的话，就不用修改主程序了，修改下配置文件就行.注意：不同版本的nod32升级病毒库的url不同。

3.可修改要解压缩的目录，可随意存放磁盘的任意目录了，修改下配置文件就OK。

二、文件说明：

主要有三个文件：

1.主程序：NOD32update.exe

2.unrar.dll库文件：unrar.dll.

3.config.xml文件，url为病毒库路径，path为要存放的本地磁盘目录。

<?xml version="1.0" encoding="gb2312"?> 
<root> 
    <url>http://down1.eset.com.cn/eset/offlinev2.rar</url> 
    <path>D:\\offlinev2\\</path> 
</root> 

三、程序使用方法：

修改下上面的config.xml文件中的path路径与nod32程序本地更新目录一致即可使用，怎么设置见nod32官方。

以下为程序运行界面，下载完成并解压缩后会自动退出，方便定时设定后台自动下载。

[attach=23]

四、下载地址：

http://neeao.com//attachments/nod32downloadupdate.rar

声明：本程序仅供个人学习、测试、体验和研究使用，请勿用于任何商业目的，如果你喜欢ESET(NOD32)请购买正版软件或使用360安全中心提供的免费半年激活码！

官方离线升级包下载地址是：http://www.eset.com.cn/html/download/offline.shtml

用VC写了段代码，自动下载更新包并解压至指定目录，然后指定更新目录为那个目录就好了，建一个计划任务，每天更新一次就实现自动更新了。

以下是简单的代码：

// download.cpp : 定义控制台应用程序的入口点。 
//code By:Neeao 
//http://Neeao.com 
 
#include "stdafx.h" 
#include <windows.h> 
#include <urlmon.h> 
 
 
#pragma comment(lib, "urlmon.lib") 
 
 
int _tmain(int argc, _TCHAR* argv[]) 
{    
 
    HRESULT hr=URLDownloadToFile(NULL,"http://down1.eset.com.cn/eset/offlinev2.rar","d:\\offlinev2.rar",0,NULL); 
     
    SHELLEXECUTEINFO ShExecInfo = {0};  
    ShExecInfo.cbSize = sizeof(SHELLEXECUTEINFO);  
    ShExecInfo.fMask = SEE_MASK_NOCLOSEPROCESS;  
    ShExecInfo.hwnd = NULL;  
    ShExecInfo.lpVerb = NULL;  
    ShExecInfo.lpFile = "C:\\Program Files\\WinRAR\\RAR.exe"; //调用rar 
    ShExecInfo.lpParameters = "e d:\\offlinev2.rar -o+ D:\\offlinev2\\"; //执行的命令 
    ShExecInfo.lpDirectory = NULL;  
    ShExecInfo.nShow = SW_SHOW;  
    ShExecInfo.hInstApp = NULL;  
    ShellExecuteEx(&ShExecInfo);  
    WaitForSingleObject(ShExecInfo.hProcess,INFINITE);//等解压缩完毕继续往下执行 
     
    return 0; 
} 

以下为源码：

<?php 
/********************************************************************** 
*PHP eval gzinflate base64_decode str_rot13加密解密脚本 By:Neeao 
*目前只写了针对四种组合的,其他组合的可参考注释自行修改： 
*1.eval(gzinflate(str_rot13(base64_decode( 
*2.eval(gzinflate(base64_decode( 
*3.gzinflate(base64_decode(base64_decode(str_rot13( 
*4.eval(gzinflate(base64_decode(str_rot13( 
*Http://Neeao.com 
*2009-09-28 
***********************************************************************/ 
 
$filename='code.php';//要解密的文件 
$handle = fopen($filename, "r"); 
$contents = fread($handle, filesize ($filename)); 
$contents_arr=explode('NeeaoNeeao',htmlspecialchars(decode($contents))); 
echo "此代码被加密了".$contents_arr[0]."层,内容如下：<br>\n"; 
echo $contents_arr[1]; 
 
