# php-eval-hook

**Repository Path**: yh-it/php-eval-hook

## Basic Information

- **Project Name**: php-eval-hook
- **Description**: 对PHP的eval函数进行hook钩子
- **Primary Language**: Unknown
- **License**: MIT
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 0
- **Forks**: 0
- **Created**: 2026-03-19
- **Last Updated**: 2026-03-19

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

# php-eval-hook

一款用于挂钩（Hook）`eval()` 函数的 PHP 扩展。适用于还原通过 eval 混淆的代码。该扩展理论上兼容 PHP 7.x 全版本，可能兼容 PHP 5.x 但未经测试。

## 编译步骤

预编译扩展可从 [发布页](https://github.com/extremecoders-re/php-eval-hook/releases) 下载，基于 Ubuntu 18.04 软件源中的 PHP 7.2.24 编译。预编译扩展不保证在你的系统上正常工作，因此始终建议按照以下步骤从源码编译。

1. 安装 php 和 php-dev 包。此处使用 Ubuntu 18.04 官方软件源提供的包：

    ```
    $ sudo apt install php7.2 php7.2-dev
    ```

2. 克隆代码仓库：

    ```
    $ git clone https://github.com/extremecoders-re/php-eval-hook
    ```

3. 运行 `phpize`。该命令会生成编译扩展所需的 `Makefile` 及其他文件：

    ```
    $ cd php-eval-hook
    $ phpize
    ```

4. 编译扩展。`make install` 会将生成的 `.so` 文件复制到对应目录：

    ```
    $ ./configure --enable-evalhook --with-php-config=/www/server/php/72/bin/php-config

    $ make

    $ make install
    Installing shared extensions:     /www/server/php/72/lib/php/extensions/no-debug-non-zts-20170718/
    ```

## 向 PHP 注册扩展

1. 查找 *php.ini* 文件位置：

    ```
    $ php -r 'phpinfo();' | grep php.ini
    Configuration File (php.ini) Path => /etc/php/7.2/cli
    Loaded Configuration File => /etc/php/7.2/cli/php.ini
    ```

2. 编辑 *php.ini*，在文件末尾添加 `extension=evalhook.so`：
    ```
    $ echo "extension=evalhook.so" >> /etc/php/7.2/cli/php.ini
    ```

3. 验证扩展是否正确加载：
    ```
    $ php -r 'print_r(get_loaded_extensions());' | grep evalhook
        [14] => evalhook
    ```

    ```
    $ php -r 'phpinfo();' | grep eval
    evalhook
    eval() hooking => enabled
    callback function => __eval
    ```

## 使用方法

你需要在 PHP 代码中定义一个名为 `__eval` 的回调函数。每当扩展检测到 `eval` 调用时，就会执行这个回调函数。你可以在回调函数中把代码打印到标准输出、写入文件，或执行其他操作。

### 示例

**原始代码**
```php
<?php
function test_obfuscated()
{
	echo("这是一个被混淆的函数\n");
}

test_obfuscated();
?>
```
**obfuscated.php** [由 [Simple online PHP obfuscator](https://www.mobilefish.com/services/php_obfuscator/php_obfuscator.php) 生成]
```
<?php
eval(str_rot13(gzinflate(str_rot13(base64_decode('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')))));
?>
```

**harness.php**
```php
<?php
function __eval($code, $file) {
  echo "eval() 调用位置 @ {$file}:\n{$code}\n\n";

  // 如果想要阻止 eval() 执行，返回 FALSE
  // return false;

  // 如果想要替换被 eval 执行的代码，返回字符串
  // return 'echo 2;';

  // 无返回值则正常继续执行
}

include("obfuscated.php");
?>
```

```
$ php obfuscated.php
这是一个被混淆的函数
```

```
$ php harness.php | tail

eval() 调用位置 @ /workspace/php7/obfuscated.php(2) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'
d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : ev
al()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code:
function test_obfuscated()
{
        echo("这是一个被混淆的函数\n");
}

test_obfuscated();

这是一个被混淆的函数
```

## 致谢

本扩展基于 [php-eval](https://github.com/mfmans/php-eval) 开发。

## 许可证

MIT