Сейчас на форуме: igorcauret, Rio (+6 невидимых)

 eXeL@B —› Вопросы новичков —› Распаковка Autohotkey
Посл.ответ Сообщение

Ранг: 57.0 (постоянный), 10thx
Активность: 0.050.08
Статус: Участник

 Создано: 28 февраля 2015 22:21
· Личное сообщение · #1

Есть файл написанный на Autohotkey и упакованный UPX
если просто распаковать UPX то ругается file corrupted
пробовал myAutToExe.exe но в итоге получаю нечитабельный ahk файл
вот лог
Code:
  1. myAut2Exe >The Open Source AutoIT/AutoHotKey script decompiler< 2.12 build(197)
  2. ================================================================================
  3. Unpacking: C:\send\test\test.exe
  4. Scanning for AutoIt3 Signature: A3 48 4B BE 98 6C 4A A9 99 4C 53 0A 86 D6 48 7D 41 55 33 21    &#250;HK&#9563;&#255;lJ&#8976;&#214;LS
  5. &#229;&#9555;H}AU3!
  6. ...not found.
  7. Scanning for AutoIt2 Signature: A3 48 4B BE 98 6C 4A A9 99 4C 53 0A 86 D6 48 7D    &#250;HK&#9563;&#255;lJ&#8976;&#214;LS
  8. &#229;&#9555;H}
  9.  ---> ScriptStartOffset: 00034000
  10.       EndOf_PE-ExeFile : 00034000
  11.       EndOf_PE-ExeFile_ResourceData : 00033C64
  12. Extracting ExeIcon/s to: "C:\send\test\test.ico"
  13. 00034014 -> SubType: 0x03   · 
  14. ~ Note:  The following offset values are were the data ends (and not were it starts) ~
  15. Script is password protected!
  16. 00034053 -> Password/MD5PassphraseHash: 6F74397976533771634C6B3278456C477A4875626436724D65465635706155384B6D5931585443345173573366774E4A4269414F6A5A305268445067496E
  17.             ot9yvS7qcLk2xElGzHubd6rMeFV5paU8KmY1XTC4QsW3fwNJBiAOjZ0RhDPgIn
  18. MD5PassphraseHash_ByteSum: 0000150B  '+ 000022AF' => decryption key!
  19. ------------ Processing Body -------------
  20. === > Processing FILE: #1
  21. 00034057 -> ResType: FILE
  22. 0003406A -> SrcFile_FileInst: >AHK WITH ICON<
  23. 0003409A -> CompiledPathName: C:\Users\xxx2\AppData\Local\Temp\ahk6F88.tmp
  24. 0003409B -> IsCompressed: True  (01)
  25. 0003409F -> ScriptSize Compressed: 000C76AC  Decimal:816812  797 KB
  26. 000340A3 -> ScriptSize UnCompressed(used to seek to next file): 0016AE2C  Decimal:1486380  1 MB
  27. 000340B3 -> FileTime (number of 100-nanosecond intervals since January 1, 1601) 
  28.     pCreationTime:  01D0294C9727FAC5  06.01.2015 01:03:32 [397]
  29.     pLastWrite   :  01D0294C972D2B26  06.01.2015 01:03:32 [431]
  30. 000340B3 -> Begin of script data
  31. Decrypting script data...
  32. JB LZSS Signature:JB01
  33. Compressed scriptdata written to C:\send\test\test.pak
  34. Expanding script data to "test.ahk" at C:\send\test\
  35. Removing line breaks at the beginning...
  36. Seperating includes...
  37. Saving decrypted data to "test.ahk" at C:\send\test\
  38. Setting Creation and LastWrite time for: test.ahk
  39. Write data in textbox
  40. -------------------------------------------------------------------------------
  41. Processing Finished!
  42. 000FB75F -> End of script data
  43.   FileLen: 000FB767  => Overlay: 00000008
  44.   overlaybytes: 00 40 03 00 17 2C FB 7E    @ ,&#8730;~
  45. ===============================================================================
  46. DeTokenising: C:\send\test\test.ahk
  47. ERR: STOPPED!!! Required FileExtension for Tokenfiles: '.tok .mem'
  48. Rename this file manually to show that this should be detokenied.
  49. ===============================================================================
  50. Testing for Scripts that were obfuscate by 'Jos van der Zande AutoIt3 Source Obfuscator v1.0.15 [July 1, 2007]' or 'EncodeIt 2.0'
  51. ===============================================================================
  52. Testing for TextFile...
  53. Done. (Textfile=False)
  54. DeObfuscate skipped! test.ahk seems to be no text file. (because it contains 00 Bytes)
  55. Testing for TextFile...
  56. Done. (Textfile=False)
  57. Saving Logdata to : C:\send\test\test_myExeToAut.log

подскажите в каком направлении двигаться?



Ранг: 60.6 (постоянный), 87thx
Активность: 0.060
Статус: Участник

 Создано: 28 февраля 2015 22:48
· Личное сообщение · #2

В направлении выкладывания образца, для начала



Ранг: 57.0 (постоянный), 10thx
Активность: 0.050.08
Статус: Участник

 Создано: 28 февраля 2015 23:02
· Личное сообщение · #3

вот файл
http://rghost.ru/72JTxKgBW



Ранг: 60.6 (постоянный), 87thx
Активность: 0.060
Статус: Участник

 Создано: 28 февраля 2015 23:11
· Личное сообщение · #4

Вот скрипт http://rghost.net/6SH7rVZ6Z

| Сообщение посчитали полезным: zds

Ранг: 57.0 (постоянный), 10thx
Активность: 0.050.08
Статус: Участник

 Создано: 28 февраля 2015 23:30
· Личное сообщение · #5

Kaimi Спасибо большое. А можно узнать как был получен результат?