/* 
解密主函数 
$Str，要解密的文件内容 
*/ 
function decode($str,$i=0) 
{ 
     
    $content=""; 
    //eval(gzinflate(str_rot13(base64_decode( 
    //先正则查找是否相关组合加密的，base64编码后的正则是：[A-Za-z0-9\/\+=] 
    if(preg_match("/(eval\(gzinflate\(str_rot13\(base64_decode\(')([A-Za-z0-9\/\+=]*)'/",$str,$x)) 
    {    
        //替换掉没用的字符，获取加密后的密文 
        $content=str_replace("eval(gzinflate(str_rot13(base64_decode('","",$x[0]); 
        $content=str_replace("'","",$content); 
        //变量i是用来判断加密层数的，初始值为0，解密一次，层数加一 
        $i++; 
        //采用相关组合解密 
        $content=gzinflate(str_rot13(base64_decode($content))); 
        //递归判断下是不是已经结束了，没结束继续重复解密 
        $content=decode($content,$i); 
    } 
    //eval(gzinflate(base64_decode( 
    elseif(preg_match("/eval\(gzinflate\(base64_decode\('[A-Za-z0-9\/\+=]*'/",$str,$y)) 
    {    
         
        $content=str_replace("eval(gzinflate(base64_decode('","",$y[0]); 
        $content=str_replace("'","",$content); 
        $i++; 
        $content=gzinflate(base64_decode($content)); 
        $content=decode($content,$i); 
    } 
    //gzinflate(base64_decode(base64_decode(str_rot13( 
    elseif(preg_match("/eval\(gzinflate\(base64_decode\(base64_decode\(str_rot13\('[A-Za-z0-9\/\+=]*'/",$str,$z)) 
    { 
        $content=str_replace("eval(gzinflate(base64_decode(base64_decode(str_rot13('","",$z[0]); 
        $content=str_replace("'","",$content); 
        $i++; 
        $content=gzinflate(base64_decode(base64_decode(str_rot13(($content))))); 
        $content=decode($content,$i); 
    } 
    //eval(gzinflate(base64_decode(str_rot13( 
    elseif(preg_match("/eval\(gzinflate\(base64_decode\(str_rot13\('[A-Za-z0-9\/\+=]*'/",$str,$m)) 
    { 
        $content=str_replace("eval(gzinflate(base64_decode(str_rot13('","",$m[0]); 
        $content=str_replace("'","",$content); 
        $i++; 
        $content=gzinflate(base64_decode(str_rot13(($content)))); 
        $content=decode($content,$i); 
    } 
    else 
    { 
        $content=$i."NeeaoNeeao".$str; 
    } 
    return $content; 
     
