小皮面板取证分析

最近着手面板一把梭，在分析小皮的时候比较耗费时间，简单记录一下

小皮面板安装目录/usr/local/phpstudy/

在这个目录下只能找到一个安装结果信息install.result，找不到其他数据

分析源码发现，不论是何请求，它都要发送到127.0.0.1:8090去处理

使用的是这个程序，发现depends目录的时间一直变化，进入后发现是libc.so.1.0.1的时间一直在变

通过分析发现，这个文件并不是一个linux共享库，明显是一个加密文件

分析phpstudy，有upx加固，直接脱upx.exe -d phpstudy

能够找到加载了这个文件，并且使用了sqlite相关的函数，并在这里得到密码php8090

然而这个密码无论使用什么软件和参数都无法打开，看到有一个libsqlcipher依赖，分析这个依赖，同样是upx加固，脱掉即可

在这个依赖中发现密码被替换，最后的密码为xp9080

使用SQLite Studio或DB Browser for SQLite可以打开，参数是SQLCipher4的默认参数