其实已经有人在网上分析过这个，把它写成工具了，但是我测试了很多，都没有用，所以我决定从一开始就分析。打开宙斯盾的加密源代码，可以看到这个代码。

广告评论写在上面，不能删除，因为文件末尾有一个md5验证码，用来验证代码是否被修改过，如图。

仔细看代码部分，发现里面全是乱码。其实是睁一只眼闭一只眼。它使用php变量扩展到latin1字符范围，其变量匹配规则为 $[a-za-z _ x7f- xff][ w x7f- xff]*。前几天分析了一下，终于在官网找到了答案。请看《神盾加密解密教程（一）PHP变量可用字符》，有点牵强。让我们做解密的第一步。PS:只是我的解密想法。我想和你分享一下。也许你有更好的方法来分享。复制代码如下：PHP $ str=file _ get _ contents(' 1 . PHP ')；//第一步是替换所有变量//regular $[a-za-z _ x7f- xff][ w x7f- xff]* preg _ match _ all(| $[a-za-z _ x7f- xff])。$ params=array _ unique($ params[0])；//Repeat $ replace=array()；$ I=1；foreach($ params as $ v){ $ replace[]=' $ p '。$ I；' entry($ v . '=$ p '。$ I)；//日志到日志$ I；}$str=str_replace($params，$replace，$ str)；//替换第二步//中的所有函数名常规函数([a-za-z _ x7f- xff][ w x7f- xff]*)preg _ match _ all(|函数([a-za-z _ x7f- xff)。$ params=array _ unique($ params[1])；//Repeat $ replace=array()；$ I=1；foreach($ params as $ v){ $ replace[]=' fun '。$ I；“有趣”。$ I)；//日志到日志$ I；}$str=str_replace($params，$replace，$ str)；//第三步是将所有不可显示的字符函数替换为hex($ m){ $ p=URL encode($ m[0])；//将所有不可见字符转换为十六进制，$ p=str _ replace(“%”、“x”、$ p)；$p=str_replace('，' '，$ p)；//urlencode会将空格转换为返回$ p；} $ str=preg _ replace _ callback(' |[ x00- x08 x0e- x1f x7f- xff]| s '，' tohex '，$ str)；//写入文件file _ put _ contents ('1 _ t1.php '，$ str)；function onel($str){ file _ put _ contents(' replace _ log . txt '，$ str。n '，FILE _ APPEND)；}?(日志中记录了一个代码，这在后面的第二次解密中很有用。)执行后，会得到一个1_t1.php文件，打开文件会看到这样的代码。

