Декомпиляция файла AutoIt

Сейчас на форуме: tyns777, bezumchik, Lohmaty (+7 невидимых)

Посл.ответ	Сообщение
programnoob Ранг: 0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 16 мая 2018 08:22 · Личное сообщение · #1 Добрый день уважаемые форумчане. Помогите не могу не как раскомпилировать код скрипта написанного на auto it. Пользуюсь версией myaut2exe 2.15 при декомпиляции получаю tok файл, а что дальше с ним делать не в курсе, где бы я его не открыл он с нечитаемым текстом. Может вообще я делаю все не так. Подскажите пожалуйста буду очень признателен. вот сам файл: http://rgho.st/72YM6HWC4 вот tok файл: http://rgho.st/6SSj649NL

Boostyq Ранг: 90.1 (постоянный), 91thx Активность: 0.29↗0.56 Статус: Участник	Создано: 16 мая 2018 08:34 · Личное сообщение · #2 Попробуй поискать другие декомпиляторы Не знаю, что есть сейчас, но раньше например был трюк, если вставить определенную строку в начало файла, то файл декомпилировался как пустой На твоем файле скорее всего тоже защита от декомпиляции или поверх собранного файла что нибудь еще висит ----- В облачке многоточия
SDK Ранг: 54.0 (постоянный), 49thx Активность: 0.72↗1.1 Статус: Участник	Создано: 16 мая 2018 08:46 · Поправил: SDK · Личное сообщение · #3 autoit-script.ru/ форум по этому языку " информация из википедии " проверьте сам ехе на упаковщики и обфускаторы.
programnoob Ранг: 0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 16 мая 2018 08:49 · Личное сообщение · #4 Boostyq спс за предложение, из тех что я находил, кроме этого вообще не хотело декомпилировать, в сети мало вообще инфы об этой всей шняге. Поищу еще, но скорее всего только знающие и имеющие дело с этой декомпиляций в курсе всех подводных камней.
Boostyq Ранг: 90.1 (постоянный), 91thx Активность: 0.29↗0.56 Статус: Участник	Создано: 16 мая 2018 09:24 · Поправил: Boostyq · Личное сообщение · #5 programnoob пишет: Boostyq спс за предложение, из тех что я находил, кроме этого вообще не хотело декомпилировать, в сети мало вообще инфы об этой всей шняге. Поищу еще, но скорее всего только знающие и имеющие дело с этой декомпиляций в курсе всех подводных камней. Нету подводных камней, обычная борьба: одни защищают - другие взламывают И я советую искать другой декомпиль, потому что файл который ты скинул можно разобрать целиком, ищи декомпилятор с фиксом трюка #EndRegion, особенно на немецких гейм-хакинг форумах (вообще такой сайт один самый популярный) Но скрипт, как я понимаю, коммерческий, так что скинуть сорсы не могу ----- В облачке многоточия
programnoob Ранг: 0.2 (гость) Активность: 0=0 Статус: Участник	Создано: 16 мая 2018 09:54 · Личное сообщение · #6 Boostyq т.е. ты его уже раскомпилировал?
raduga_fb Ранг: 1.9 (гость) Активность: 0=0 Статус: Участник	Создано: 16 мая 2018 15:30 · Личное сообщение · #7 http://domoticx.com/autoit3-decompiler-exe2aut/ exe2aut captime.exe 1910_16.05.2018_EXELAB.rU.tgz - captime_.rar
Vamit Ранг: 331.1 (мудрец), 561thx Активность: 0.19↘0.06 Статус: Участник	Создано: 02 марта 2019 10:57 · Личное сообщение · #8 Вот что хочу спросить, есть скрипт .au3 с обфускацией AutoIt Obfuscator v1.2, например Code: Func IjyvgdmdKgehkFunc($var_1873, $HLEMFQ, $g_tHpzimlgw) Local $LQF1hNVvd_IFz_cr6_K[($fArrzuvreq[5] < $v96s3kMvZR_pcu_4_8tHSR ? 1 : $UWKOE_EZBXXWRJ_LLKOGXT)] = [($idOtsghavxxgYkviixbprp = $idOtsghavxxgYkviixbprp ? 29632 : $Ko2LWpS_R34l6xvIHq_bLSP_)] For $FhOaB = ($1ND__aq9LlmicBs_R8 >= $CPHEJX_LSFXJYOBLW_LZYERGOHE() ? $sThcjjuxjuaFrbtmmapd() : 0) To ($1ND__aq9LlmicBs_R8 < $v96s3kMvZR_pcu_4_8tHSR ? 0 : $var_1905[10]) $fskGA = $LQF1hNVvd_IFz_cr6_K[$FhOaB] $fskGA = $fskGA - 1 $fskGA -= $FhOaB $fskGA = $w_w9TkJ_jf3dMWXtI_PtP9_($fskGA, 0x73FB) $LQF1hNVvd_IFz_cr6_K[$FhOaB] = $ZGZYVU($var_465($fskGA, ($AKUOKK >= $g_mAlkubbv[5] ? $CPHEJX_LSFXJYOBLW_LZYERGOHE() : 65535))) Next $LQF1hNVvd_IFz_cr6_K = $var_2100($LQF1hNVvd_IFz_cr6_K, "") Return $LQF1hNVvd_IFz_cr6_K EndFunc возможно ли получить читаемый текст и каким образом, всё что есть в сети датировано примерно 2012 годом и естественно не работает. ----- Everything is relative...
TryAga1n Ранг: 262.5 (наставник), 337thx Активность: 0.34↘0.25 Статус: Участник	Создано: 02 марта 2019 12:23 · Личное сообщение · #9 По сути, все методы обфускации описаны тут: https://www.pelock.com/products/autoit-obfuscator Не думаю, что есть автоматизированное решение. Следовательно для деобфускации нужен блокнот,search/replace, калькулятор и куча свободного времени, ибо придется все делать руками Ну либо дождаться, когда инди напишет ядерный мотор, который обработает стопицот семплов, выведет закономерности и обучит свою нейросеть.
Vamit Ранг: 331.1 (мудрец), 561thx Активность: 0.19↘0.06 Статус: Участник	Создано: 02 марта 2019 14:30 · Личное сообщение · #10 Следовательно для деобфускации нужен блокнот,search/replace, калькулятор и куча свободного времени, ибо придется все делать руками Это понятно, т.е. получается что исходные имена "потеряны" навсегда и заменены каким-то псевдо-рандомным кодом или все-таки этот псевдо-рандомный код, зная алгоритм кодирования, можно преобразовать к исходному виду - вот в чем главный вопрос. ----- Everything is relative...
DenCoder Ранг: 324.3 (мудрец), 222thx Активность: 0.48↘0.37 Статус: Участник	Создано: 02 марта 2019 14:39 · Личное сообщение · #11 Во-первых, тут бы не помешало вырвиглазные имена переменных привести хотя бы к виду a1, a2, ... А так, вижу таблицу, из в которой в цикле берётся элемент за элементом, преобразуется функцией w_w9TkJ_jf3dMWXtI_PtP9_(), следом взятый элемент преобразуется другой функцией ----- IZ.RU
Vamit Ранг: 331.1 (мудрец), 561thx Активность: 0.19↘0.06 Статус: Участник	Создано: 02 марта 2019 14:47 · Поправил: Vamit · Личное сообщение · #12 функция это Global $w_w9TkJ_jf3dMWXtI_PtP9_ = BitXOR, т.е. стандартная из AutoIt но вот это уже Global $oEMnl7M__5GuyrnjPz_ = OqzojttvwwGsdsmjbZhfsh юзерная функа и её имя пошифровано Меня интересует пока не возможность получение более-менее читаемого кода, а возможность восстановления исходных имен, возможно ли это. Добавлено спустя 23 минуты Причем самого обфускатора AutoIt Obfuscator v1.2 у нас нет, как я понял он работает онлайн и смотреть тут нечего, вот сама функция обфускации скриптов: Code: public JsonValue Obfuscate(NameValueCollection paramsArray) { JsonValue result; try { if (Utils.IsRunningOnMono()) { ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(this.MyRemoteCertificateValidationCallback); } byte[] bytes = new WebClient().UploadValues("https://www.pelock.com/api/autoit-obfuscator/v1", "POST", paramsArray); result = JsonValue.Parse(Encoding.UTF8.GetString(bytes)); } catch (Exception) { result = null; } return result; } ----- Everything is relative...
Boostyq Ранг: 90.1 (постоянный), 91thx Активность: 0.29↗0.56 Статус: Участник	Создано: 02 марта 2019 15:39 · Поправил: Boostyq · Личное сообщение · #13 Vamit пишет: восстановления исходных имен Нет, интерпретатору пофиг какое имя, главное чтобы оно было уникальным, если заменить его везде как делается в обфускаторе то утеряны навсегда Так что скорее всего это просто рандомные имена, если только автор бэкдор себе не оставил ----- В облачке многоточия \| Сообщение посчитали полезным: TryAga1n

Для печати