PS я изначально и не выложил файл, чтобы не получить готовое решение сразу. хотелось бы научиться самому.




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 28 февраля 2015 23:30
· Личное сообщение · #6

Kaimi ну нельзя сразу результат давать же.
zds хех, рвение - это хорошо

-----
[nice coder and reverser]

Ранг: 60.6 (постоянный), 87thx
Активность: 0.060
Статус: Участник

 Создано: 28 февраля 2015 23:36
· Личное сообщение · #7

Все просто - у меня коллекция http://i.imgur.com/CMCgVeV.png
Иногда более старая версия корректно работает, иногда более новая



Ранг: 57.0 (постоянный), 10thx
Активность: 0.050.08
Статус: Участник

 Создано: 28 февраля 2015 23:41
· Личное сообщение · #8

Kaimi спасибо. возьму на заметку



Ранг: 34.1 (посетитель), 118thx
Активность: 0.040.01
Статус: Участник

 Создано: 28 февраля 2015 23:43
· Личное сообщение · #9

Можно вручную, это тоже несложно для ahk. Ищем строки EXE corrupted, ставим бряк на начало функции. Если сработает-хорошо, нет-значит не наши второй EXE corrupted. Чуть ниже по курсу видим маленький цикл. Ставим бряк сразу после него, в регистре ECX будет лежать адрес, где лежит скрипт. Дампим, отрезаем лишнее, скармливаем AutoHotKey. Действия совершать лучше всего под XP

| Сообщение посчитали полезным: TryAga1n


Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

 Создано: 24 марта 2015 10:29
· Личное сообщение · #10

Code:
  1. Scanning for AutoIt Signature:A3 48 4B BE 98 6C 4A A9 99 4C 53 0A 86 D6 48 7D    ЈHKѕ?lJ©™LS
  2. †ЦH}
  3. 00000013 -> SubType: 0xB8  ё
  4. 00000013 -> Unexpected Script subtype: 0x000000B8 ё
  5. ~ Note:  The following offset values are were the data ends (and not were it starts) ~
  6. 00000017 -> Type2 = 
  7. Script is password protected!
  8. 00000027 -> Password/MD5PassphraseHash: 40000000000000000000000000000000
  9.             @
  10. MD5PassphraseHash_ByteSum: 00000040  '+ 22AF' => decryption key!
  11. ------------ Processing Body -------------
  12. Processing Finished!
  13. 001167FF -> End of script data   FileLen: 00116800  => Overlay: 001167D8
  14. overlaybytes: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 08 01 00 00 0E 1F BA 0E 00 B4 09 CD   
  15. >>>ATTENTION: There are more overlay data than usual <<<
  16. saving overlaydata to: C:\Users\Isaev\Desktop\auztoit\test.exe.overlay
  17. ===============================================================================
  18. Testing for Scripts that were obfuscate by 'Jos van der Zande AutoIt3 Source Obfuscator v1.0.15 [July 1, 2007]' or 'EncodeIt 2.0'

если только оверлей скидывается о чём это говорит?
и чем его деобфусцировать?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh


Ранг: 150.3 (ветеран), 175thx
Активность: 0.160.07
Статус: Участник

 Создано: 25 марта 2015 08:44
· Личное сообщение · #11

Isaev
в малваре встречалмодифицированный интерпретатор. в оверлей сначала подвешен настоящий скрипт с изменённой сигнатурой - он не детектится, а потом - фейковый, на который и клюёт декомпиль. возможно, это из той же оперы

про деобускацию на сайте myAutToExe есть статейка.
оформление жутковатое, но разобраться можно.

| Сообщение посчитали полезным: Isaev

Ранг: 0.0 (гость)
Активность: 0.250
Статус: Участник

 Создано: 25 марта 2015 21:14
· Личное сообщение · #12

Isaev пишет: и чем его деобфусцировать?

Попробовать касперским, если не возьмет, то отписать дохтору.




Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

 Создано: 26 марта 2015 10:08
· Личное сообщение · #13

F_a_u_s_t это не малваре

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

Ранг: 0.0 (гость)
Активность: 0.250
Статус: Участник

 Создано: 26 марта 2015 10:11
· Личное сообщение · #14

Isaev пишет: это не малваре

Так речь не о детекте, в KAV встроен декомпилятор AHK, AutoIt и еще какой то хрени типа bat to exe.




Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

 Создано: 02 мая 2015 00:45
· Личное сообщение · #15

кто может рассказать как отсюда вытащить скрипты?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

Ранг: 34.1 (посетитель), 118thx
Активность: 0.040.01
Статус: Участник

 Создано: 02 мая 2015 01:06
· Личное сообщение · #16

Exe2Aut под WinXP отлично справляется:
http://dropmefiles.com/jFmQu

| Сообщение посчитали полезным: Isaev, zds
 eXeL@B —› Вопросы новичков —› Распаковка Autohotkey
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати