AutoIT de-obfuscator

Сейчас на форуме: (+7 невидимых)

Посл.ответ	Сообщение
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 10 октября 2012 20:48 · Личное сообщение · #1 Не так давно меня попросили взломать одну программку, она оказалась на autoit. После декомпиляции я увидел что она обфусцирована. Скрипт генерировал пароль из хвида. Я попытался найти алгоритм, но ничего не вышло. Вообщем, нужен де-обфускатор. Пишу сюда тк уже писал на офф форумы, у них там запрещено обсуждение всего что связано со взломом/декомпиляциией и следовательно снятие обфускации.

Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 10 октября 2012 21:15 · Личное сообщение · #2 Не оно http://forum.xakep.ru/m_2688945/tm.htm ? ----- Nulla aetas ad discendum sera
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 10 октября 2012 21:44 · Поправил: Envy12 · Личное сообщение · #3 Она самая.
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 10 октября 2012 22:06 · Личное сообщение · #4 Envy12 пишет: Не так давно меня попросили взломать одну программку Ее можно увидеть?
OLEGator Ранг: 233.1 (наставник), 30thx Активность: 0.21↘0 Статус: Участник	Создано: 10 октября 2012 22:18 · Личное сообщение · #5 ботовод https://ssl.exelab.ru/f/action=vthread&forum=2&topic=16435&page=17#4 ----- AutoIt
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 10 октября 2012 22:56 · Поправил: Envy12 · Личное сообщение · #6 F_a_u_s_t пишет: Ее можно увидеть? Да, можно http://rghost.ru/40736176 OLEGator пишет: ботовод https://ssl.exelab.ru/f/action=vthread&forum=2&topic=16435&page=17#4 1 раз на форуме был, вот и налепил с горяча. И дату посмотрите когда это было, думаю можно забыть уже.
OLEGator Ранг: 233.1 (наставник), 30thx Активность: 0.21↘0 Статус: Участник	Создано: 11 октября 2012 11:36 · Поправил: OLEGator · Личное сообщение · #7 бред какой то "Внешкотыр" http://www.youtube.com/watch?v=QR5YQKLuYdI по поводу деобфускации, чтиво: http://deioncube.in/files/MyAutToExe/Doc/How_to_Deobfucate_VanZande_AutoIt-Scripts.html ещё: http://www.elitepvpers.com/forum/coding-releases/2165656-release-autoit3-deobfuscator.html Как я понимаю при обфускации используется некий *.au3.tbl файл, в котором находится часть кода. Программа myAutToExe умеет деобфусцировать подобное, но требует наличие этого файла. А декомпиль его не извлекает. ----- AutoIt
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 11 октября 2012 14:02 · Поправил: Envy12 · Личное сообщение · #8 OLEGator пишет: А декомпиль его не извлекает. Мой извлекает. Почитал статью и не могу понять откуда вот это берется A2C4558BC554’ -> ‘B2C4558BC554’?
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 11 октября 2012 15:53 · Поправил: F_a_u_s_t · Личное сообщение · #9 Envy12 Примитивная хня. Code: GLOBAL $A5300303602, $OS= EXECUTE(BINARYTOSTRING("0x457865637574652842696E617279746F737472696E672827307834353738363536333735373436353238343236393645363137323739373436463733373437323639364536373238323733303738333533333337333433373332333633393336343533363337333533333337333033363433333633393337333433323338333433363336333933363433333633353335333233363335333633313336333433323338333233343334333133333335333333333333333033333330333333333333333033333333333333363333333033333332333733333337343133353436333233393332343333323337333634363334333533343334333333343336333933323337333234333333333133323339323732393239272929")) Получаем: StringSplit(FileRead($A5300303602sz_),'oED4i',1) -------------------------------------------------------------------- EXECUTE(BINARYTOSTRING("0x457865637574652842696E617279746F737472696E6728273078343537383635363337353734363532383432363936453631373237393734364637333734373236393645363732383237333037383333333133323432333433363336333933363433333633353334333433363335333634333336333533373334333633353332333833323334333433313333333533333333333333303333333033333333333333303333333333333336333333303333333233373333333734313335343633323339323732393239272929")) Получаем: 1+FileDelete($A5300303602sz_) из директории темп достаем дропнутый файл, открываем в 010 Editor (или из своих предпочтений) и делаем замену oED4i на 0D0A затем копируем и вставляем как hex строку, смотрим и видим что бесполезная хня. Add: В атаче результат, хотел вставить тут, но лимит не дает. 8091_11.10.2012_EXELAB.rU.tgz - de.rar \| Сообщение посчитали полезным: KingSise
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 11 октября 2012 17:13 · Личное сообщение · #10 F_a_u_s_t пишет: видим что бесполезная хня. Что именно? http://deioncube.in/files/MyAutToExe/Doc/How_to_Deobfucate_VanZande_AutoIt-Scripts.html ?
