allcnewsBLOGNEWSBLOGASKBLOGBLOGZSK全部技术问答问答技术问答it问答代码软件新闻开发博客电脑/网络手机/数码笔记本电脑互联网操作系统软件硬件编程开发360产品资源分享电脑知识文档中心IT全部全部分类 全部分类技术牛文全部分类教程最新 网页制作cms教程平面设计媒体动画操作系统网站运营网络安全服务器教程数据库工具网络安全软件教学vbscript正则表达式javascript批处理更多»编程更新教程更新游戏更新allitnewsJava 新闻网络医疗信息化安全创业站长电商科技访谈域名会议专栏创业动态融资创投创业学院 / 产品经理创业公司人物访谈营销 开发数据库服务器系统虚拟化云计算 嵌入式移动开发作业作业1常见软件all电脑网络手机数码生活游戏体育运动明星影音休闲爱好文化艺术社会民生教育科学医疗健康金融管理情感社交地区其他电脑互联网软件硬件编程开发360相关产品手机平板其他电子产品摄影器材360硬件通讯智能设备购物时尚生活常识美容塑身服装服饰出行旅游交通汽车购房置业家居装修美食烹饪单机电脑游戏网页游戏电视游戏桌游棋牌游戏手机游戏小游戏掌机游戏客户端游戏集体游戏其他游戏体育赛事篮球足球其他运动球类运动赛车健身运动运动用品影视娱乐人物音乐动漫摄影摄像收藏宠物幽默搞笑起名花鸟鱼虫茶艺彩票星座占卜书画美术舞蹈小说图书器乐声乐小品相声戏剧戏曲手工艺品历史话题时事政治就业职场军事国防节日风俗法律法规宗教礼仪礼节自然灾害360维权社会人物升学入学人文社科外语资格考试公务员留学出国家庭教育学习方法语文物理生物工程学农业数学化学健康知识心理健康孕育早教内科外科妇产科儿科皮肤科五官科男科整形中医药品传染科其他疾病医院两性肿瘤科创业投资企业管理财务税务银行股票金融理财基金债券保险贸易商务文书国民经济爱情婚姻家庭烦恼北京上海重庆天津黑龙江吉林辽宁河北内蒙古山西陕西宁夏甘肃青海新疆西藏四川贵州云南河南湖北湖南山东江苏浙江安徽江西福建广东广西海南香港澳门台湾海外地区

AutoIt脚本的反编译和代码格式化问题分析

日期:2016/5/5 17:16:00 来源:本网整理
s">

AutoIt脚本的反编译和代码格式化问题分析

投稿:mdxy-dxy 字体:[增加 减小] 类型:转载 时间:2015-10-19 我要评论

这篇文章主要介绍了AutoIt脚本的反编译和代码格式化问题分析,需要的朋友可以参考下 dy("art_up") ">

最近集中冒出一波AutoIt的恶意脚本来,也就多看了几个这类的样本。AutoIt脚本是以“.au3”为扩展名的明文脚本,但病毒作者自然不会把明文的脚本放出来。所以自然用到了AutoIt自带的这个Au2Exe的工具:

可以看到AutoIt允许用户将au3的明文脚本编译成exe文件或者a3x文件。exe文件自不必赘述,就是我们平时熟悉的PE文件,但如果编译成exe文件,则失去了AutoIt脚本在恶意程序领域的优势(懂的自然懂,不细说),所以目前捕获的大多数恶意样本都是将脚本编译成a3x文件。


网上比较多的是Exe2Au3的反编译工具(据说早期版本的AutoIt是自带这个工具的,后来不带了),但下了几个,都很耿直——真的都只能反编译Exe文件,而对a3x文件表示无力。最后才找到了一个叫做Autoit3 Decompiler GUI的工具(http://www.tuxi.com.cn/softs/390596.html):

用这个工具,就能很简单的将a3x文件反编译成au3的明文脚本了。BUT——为什么万事总有个BUT——反编译出来的脚本看着有些忧桑……

就这代码格式……几十行还可以忍,一两百行已经是上限了……恶意代码动不动几千行,看着脑袋都大啊……本着磨刀不误砍柴工的思想,果断写了一个自动格式化脚本(by Python),贴出来和大家分享下。

说明:对AutoIt了解不多,仅针对我目前见过的脚本,做一个比较粗陋而暴力的格式化工作而已

#!/usr/bin/env python2.7
#-*- coding: utf-8 -*-
 
_AU3 = ';./sample.au3';
_AU3_OUT = ';./format.au3';
_INDENT = '; '; * 4
 
def au3formater(line, indent):
  line = line.strip().lower()
  
  next_indent = indent
  if (line.startswith(';end';) or
    line.startswith(';until';) or 
    line in (';next';, ';wend';)):
    indent -= 1
    next_indent -= 1
  elif line.startswith(';if';) and line.endswith(';then';):
    next_indent += 1
  elif (line.startswith(';func';) or 
     line.startswith(';for';) or 
     line.startswith(';select';) or
     line.startswith(';switch';) or
     line.startswith(';while';) or
     line == ';do';):
    next_indent += 1
  elif line.startswith(';else';) or line.startswith(';case';):
    indent -= 1
  new_line = _INDENT * indent + line
  
  return new_line, next_indent
 
def main():
  with open(_AU3, ';r';) as fp:
    with open(_AU3_OUT, ';w';) as fpw:
      indent = 0
      line = fp.readline()
      while line:
        new_line, indent = au3formater(line, indent)
        fpw.write(';%s\n'; % new_line)
        line = fp.readline()
 
if __name__ == ';__main__';:
  main()

格式化完成后,看着就舒服多了(不确定是否是我个人的强迫症而已……):

当然,即便是看着舒服些了,即便是明文脚本,几千行的代码看着也是很忧桑的

  • 本文相关:
  • AutoIT写的禁止QQ运行的程序代码
  • autoit3最新汉化版下载
  • QQ向陌生人聊天的autoit脚本
  • autoit 命令行参数说明
  • Aut2Exe编译au3脚本为可执行文件
  • 用autoit编写第一个脚本(Hello World)
  • autoit自定义函数
  • autoit GUI相关知识
  • autoit HotKeySet 函数
  • autoit InputBox 函数
  • 免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved