神盾加密解密教程（二）PHP 神盾解密-php手册-php.cn

Home

php教程

php手册

神盾加密解密教程（二）PHP 神盾解密

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 06, 2016 pm 08:22 PM

encrypt and decodeTutorialDecrypt

前些日子一个朋友丢了个shell给我，让我帮忙解密，打开源码看了下写着是 “神盾加密” , 牛逼闪闪的样子、百度下发现神盾是个很古老的东西，最后一次更新是在 20

其实网上早就有人分析过这个了，而且写成了工具、但是我测试了很多个，没一个能用，所以决定自己从头分析一遍。

打开神盾加密过后的源码，可以看到这样的代码

神盾加密解密教程（二）PHP 神盾解密

上面写着广告注释，而且不能删除，因为文件末尾有个md5效验码，以验证代码是否被修改过，，如图、

神盾加密解密教程（二）PHP 神盾解密

再仔细看代码部分，发现里面都是乱码，其实这都是障眼法，
它利用了php变量扩充到 latin1 字符范围，其变量匹配正则是 \$[a-zA-Z_\x7f-\xff][\w\x7f-\xff]* 这样的格式。
这个前几天天已经分析过了，最终也在官网找到了答案，请看《神盾加密解密教程（一）PHP变量可用字符》

有点扯远了，我们来做第一步解密处理吧。
PS: 这只是我的解密思路，与大家分享一下，也许你有更好的方法还望分享。。

复制代码代码如下:

$str = file_get_contents("1.php");

// 第一步替换所有变量
// 正则 \$[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*
preg_match_all('|\$[a-zA-Z_\x7f-\xff][\w\x7f-\xff]*|', $str, $params) or die('err 0.');
$params = array_unique($params[0]); // 去重复
$replace = array();
$i = 1;
foreach ($params as $v) {
    $replace[] = '$p' . $i;
    tolog($v . ' => $p' . $i); // 记录到日志
    $i++;
}
$str = str_replace($params, $replace, $str);

// 第二步替换所有函数名
// 正则 function ([a-zA-Z_\x7f-\xff][\w\x7f-\xff]*)
preg_match_all('|function ([a-zA-Z_\x7f-\xff][\w\x7f-\xff]*)|', $str, $params) or die('err 0.');
$params = array_unique($params[1]); // 去重复
$replace = array();
$i = 1;
foreach ($params as $v) {
    $replace[] = 'fun' . $i;
    tolog($v . ' => fun' . $i); // 记录到日志
    $i++;
}
$str = str_replace($params, $replace, $str);

// 第三步替换所有不可显示字符
function tohex($m) {
    $p = urlencode($m[0]); // 把所有不可见字符都转换为16进制、
    $p = str_replace('%', '\x', $p);
    $p = str_replace('+', ' ', $p); // urlencode 会吧空格转换为 +
    return $p;
}
$str = preg_replace_callback('|[\x00-\x08\x0e-\x1f\x7f-\xff]|s', "tohex", $str);

// 写到文件
file_put_contents("1_t1.php", $str);

function tolog($str) {
file_put_contents("replace_log.txt", $str . "\n", FILE_APPEND);
}
?>

（其中有一个记录到日志的代码，这个在之后的二次解密时有用。）
执行之后就会得到一个 1_t1.php 文件，打开文件看到类似这样的代码

神盾加密解密教程（二）PHP 神盾解密

找个工具格式化一下，我用的 phpstorm 自带了格式化功能，然后代码就清晰很多了。

神盾加密解密教程（二）PHP 神盾解密

进一步整理后得到如下代码：

复制代码代码如下:

//Start code decryptionif (!defined('IN_DECODE_82d1b9a966825e3524eb0ab6e9f21aa7')) {
    define('\xA130\x8C', true);

    function fun1($str, $flg="") {
        if(!$flg) return(base64_decode($str));

        $ret = '?';
        for($i=0; $i            $c = ord($str[$i]);
            $ret .= $c136 ? chr($c/2) : $str[$i] ) : "";
        }
        return base64_decode($ret);
    }

