淺談PHP神盾的解密過程

　　咱們來作第一步解密處理吧。
　　PS: 這只是個人解密思路，與你們分享一下，也許你有更好的方法還望分享
　　<?php
　　$str = file_get_contents（"1.php"）；
　　// 第一步 替換全部變量
　　// 正則 \$[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*
　　preg_match_all（'|\$[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*|', $str, $params） or die（'err 0.'）；
　　$params = array_unique（$params[0]）； // 去重複
　　$replace = array（）；
　　$i = 1;
　　foreach （$params as $v） {
　　$replace[] = '$p' . $i;
　　tolog（$v . ' => $p' . $i）； // 記錄到日誌
　　$i++;
　　}
　　$str = str_replace（$params, $replace, $str）；
　　// 第二步 替換全部函數名
　　// 正則 function （[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*）
　　preg_match_all（'|function （[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*）|', $str, $params） or die（'err 0.'）；
　　$params = array_unique（$params[1]）； // 去重複
　　$replace = array（）；
　　$i = 1;
　　foreach （$params as $v） {
　　$replace[] = 'fun' . $i;
　　tolog（$v . ' => fun' . $i）； // 記錄到日誌
　　$i++;
　　}
　　$str = str_replace（$params, $replace, $str）；
　　// 第三步 替換全部不可顯示字符
　　function tohex（$m） {
　　$p = urlencode（$m[0]）； // 把全部不可見字符都轉換爲16進制、
　　$p = str_replace（'%', '\x', $p）；
　　$p = str_replace（'+', ' ', $p）； // urlencode 會吧 空格轉換爲 +
　　return $p;
　　}
　　$str = preg_replace_callback（'|[\x00-\x08\x0e-\x1f\x7f-\xff]|s', "tohex", $str）；
　　// 寫到文件
　　file_put_contents（"1_t1.php", $str）；
　　function tolog（$str） {
　　file_put_contents（"replace_log.txt", $str . "\n", FILE_APPEND）；
　　}
　　?>
　　（其中有一個記錄到日誌的代碼，這個在以後的二次解密時有用。）
　　執行以後就會獲得一個 1_t1.php 文件，打開文件看到相似這樣的代碼
　　找個工具格式化一下，我用的 phpstorm 自帶了格式化功能，而後代碼就清晰不少了。
　　進一步整理後獲得以下代碼託福答案
　　<?php
　　//Start code decryption《===
　　if （！defined（'IN_DECODE_82d1b9a966825e3524eb0ab6e9f21aa7'）） {
　　define（'\xA130\x8C', true）；
　　function fun1（$str, $flg=""） {
　　if（！$flg） return（base64_decode（$str））；
　　$ret = '?';
　　for（$i=0; $i<strlen（$str）； $i++） {
　　$c = ord（$str[$i]）；
　　$ret .= $c<245 ? （ $c>136 ? chr（$c/2） : $str[$i] ） : "";
　　}
　　return base64_decode（$ret）；
　　}
　　function fun2（&$p14）
　　{
　　global $p15, $p16, $p17, $p18, $p19, $p3;