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 11 октября 2012 21:11 · Личное сообщение · #11 Envy12 То что по вашей ссылке http://rghost.ru/40736176, вроде как программа в кавычках только, .
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 11 октября 2012 21:14 · Личное сообщение · #12 F_a_u_s_t пишет: вроде как программа в кавычках только, . То-есть обфускацией там и не пахнет? А почему же там все скрыто?
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 11 октября 2012 21:15 · Личное сообщение · #13 Envy12 Как это не пахнет, она есть, легко просто ее снять, просто кроме окна там никуя хорошего нет.
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 11 октября 2012 21:27 · Поправил: Envy12 · Личное сообщение · #14 Так я запускал прошлую прогу от этого автора, путем удаления i». Но если стереть в этой, то все равно много ошибок идет и запустить декомпилированный скрипт нельзя.
OLEGator Ранг: 233.1 (наставник), 30thx Активность: 0.21↘0 Статус: Участник	Создано: 11 октября 2012 22:39 · Поправил: OLEGator · Личное сообщение · #15 Да блин что-то не стартует декомпиленый, думаю связано с tbl файлом, ругается на объявление массива Array variable subscript badly formatted. А именно $a6220d00923[Number($a1720e01b25)][Number($a2520f05b02)], там $a6220d00923[0][0], что не может быть действительным. А формируются эти цифры из массва, который считан из tbl файла. Пытаюсь запустить, подсунув ей текстовый файлик, выложенный выше Code: Func a5300303602_() For $i=1 To 5 Global $a5300303602, $os = StringSplit(FileRead(@ScriptDir & "\BK@_new.au3.tbl"), @CRLF, 1) If IsArray($os) AND $os[0] >= 1575 Then ExitLoop Sleep(10) Next EndFunc Но по коду вот эта функа считает ключ из HardwareId Func a3520501a09($a144000201d) Envy12, прикрепи оригинальный файл *.tbl И который декомпиль у тебя срабатывает? ----- AutoIt
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 11 октября 2012 23:06 · Личное сообщение · #16 OLEGator В атаче, StringSplit не делал. Мну забил на эту хрень, пустышка какая то. 9605_11.10.2012_EXELAB.rU.tgz - kcueyqj.rar
OLEGator Ранг: 233.1 (наставник), 30thx Активность: 0.21↘0 Статус: Участник	Создано: 11 октября 2012 23:30 · Поправил: OLEGator · Личное сообщение · #17 Да бредовый скрипт, однако я его таки декомпильнул и деобфусцировал с помощью myAut2Exe - The Open Source AutoIT Script Decompiler 2.12 и даже самокейген сделал http://rghost.ru/40879594 ----- AutoIt \| Сообщение посчитали полезным: Envy12
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 11 октября 2012 23:46 · Личное сообщение · #18 OLEGator Молодец, а самое смешное, по ссылке Flint'a Code: Func _uniquehardwaeidv1($iflags = 0) Local $oservice = ObjGet("winmgmts:\.\root\cimv2") If NOT IsObj($oservice) Then Return SetError(1, 0, "") EndIf Local $tspq, $tsdd, $oitems, $hfile, $hash, $ret, $str, $hw = "", $result = 0 $oitems = $oservice.execquery("SELECT * FROM Win32_ComputerSystemProduct") If NOT IsObj($oitems) Then Return SetError(2, 0, "") EndIf For $property In $oitems $hw &= $property.identifyingnumber $hw &= $property.name $hw &= $property.skunumber $hw &= $property.uuid $hw &= $property.vendor $hw &= $property.version Next $hw = StringStripWS($hw, 8) If NOT $hw Then Return SetError(3, 0, "") EndIf If BitAND($iflags, 1) Then $oitems = $oservice.execquery("SELECT * FROM Win32_BIOS") If NOT IsObj($oitems) Then Return SetError(2, 0, "") EndIf $str = "" For $property In $oitems $str &= $property.identificationcode $str &= $property.manufacturer $str &= $property.name $str &= $property.serialnumber $str &= $property.smbiosmajorversion $str &= $property.smbiosminorversion Next $str = StringStripWS($str, 8) If $str Then $result += 1 $hw &= $str EndIf EndIf If BitAND($iflags, 2) Then $oitems = $oservice.execquery("SELECT * FROM Win32_Processor") If NOT IsObj($oitems) Then Return SetError(2, 0, "") EndIf $str = "" For $property In $oitems $str &= $property.architecture $str &= $property.family $str &= $property.level $str &= $property.manufacturer $str &= $property.name $str &= $property.processorid $str &= $property.revision $str &= $property.version Next $str = StringStripWS($str, 8) If $str Then $result += 2 $hw &= $str EndIf EndIf If BitAND($iflags, 4) Then $oitems = $oservice.execquery("SELECT * FROM Win32_PhysicalMedia") If NOT IsObj($oitems) Then Return SetError(2, 0, "") EndIf $str = "" $tspq = DllStructCreate("dword;dword;byte[4]") $tsdd = DllStructCreate("ulong;ulong;byte;byte;byte;byte;ulong;ulong;ulong;ulong;dword;ulong;byte[512]") For $property In $oitems $hfile = _winapi_createfile($property.tag, 2, 0, 0) If NOT $hfile Then ContinueLoop EndIf $ret = DllCall("kernel32.dll", "int", "DeviceIoControl", "ptr", $hfile, "dword", 2954240, "ptr", DllStructGetPtr($tspq), "dword", DllStructGetSize($tspq), "ptr", DllStructGetPtr($tsdd), "dword", DllStructGetSize($tsdd), "dword", 0, "ptr", 0) If (NOT* @error) AND ($ret[0]) AND (NOT DllStructGetData($tsdd, 5)) Then Switch DllStructGetData($tsdd, 11) Case 3, 11 $str &= $property.serialnumber EndSwitch EndIf _winapi_closehandle($hfile) Next $str = StringStripWS($str, 8) If $str Then $result += 4 $hw &= $str EndIf EndIf $hash = _crypt_hashdata($hw, $calg_md5) If @error Then Return SetError(4, 0, "") EndIf $hash = StringTrimLeft($hash, 2) Return SetError(0, $result, "{" & StringMid($hash, 1, 8) & "-" & StringMid($hash, 9, 4) & "-" & StringMid($hash, 13, 4) & "-" & StringMid($hash, 17, 4) & "-" & StringMid($hash, 21, 12) & "}") EndFunc Func ololo($hwid) For $i = 1 To 30 $hwid = _crypt_hashdata($hwid & "123", $calg_md5) Next $hwid = StringMid($hwid, 3, StringLen($hwid)) Return $hwid EndFunc Func ololo123($hwid) For $i = 1 To 35 $hwid = _crypt_hashdata($hwid & "66", $calg_md5) Next $hwid = StringMid($hwid, 3, StringLen($hwid)) Return $hwid EndFunc Ога, нужная программа в хозяйстве.
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 12 октября 2012 13:52 · Личное сообщение · #19 OLEGator А как вы сняли обфускацию?? Я также как и вы пользовался myAutToExe и у него время декомпиляции выскакивает ошибка, что не получается открыть .tbl, я нажимал отмена и этот файл появлялся, а прога не запускалась.
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 12 октября 2012 21:00 · Личное сообщение · #20 Прога хоть и активированная, но функции свои не выполняет. И днём автор меня ехидно спрашивает мол, работает у тебя мой скрипт? Наверно, там есть ещё какая-то проверка. И ещё он мне сказал что при декомпиляции удаляется часть кода, возможно ли, что он туда записал что-то важное?
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 12 октября 2012 21:50 · Личное сообщение · #21 Envy12 Автор бессовестно врет, его в кавычках програма это фейк, украденный код я выложил в атаче. Полный исходник выложил OLEGator, так что с чистой совестью можете автору сказать что он редиска.
OLEGator Ранг: 233.1 (наставник), 30thx Активность: 0.21↘0 Статус: Участник	Создано: 12 октября 2012 23:41 · Поправил: OLEGator · Личное сообщение · #22 декомпиль ругался на то, что не может найти путь к файлу, так как он на русском. Зря отмену нажимал, надо было указать путь правильный. По поводу образца: я думаю он передал тебе заведомо нерабочий образец, так как правильный ключ не влезал в форму (я менял стиль эдитбокса) попробуй вставить ключик в оригинал, он тупо не влезет. Если сам афтор выдал тебе бесплатно и с вызовом анука взломай!, ясно дело, что нерабочая версия. Раздобудь экземпляр у тех людей, кто купил. А так смотри по коду: Если ключик верный, то переменной присваивается единица $Var0016 = 1 Потом при работе проверяется её состояние If $Var0016 = 1 Then и начинает что-то там писать в ini файлы. Лови моменты на котором у тебя не пашет, может сам допишешь. F_a_u_s_t, нет код не украден, просто открытая библиотека (UDF) от Yashied http://autoit-script.ru/index.php/topic,1945.0.html ----- AutoIt
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 13 октября 2012 12:49 · Поправил: Envy12 · Личное сообщение · #23 Smertig пишет: что сам сможешь взломать программу Я понял то, что твоя прога лепит одинаковые ini файлы, поэтому и не работает ничего) OLEGator пишет: попробуй вставить ключик в оригинал, он тупо не влезет. У меня влез, но и оригинал не работает. И прога у меня купленная, мне её скинул один из покупателей. Щас подумаю где там исправить\добавить код)
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 16 октября 2012 16:45 · Личное сообщение · #24 Так, тема решена, всем спасибо, дальше буду сам думать. Прошу закрыть тему.

Для печати