混淆方法：

两个文件采用了4种混淆方法对代码进行混淆 1、局部变量追加乱码 对于局部变量，在经过转为无意义单字符后，在变量名后追加多个'\xEF\xBD\xBD'字符，并在其中混杂一些其他不可见字符（7E以后的），给人以乱码的感觉，单实际上并无影响。局部变量可以任意命名，只要能区分出来就行。 2、利用unicode加转义符显示字符串，采用十进制和十六进制两种方式进行显示，避免直观看到。 php可以使用如"\150\157\155\145\120\141\164\150"(十进制)或"\x73\x79\x73\x74\x65\x6d\x4c\x6f\x67"（十六进制）在文件中作为变量名。这种方式直接 3、利用php字符串可以用作函数名，将常用函数名隐藏     使用了 $GLOBALS全局变量 define宏函数 base64_decode函数 以及自定义不可逆函数_kstr2()函数 4、使用字符串连接符号来连接被分割并转换的字符串

其中_kstr2()代码还原后的结果如下

function _kstr2($str) {        $len = strlen($str);        $result = '';        $baseChar = ord($str[0]) - 30;        for ($str = 1; $str < $len; $str+= 2) {            if ($str + 1 < $len) {                $result.= chr(ord($str[$str + 1]) + $baseChar );                $result.= chr(ord($str[$str]) + $baseChar );            } else {                $result.= chr(ord($str[$str]) + $baseChar );            }        }        return $result;    }}

由这段代码可以看出，被加密的字符串的第一个字符是一个随机字符，因此，即使是同一个字符串，在加密后得到的结果也可能是不一样的，这样大大提高了混淆的混乱程度。但，这个函数放在被混淆的代码之中，为代码还原提供了便利。