} 
?> 

在线版地址：http://neeao.com/tools/decode/index_eval.php

#!/bin/sh 
#************************************************************ 
#WebShell Check Shell for PHP 
#By:Neeao 
#2008/7/17 v1.0 beta  
#************************************************************ 
HOSTIP=`ifconfig eth0 |grep 'inet addr'|awk '{print $2;}'|cut -d: -f2` 
#STR=`expr index $HOSTIP "192.168"` 
#if [ ${STR} -eq 1 ]  
#        then 
#                HOSTIP=`ifconfig eth1 |grep 'inet addr'|awk '{print $2;}'|cut -d: -f2` 
#fi 
echo $HOSTIP 
LogFile=/tmp/$HOSTIP.log 
rm -rf $LogFile 
date +%Y-%m-%d/%H:%M >> $LogFile  
echo -e "\n" >> $LogFile  
echo " ---------------------------------------------------------------------------------------------------" >> $LogFile  
echo "|Executive Order function:exec(\|system(\|passthru(\|shell_exec(\|popen(\|proc_open(\|pcntl_exec(  |" >> $LogFile  
echo " ---------------------------------------------------------------------------------------------------" >> $LogFile  
echo -e "\n" >> $LogFile 
grep -in 'exec(\|system(\|passthru(\|shell_exec(\|popen(\|proc_open(\|pcntl_exec(' -R * | grep -iv '_exec' >> $LogFile 
echo -e "\n" >> $LogFile 
echo " -------------------------------------------------------------------------------------------" >> $LogFile 
echo "|Deformation of the back door coding:eval(\|base64_decode(\|gzinflate(\|gzuncompress(\|chr( |" >> $LogFile 
echo " --------------------------------------------------------------------------------------------" >> $LogFile 
echo -e "\n" >> $LogFile 
grep -in "eval(\|base64_decode(\|gzinflate(\|gzuncompress(\|chr(" -R * >> $LogFile 
echo -e "\n" >> $LogFile 
echo " -----------------------------------------------------------------------------------------------------------------" >> $LogFile   
echo "|File operations function:dl(\|fopen(\|readfile(\|file(\|file_get_contents(\|opendir(\|chdir(\|fwrite(\|unlink(\|glob(|" >> $LogFile   
echo " -----------------------------------------------------------------------------------------------------------------" >> $LogFile   
echo -e "\n" >> $LogFile 
grep -in "dl(\|fopen(\|readfile(\|file(\|file_get_contents(\|opendir(\|chdir(\|fwrite(\|unlink(\|glob(" -R * >> $LogFile 
echo -e "\n" >> $LogFile 
echo "----------------------------------" >> $LogFile 
echo "|Files inculde bug:include|require|" >> $LogFile 
echo "----------------------------------" >> $LogFile 
echo -e "\n" >> $LogFile 
grep -in "include.*\$.\|require.*\$." -R * >> $LogFile 
echo -e "\n" >> $LogFile 
echo "---------------------------------------------------------" >> $LogFile 
echo "|Risk code Keyword:SQLyog\|phpAdsNew\|huansuan\|fckeditor|" >> $LogFile 
echo "--------------------------------------------------------" >> $LogFile 
echo -e "\n" >> $LogFile 
grep -in "SQLyog\|phpAdsNew\|huansuan\|fckeditor" -R * >> $LogFile 
cd /tmp 
tar -zcvf $HOSTIP.tar.gz $HOSTIP.log 

<?php // This file is protected by copyright law & provided under license. Copyright(C) 2005-2009 www.vidun.com, All rights reserved. 
$OOO0O0O00=__FILE__;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=28;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0='OOO0000O0';eval(($$O0O0000O0('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')));return;?> 
kr9NHenNHenNHe1zfukgFMaXdoyjcUImb19oUAxyb18mRtwmwJ4LT09NHr8XTzEXRJwmwJXPkr9NTzEXHenNHtILT08XT08XHr8XhtONTznNTzEXHr8Pkr8XHenNHr8XHtXLT08XHr8XHeEXhUXmOB50cbk5d3a3D2iUUylRTlfNaaOnCAkJW2YrcrcMO2fkDApQToxYdanXAbyTF1c2BuiDGjExHjH0YTC3KeLqRz0mRtfnWLYrOAcuUrlhU0xYTL9WAakTayaBa1icBMyJC2OlcMfPDBpqdo1Vd3nxFmY0fbc3Gul6HerZHzW1YjF4KUSvkZLphUL7cMYSd3YlhtONHeEXTznNHeEpK2a2CBXPkr9NHenNHenNHtL7eWplC2ivwunPFolVcM8PhTSYtI== 

很明显，是使用了某种PHP代码混淆工具混淆了下，Google一把，原来是使用的微盾PHP脚本加密专家加密的，网上搜了下，没找到免费的解密工具，于是乎，自己就研究了下，写了个解密算法，share下，给遇到同样问题的朋友一个方便。

       另外需要说明的是，我测试，本地解密出来的代码可以阅读的，由于代码混淆过，可能还原出来的有些地方和原代码有出入，有需要可自行修改之。

更新：

2009-09-16

添加了自动获取要截取的字符串长度，更通用了。

<?php 
/*********************************** 
*威盾PHP加密专家解密算法 By：Neeao 
*http://Neeao.com 
*2009-09-10 
***********************************/ 
 
$filename="play-js.php";//要解密的文件 
$lines = file($filename);//0,1,2行 
 
//第一次base64解密 
$content=""; 
if(preg_match("/O0O0000O0\('.*'\)/",$lines[1],$y)) 
{ 
    $content=str_replace("O0O0000O0('","",$y[0]); 
    $content=str_replace("')","",$content); 
    $content=base64_decode($content); 
} 
//第一次base64解密后的内容中查找密钥 
$decode_key=""; 
if(preg_match("/\),'.*',/",$content,$k)) 
{ 
    $decode_key=str_replace("),'","",$k[0]); 
    $decode_key=str_replace("',","",$decode_key); 
} 
//查找要截取字符串长度 
$str_length=""; 
if(preg_match("/,\d*\),/",$content,$k)) 
{ 
    $str_length=str_replace("),","",$k[0]); 
    $str_length=str_replace(",","",$str_length); 
} 
//截取文件加密后的密文 
$Secret=substr($lines[2],$str_length); 
//echo $Secret; 
 
