PHP解密：zym加密 带乱码调试过程

手游

欢迎阅读我的另一篇文章：PHP解密：魔方1代 PHP加密中的VMProtect分析，文中对 本贴 73# 层 提供的文件进行了分析

案例 1

实验样本

http://www.phpjiami.com/

据说“加密效果同行最高”？
到 http://www.phpjiami.com/phpjiami.html 随意上传一个 php 文件，然后下载加密后的文件，这就是我们要解密的文件。

后来我发现这个“找源码加密”和“PHP加密”的加密算法是完全完全一样的 http://www.zhaoyuanma.com/phpencode.html，文中的解码程序对两个网站的免费加密通杀。

“保证运行状态下使程序不可读，难以被还原。找源码所加密的程序，找源码网站也不能破解，切记保留备份。”

这给你牛的...你自己破解不了，我可以帮你破解。
简单分析一下

先看看加密后的文件

可以看出这是一个正常的 php 文件，只不过所有的变量名都是乱码，还真亏了 php 引擎支持任意字符集的变量名，这个加密后的文件变量名的字节部都在 ASCII 范围以外，全是 0x80 以上的字符。
我们看到中间有一个 php 代码段结束标签 ?>，而他的前面还有一个 return $xxx; 来结束脚本运行，这说明结束标签后面的数据都不会被正常输出，后面极可能是源文件加密后的数据，而前面的 php 代码只是用来解密的。
调试之前的准备

这里使用的 IDE 是 VSCode（最开始我使用的是 PHPStorm，后来我发现 VSCode 的效果更好）。
首先，安装 PHP Debug 插件。

然后，按照 https://xdebug.org/docs/install 的说明安装 XDebug 插件。
注意：运行未知的 php 代码还是很危险的，最好能在虚拟机上运行，真机上一定要保证你的 XDebug 和 PHP Debug 调试插件可以正常下断点。断开网络。最好同时打开任务管理器，一旦发生未知现象（比如 CPU 占用率或磁盘占用率），或者调试断点没断下来，或者出现某些问题，立刻结束 php 进程。
代码格式化

这个代码太乱了，我们需要格式化一下代码。
最开始我用的是 PHPStorm 自带的代码格式化，格式化之后数据变了，PHPStorm 对未知字符集的支持还是比较差的。
然后我就想对 php 文件的 AST （Abstract Syntax Tree 抽象语法树）进行分析，看能不能顺便把变量名都改成可显示字符。后来想想似乎不行，因为这种代码肯定是带 eval 的，改了变量名之后，eval 的字符串中的变量名就对应不上了。
我找到了这个工具：https://github.com/nikic/PHP-Parser
首先 composer require nikic/php-parser。
然后将下列代码保存到一个文件中（比如 format.php），读取下载下来的 1.php，把格式化之后的代码写入 2.php。