    function fun2(&$p14)
    {
        global $p15, $p16, $p17, $p18, $p19, $p3;
        @$p17($p18, $p19 . '(@$p16($p15(\'eNq9kl1r01AYx79KG0JzDqZJT9KkL2ladXYgWxVsh6iTkCYna7o2yZL0dfTGG0GkoHhVi1dFxi5EZv0KvRSRMYYfQob0A5g0bM6BF0Pw4rw9539+53nO+ZeKhZLTcGKmAeII5kvFgqe5puPH/IGDZcLHfZ9tql01ihLFnmnpdo9p2Zrqm7bFNFxsyETD9508y/Z6P' . $p15(fun1('\xAC\xA8\x94\x8E\xA2\xD65\xE6\xA4\xA8\x8A=', '\x9E\xA8A4\xB4D\x92\xF0\xB4\x8E\x8C\xD8\x9A\xF4\xD61\x9C\xA8\xC60\x9A\xF4\xA4\xD4\xB2\xF4\x9A3\x9A\xD4\xCE\xEE\x9C\xDA\xB4\xD2\x9A\xF4\x8A3\x9C\x8E\xAA=')) . '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\')).$p16($p15($p3)))', "82d1b9a966825e3524eb0ab6e9f21aa7");
    }
}
global $p15, $p16, $p17, $p18, $p19, $p3;
$p17 = 'preg_replace';
$p18 = '/82d1b9a966825e3524eb0ab6e9f21aa7/e';
$p15 = 'base64_decode';
$p19 = 'eval';
$p16 = 'gzuncompress';
$p3 = '';

@$p17($p18, $p19 . '(@$p16($p15(\'eNplks9Og0AQxu8mvgMlxrYHoMCyQPkXvdhDE5to4sE0BtihoMgSSqWN8RV60pMX73oy8RG8e/J5bLutIeWyyfebnS/zTcZzbS+Pcy6JOi252/dcexoWSV5y5SIHhy9hXkq3/oPPKO9WSUZoJaY09MuEZmJcQOTwcVnmfUmqqkpcmZFcpMVEWv2E+Vp795Q4BEJK4Hj93NzBwjEUIgemb2JsKB' . $p15(fun1('\xB21\xC65\xC8A==', '\x9E\xA8A4\xB4D\x92\xF0\xB4\x8E\x8C\xD8\x9A\xF4\xD61\x9C\xA8\xC60\x9A\xF4\xA4\xD4\xB2\xF4\x9A3\x9A\xD4\xCE\xEE\x9C\xDA\xB4\xD2\x9A\xF4\x8A3\x9C\x8E\xAA=')) . 'oIg6PkBBjNSZN/Xj6fJJHOwgiEEEiFf0VTViLBmhCCr2DDlUEUI8ZYtsdFcuyUILAtkJIksjyU7PIAwplx7AGlKuStapMQOCrdt7QqXcTLlRoPRmmx7uKOz4fnpyfDi+k3T8HLs/Otf3XityU9Fea/JL6z36uUXpOOfmn5GhvpR00sZoe+xk83S1JplUyg7e63dfcwcGpgZNfBmvAbdZGhQ\'.($p20.=fun2($p20)))))', "82d1b9a966825e3524eb0ab6e9f21aa7" . ($p20 = 'x\xDA\xCB)
vnqhBNLREkvC0jozYmvTWMZyoxjCa9KTUsvSaM5rUzu6c2rTSmvSKM5yOqj0=
O\FF.\xADH5\xCF2\x88\xF0u\x8BL*\xCD\xF2223.
\xB1\xF0\FF1\xCF+\x02\x00\xB6\xCA
\xBE'));
//End of the decryption code===>>
return true;?>76cde264ef549deac4d0fae860b50010

是不是很清晰了，剩下的就是基本代码了，还有个知识点 preg_replace 当正则修饰符含有e的时候，就会把第二个参数当作 php 代码解析执行，
$p18 变量里就是那个正则，末尾的 e 在闪闪发光。
还有 fun2 里的内容最好再次输出一个文件，然后用上面的方法替换下变量。
@$p17 那一行的才是我们真正的源码，但是尾部有一部在 fun2 函数里，因为 fun2 里才是真正的验证和输出尾部base64代码。
剩下的我懒的写了，因为所有解密要用到的知识我都已经说了、

明天我会把我写的解密代码用这个工具加密后贴出来，我会提供解密 api 给大家调用的。
不是我装逼或者是炫耀，因为授之以鱼不如授之以渔，也可以说自己动手丰衣足食。
当然也有人只要结果，不要过程，那我直接给你 api 也是一样的，对吧。