//直接还原密文输出 
echo "<?php\n".base64_decode(strtr($Secret,$decode_key,'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'))."?>"; 
 
?> 

使用方法：

C:\wdk>Driver.exe 
命令行驱动加载工具 By:Neeao 
Http://Neeao.com 
使用方法: 
        Driver.exe -start 安装的驱动名 
        Driver.exe -stop 安装的驱动名 
        Driver.exe -unload 安装的驱动名 
        Driver.exe -load 安装的驱动名 驱动路径 

卸载功能使用的时候，无需停止驱动后再卸载，可直接卸载，如果停止驱动后再卸载的话，会爆出一个1062的错误，无需理会，一样可以卸载成功的。

下载

     程序说明：

    1.开发环境：Windows xp sp2+VC7.1

    2.使用方法：

E:\VC7.1\process\Release>process.exe 
------------------------------- 
某进程资源占有率查看器 By:Neeao 
http://neeao.com 
使用方法： 
process.exe 进程ID 
------------------------------- 

[attach=20]

下载

       Web安全应急响应中，不免要检查下服务器上是否被上传了webshell，手工检查比较慢，就写了个脚本来检查了。Windows平台下已经有了lake2写的雷克图的了，一般的检查也够用了，写了个Linux下面的，用python写的。

      1.使用方法：find.py 目录名称

      2. 主要是采用python正则表达式来匹配的，可以在keywords中添加自己定义的正则，格式：

         ["eval\(\$\_POST","发现PHP一句话木马！"]  #前面为正则，后面为对这个正则的描述，会在日志中显示。

      3.修改下文件后缀和关键字的正则表达式就可以成为其他语言的webshell检查工具了，^_^。

      4.开发环境是windows xp+ActivePython 2.6.2.2，家里电脑没有Linux环境，懒得装虚拟机了，明天到公司Linux虚拟机测试下。

      5.目前只是一个框架，随后慢慢完善。

#coding:gbk 
import os,sys 
import re 
 
findtype=['.php'，'.inc'] #要检查的文件后缀类型 
 
#要检查的关键字正则表达式和日志中的描述，是一个二维数组。 
keywords=[ ["eval\(\$\_POST","发现PHP一句话木马！"],\ 
       ["(system|shell_exec|exec|popen)","发现PHP命令执行函数!"]\ 
     ]  
 
writelog = open('log.txt', 'w+') 
 
def checkfile(filename): 
    fp=open(filename) 
    content = fp.read() 
    for keyword in keywords: 
        if re.search(keyword[0],content,re.I): 
            log="%s:%s" % (filename,keyword[1]) 
            #print log           
            print >>writelog,log 
    fp.close() 
             
 
def checkdir(dirname): 
    try: 
        ls=os.listdir(dirname) 
    except: 
        print 'access deny' 
    else: 
        for l in ls: 
            temp=os.path.join(dirname,l)         
            if(os.path.isdir(temp)): 
                checkdir(temp) 
            else: 
        ext = temp[temp.rindex('.'):] 
        if ext in findtype: 
            checkfile(temp) 
             
 
if __name__=="__main__": 
    print "PHP webshell check for Python！" 
    print "By:Neeao" 
    print "http://Neeao.com" 
    if len(sys.argv) < 2: 
        print "%s C:\\" % sys.argv[0]    
    else: 
        print "Check start!" 
        dirs=sys.argv[1:] 
        #print dirs[0] 
        if os.path.exists(dirs[0]): 
            checkdir(dirs[0]) 
        else: 
            print "Dir:'%s' not exists!" % dirs[0]   
         
        print "Check finsh!" 
 
writelog.close() 

      [attach=2]