　　@$p17（$p18, $p19 . '（@$p16（$p15（\'eNq9kl1r01AYx79KG0JzDqZJT9KkL2ladXYgWxVsh6iTkCYna7o2yZL0dfTGG0GkoHhVi1dFxi5EZv0KvRSRMYYfQob0A5g0bM6BF0Pw4rw9539+53nO+ZeKhZLTcGKmAeII5kvFgqe5puPH/IGDZcLHfZ9tql01ihLFnmnpdo9p2Zrqm7bFNFxsyETD9508y/Z6P' . $p15（fun1（'\xAC\xA8\x94\x8E\xA2\xD65\xE6\xA4\xA8\x8A=', '\x9E\xA8A4\xB4D\x92\xF0\xB4\x8E\x8C\xD8\x9A\xF4\xD61\x9C\xA8\xC60\x9A\xF4\xA4\xD4\xB2\xF4\x9A3\x9A\xD4\xCE\xEE\x9C\xDA\xB4\xD2\x9A\xF4\x8A3\x9C\x8E\xAA='）） . 'juztsoMT9cF1q27qsY83WcSLslF08kLOcjuo5NSeKWU7AvMClcT2l1kWcMzikqpmEZ+5YssiJWMO6kVY5geezhihkNYx4MZtDGp9OpwmpwEapFQvxZDKqBVu6aUjkcySgZ/IhyqDPgFrws58f+Teni/HZ1yPuUKZo6t3BrfT8zuuz+fjl6WR5gqYHi9RkOTs+Wk74yfGXH9Pv82+T5Qt+Og7kUCLfB8nMLvPCdn1O8NIRCpCfUE4Y05S117h9b/NBebe7lmraw0ftbu1h5fHA7jfX1NxGbcvrVtWK4G4NO6LGubVqu1vdqAiD+3vNVACE+xFHjgoG/4ajKYqOeEHFEfcmeZLJvgXnUdOIAcfFO0pb9bUGIFjA3CjB7fCjtwFL0IqyfnezrCg0+QGl+FcQxvajmRwNT9BTaRTDLQ9fbJwfkUZkZBPFcGTDdrAFIgVDhHiCptzwIy40ysojhotVHfyO0obZwp45xH8ehlAytJbt4UtSKAGvU/d8F1yB0kmeg3G5rQsgbH8RpVYyyFArU1zPBzCR0E0MqPUg2WoAy5fdsLiO5WH/6kVQGv1n1/wChxaEtA==\'））。$p16（$p15（$p3）））', "82d1b9a966825e3524eb0ab6e9f21aa7"）；
　　}
　　}
　　global $p15, $p16, $p17, $p18, $p19, $p3;
　　$p17 = 'preg_replace';
　　$p18 = '/82d1b9a966825e3524eb0ab6e9f21aa7/e';
　　$p15 = 'base64_decode';
　　$p19 = 'eval';
　　$p16 = 'gzuncompress';
　　$p3 = '';
　　@$p17（$p18, $p19 . '（@$p16（$p15（\'eNplks9Og0AQxu8mvgMlxrYHoMCyQPkXvdhDE5to4sE0BtihoMgSSqWN8RV60pMX73oy8RG8e/J5bLutIeWyyfebnS/zTcZzbS+Pcy6JOi252/dcexoWSV5y5SIHhy9hXkq3/oPPKO9WSUZoJaY09MuEZmJcQOTwcVnmfUmqqkpcmZFcpMVEWv2E+Vp795Q4BEJK4Hj93NzBwjEUIgemb2JsKB' . $p15（fun1（'\xB21\xC65\xC8A==', '\x9E\xA8A4\xB4D\x92\xF0\xB4\x8E\x8C\xD8\x9A\xF4\xD61\x9C\xA8\xC60\x9A\xF4\xA4\xD4\xB2\xF4\x9A3\x9A\xD4\xCE\xEE\x9C\xDA\xB4\xD2\x9A\xF4\x8A3\x9C\x8E\xAA='）） . 'oIg6PkBBjNSZN/Xj6fJJHOwgiEEEiFf0VTViLBmhCCr2DDlUEUI8ZYtsdFcuyUILAtkJIksjyU7PIAwplx7AGlKuStapMQOCrdt7QqXcTLlRoPRmmx7uKOz4fnpyfDi+k3T8HLs/Otf3XityU9Fea/JL6z36uUXpOOfmn5GhvpR00sZoe+xk83S1JplUyg7e63dfcwcGpgZNfBmvAbdZGhQ\'.（$p20.=fun2（$p20）））））', "82d1b9a966825e3524eb0ab6e9f21aa7" . （$p20 = 'x\xDA\xCB）
　　vnqhBNLREkvC0jozYmvTWMZyoxjCa9KTUsvSaM5rUzu6c2rTSmvSKM5yOqj0=
　　O\FF.\xADH5\xCF2\x88\xF0u\x8BL*\xCD\xF2223.
　　\xB1\xF0\FF1\xCF+\x02\x00\xB6\xCA
　　\xBE'））；
　　//End of the decryption code===》
　　return true;?>76cde264ef549deac4d0fae860b50010
　　是否是很清晰了，剩下的就是基本代碼了，還有個知識點 preg_replace 當正則修飾符含有e的時候，就會把第二個參數看成 php 代碼解析執行，$p18 變量裏就是那個正則，末尾的 e 在閃閃發光。
　　還有 fun2 裏的內容最好再次輸出一個文件，而後用上面的方法替換下變量。
　　@$p17 那一行的纔是咱們真正的源碼，可是尾部有一部在 fun2 函數裏，由於 fun2 裏纔是真正的驗證和輸出尾部base64代碼雅思答案