Statement

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn

3分钟快速使用ChatGPT教程，用它帮我写简历，太牛了Apr 11, 2023 pm 07:40 PM

已经火了很久了，身边的同事也用它来进行一些调研，资源检索，工作汇报等方面都有很大的的效率提升。很多人问ChatGPT会不会取代程序员？我的回答是：不会！ChatGPT并不是我们的敌人，相反的是，它是我们的好帮手。未来人和人的竞争，可能就会从原先的我懂得更多，我实操经验更丰富，变成了我比你更会用工具，我比你更懂得提问，我比你更会发挥机器人的最大特性，所以，为了不掉队，你还不准备体验下ChatGPT吗？快速体验面试官经常会问你的项目有啥重难点？很多人不会回答，直接看看ChatGPT怎么说，真的太牛了

u盘怎么重装win11系统的步骤教程Jul 08, 2023 pm 09:33 PM

微软近日透露了将推出win11系统，很多用户都在期待新系统呢。网上已经有泄露关于win11的镜像安装系统。大家不知道如何安装的话，可以使用U盘来进行安装。小编现在就给大家带来了win11的U盘安装教程。1、首先准备一个8G以上大小的u盘，将它制作成系统盘。2、接着下载win11系统镜像文件，将它放入u盘中，大家可以直接点击右侧的链接进行下载。3、下载完成后装载该iso文件。4、装载完成之后会进入新的文件夹，在其中找到并运行win11的安装程序。5、在列表中选择“win11”然后点击“下一步”。6

2023年最流行的5个php开发框架视频教程推荐May 08, 2017 pm 04:26 PM

如果想快速进行php web开发，选择一个好用的php开发框架至关重要，一个好的php开发框架可以让开发工作变得更加快捷、安全和有效。那2023年最流行的php开发框架有哪些呢？这些php开发框架排名如何？

PHP基础教程：从入门到精通Jun 18, 2023 am 09:43 AM

PHP是一种广泛使用的开源服务器端脚本语言，它可以处理Web开发中所有的任务。PHP在网页开发中的应用广泛，尤其是在动态数据处理上表现优异，因此被众多开发者喜爱和使用。在本篇文章中，我们将一步步地讲解PHP基础知识，帮助初学者从入门到精通。一、基本语法PHP是一种解释性语言，其代码类似于HTML、CSS和JavaScript。每个PHP语句都以分号;结束，注

老电脑系统xp升级win7教程步骤Jul 07, 2023 pm 10:21 PM

xp系统曾经是使用最多的系统，不过随着硬件的不断升级，xp系统已经不能发挥硬件的性能，所以很多朋友就想升级win7系统，下面就和大家分享一下老电脑升级win7系统的方法吧。1、在小白一键重装系统官网中下载小白三步装机版软件并打开，软件会自动帮助我们匹配合适的系统，然后点击立即重装。2、接下来软件就会帮助我们直接下载系统镜像，只需要耐心等候即可。3、下载完成后软件会帮助我们直接进行在线重装Windows系统，请根据提示操作。4、安装完成后会提示我们重启，选择立即重启。5、重启后在PE菜单中选择Xi

什么是OCO订单?Apr 25, 2023 am 11:26 AM

二选一订单（OneCancelstheOther，简称OCO）可让您同时下达两个订单。它结合了限价单和限价止损单，但只能执行其中一个。换句话说，只要其中的限价单被部分或全部成交、止盈止损单被触发，另一个订单将自动取消。请注意，取消其中一个订单也会同时取消另一个订单。在币安交易平台进行交易时，您可以将二选一订单作为交易自动化的基本形式。这个功能可让您选择同时下达两个限价单，从而有助于止盈和最大程度减少潜在损失。如何使用二选一订单？登录您的币安帐户之后，请前往基本交易界面，找到下图所示的交易区域。点

教你学会win10如何删除temp文件夹Jul 08, 2023 pm 04:13 PM

在win10的系统盘中，很多网友会看到一个temp文件夹，里面占用的内存非常大，占用了c盘很多空间。有网友想删除temp文件夹，但是不知道能不能删，win10如何删除temp文件夹。下面小编就教下大家win10删除temp文件夹的方法。首先，Temp是指系统临时文件夹。而很多收藏夹，浏览网页的临时文件都放在这里，这是根据你操作的过程临时保存下来的。如有需要，可以手动删除的。如何删除temp文件夹？具体步骤如下：方法一：1、按下【Win+R】组合键打开运行，在运行框中输入temp，点击确定；2、此

禁用win10更新的步骤教程Jul 08, 2023 pm 03:21 PM

win10系统会经常推送系统自动更新，有时候正在忙的却突然弹出系统更新，非常不友好。那么如何关闭win10系统自动更新呢？下面，就随小编看看具体操作方法帮你禁用win10更新，大家快来看看是如何操作的吧。1、打开电脑的左下角，找到下方的设置点击进入，操作图片如下2、在windows设置，找到更新和安全点击进入，操作如下。3、点击windows更新，找到高级选项点击进入，操作如下。4、进入windows更新系统的高级选项，关闭更新配置就可以了，如图所示。以上就是禁用win10更新的步骤教程啦，希望

See all articles