找一个工具来格式化它。我使用的phpstorm有自己的格式化功能，这样代码就清晰多了。

贺尔蒙阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉阿吉：你好绿筠小姐3330吗？PHP///Start解密代码===if(！已定义(' in _ decode _ 82 D1 b9a 966825 e 3524 EB 0 ab 6 e 9f 21 aa 7 '){ 0定义(xA130x8C，真)；函数fun 1($ str ,$ flg='){ if(！$flg)返回(base 64 _ decode($ str))；$ret='？for($ I=0)；$ is tren($ str)；$ I){ $ c=order($ str[$ I])；-瑞塔$c245？(c136美元？加拿大人权中心(c/2) :美元美元字符串[$ I]):“”；}返回base 64 _ decode($ ret)；} fun 2(p14美元){ global $p15 、$p16 、$p17 、$p18 、$p19 、$ P3；$p17($p18、$p19)($ p16($ p15( ' enq9kl R1 R1 ayx 79kg 0 jzdzjt 9 kk L2 ladxygwxvsh 6 itkcyna 7 o 2 yzl 0 DFT gg 0 gggkhohhvi 1 dfxi 5 ezv 0 kvrsrmyyfqob 0 a 5 g0bm 6 BF 0 pw4 rw 9539 no zekzhltcgmaeii 5 kvfgqe 5 pup/igdclhfz 9 tql 01 ihlfnmnpdo 9 p2 zrq 7 BFF $ xa 8 x8 a=" x9 e xa 8 a1至4 xb4 d x92 xf 0 xb4 x8 e x8c xd8 x9a xf4 xd61 x9c xa 8 xc60 x9a xf4 xa 4 xd 4 xb2 xf4 juztsom 9 cf 1q 27 qsy 83 wcslslf 08 klju 5 NSE kwu 7 avmclct 2l 1 kwziqmez 5 yssijwmo 6 kvy 5 geezhhknyx 4 mzatdgp 9 opwmpweafqvxzdbvu 6 au jkcysgz/ihqdpgfrws 58 f teni/Hz 1 ypuuk zo 6 T3 brft 8 zuuz fjl 6 wr 5 gqyhi 9 rcts wk 74 yfgg } }全球$p15、$p16、$p17、$p18、$p19、$ P3；$ p 17=' preg _ replace $ p18='/82d 1 b9a 966825 e 3524 EB 0 ab 6 e 9f 21 aa 7/e；$ p15=' base64 _ decode$ p 19=' eval $ p16=' gzincovenence '；$ P3='；$p17($p18、$p19)($ p16($ p15(' en LCS 9 og 0 aqixu 8 mvgmlxryhomcyqpsk psqdhd 5至4 se 0 btihomgsqwn 8 pmx 73 oy 8rg 8e/j5血液查看器/ztczbs pcy 6 joui 252/dcexwswswsv 5和5 sihy 9 hx Q3/opko 9 wsuzoj y09 muzmjctwcvnmqkpcmcpwv 2 e VP 795 q 4 bek 4 $ p15(fun 1( xb21 xc 65 xc8 a==)； x9e xa 8a 4 xb4 d x92 xf 0 xb4 x8 e x8c xd 8 x9a xf4 xd61 x9c xa 8 xc60 x9a xf4 xd4 xb2 xf4 x9 a xd4 xce xeeoig 6 pkbbjnsz/xj6fjhowgiieff 0 vtvibmhcr 2 ddlueui 8 zdfcuyuilatkiksjyu 7 pia wplx 7 aglkustpmqocrdt 7 qxctllro prmmx 7 ukuz 4 fnpyfdi k3t 8 HLS/OTF 3 xiyu 9 FEA/JL 6z 36 uuxpoofmn 5 ghvpr 00 szoe xk 83 S1 jpluyg 7和63 dfcwcgpgznfbmvabdzghq . (p20美元)。=fun2($p20))，' 82d 1 b9a 966825 e 3524 EB 0 ab 6 e 9 f21 aa 7 ' .($ P20=' x xda xcb)vnqhbnlrevc 0 jozymtwmoyxjca 9 kt svsam 5 ruzu 6c 2 rtmvskm 5 yoqj 0=o ff . xadh 5 xcf 2 x88 xf0u x8 bl * xcd xf2223 . XB 1 xf0 ff 1 xcf 02x 00 XB 6 xca xbe '；//解密代码结束===返回真的吗？76欧共体264ef549deac4d0fae860b50010切维维维维维维维维维维维维维维维维维维维维维维维维维维维维维维维维维维维，苏秦把苏秦和苏秦弄得天翻地复，阿苏默阿苏姆阿苏姆阿苏姆阿苏姆阿苏姆阿苏姆阿苏姆阿苏姆阿苏姆阿苏姆阿苏姆阿苏姆阿苏姆阿苏姆阿苏姆阿苏姆preg_replace函数阿云阿云娜阿云娜阿云娜阿云娜阿云娜阿云娜阿云娜阿云娜阿云娜阿云娜阿云娜阿云娜阿云娜阿云娜阿云娜阿云娜阿云娜阿云娜然后呢阿忠尼启则，列支敦士登列支敦士登列支敦士登列支敦士登列支敦士登列支敦士登列支敦士登列支敦士登列支敦士登列支敦士登列支敦士登列支敦士登列支敦士登列支敦士登列支敦士登PHP？服务器端编程语言（Professional Hypertext Preprocessor的缩写）绿筠小姐，$p18朱庇特朱庇特朱庇特，什么事然后呢喂！喂。跩子乐趣2朱庇特范思哲范思哲范思哲，你是说.$p17朱塞佩朱塞佩朱塞佩（签名),云娥与云娥一乐趣2魏冄，阿云乐趣2吕宋吕宋吕宋吕宋吕宋吕宋64号基地云娥。嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，嗨，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不，不你好我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，阿俊阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜阿胜空气污染指数绿筠小姐。你是说.阿云诶诶哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟哟，周亚玲周亚玲周亚玲周亚玲。朱庇特阿齐兹阿齐兹阿齐兹阿齐兹阿齐兹阿齐兹阿齐兹阿齐兹阿齐兹阿齐兹阿齐兹阿齐兹阿齐兹阿齐兹阿齐兹阿齐兹阿齐兹阿齐兹，-什么，鲁仲文鲁仲文空气污染指数(空气污染指数)679号房，阿金。