在纯 PHP 下,我们可以使用带有混淆的 ioncube/else 之类的东西。在 pre-HHVM 下,我们可以使用已经编译的没有源代码的代码。但是在当前的 HHVM 下,我们能以某种方式隐藏我们的来源吗?
问问题
876 次
1 回答
3
@paulbliss:
您可以编译一个字节码存储库并运行它,但这并不难进行逆向工程。... 没有任何关于构建 repos 的好文档。tools/hhvm_wrapper.php 中的包装脚本有一些有用的快捷方式,你可以查看帮助选项。混淆确实没有一个很好的选择,但是 repo-authoritative 可能是您最好的选择,因为它会在字节码之上进行一些优化。
@see https://github.com/facebook/hhvm/issues/4929#issuecomment-76751039
如何
hhvm 的 Ini 设置及其服务器:https ://github.com/facebook/hhvm/wiki/INI-Settings
编译、删除源并从优化的 repo 运行的完整 shell:https ://gist.github.com/garex/b0fa539903746e67ad6c
因此,作为一种解决方法,您可以在 root 用户下编译源代码,但在 www-data 下运行 hh 服务器。因此,即使攻击者会通过网络破坏您 - 它也不会在那里看到源代码。
于 2015-03-02T17:04:59.787 回答