• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    AutoIt脚本的反编译和代码格式化问题分析

    最近集中冒出一波AutoIt的恶意脚本来,也就多看了几个这类的样本。AutoIt脚本是以“.au3”为扩展名的明文脚本,但病毒作者自然不会把明文的脚本放出来。所以自然用到了AutoIt自带的这个Au2Exe的工具:

    可以看到AutoIt允许用户将au3的明文脚本编译成exe文件或者a3x文件。exe文件自不必赘述,就是我们平时熟悉的PE文件,但如果编译成exe文件,则失去了AutoIt脚本在恶意程序领域的优势(懂的自然懂,不细说),所以目前捕获的大多数恶意样本都是将脚本编译成a3x文件。


    网上比较多的是Exe2Au3的反编译工具(据说早期版本的AutoIt是自带这个工具的,后来不带了),但下了几个,都很耿直——真的都只能反编译Exe文件,而对a3x文件表示无力。最后才找到了一个叫做Autoit3 Decompiler GUI的工具(https://www.jb51.net/softs/390596.html):

    用这个工具,就能很简单的将a3x文件反编译成au3的明文脚本了。BUT——为什么万事总有个BUT——反编译出来的脚本看着有些忧桑……

    就这代码格式……几十行还可以忍,一两百行已经是上限了……恶意代码动不动几千行,看着脑袋都大啊……本着磨刀不误砍柴工的思想,果断写了一个自动格式化脚本(by Python),贴出来和大家分享下。

    说明:对AutoIt了解不多,仅针对我目前见过的脚本,做一个比较粗陋而暴力的格式化工作而已

    #!/usr/bin/env python2.7
    #-*- coding: utf-8 -*-
     
    _AU3 = ';./sample.au3';
    _AU3_OUT = ';./format.au3';
    _INDENT = '; '; * 4
     
    def au3formater(line, indent):
      line = line.strip().lower()
      
      next_indent = indent
      if (line.startswith(';end';) or
        line.startswith(';until';) or 
        line in (';next';, ';wend';)):
        indent -= 1
        next_indent -= 1
      elif line.startswith(';if';) and line.endswith(';then';):
        next_indent += 1
      elif (line.startswith(';func';) or 
         line.startswith(';for';) or 
         line.startswith(';select';) or
         line.startswith(';switch';) or
         line.startswith(';while';) or
         line == ';do';):
        next_indent += 1
      elif line.startswith(';else';) or line.startswith(';case';):
        indent -= 1
      new_line = _INDENT * indent + line
      
      return new_line, next_indent
     
    def main():
      with open(_AU3, ';r';) as fp:
        with open(_AU3_OUT, ';w';) as fpw:
          indent = 0
          line = fp.readline()
          while line:
            new_line, indent = au3formater(line, indent)
            fpw.write(';%s\n'; % new_line)
            line = fp.readline()
     
    if __name__ == ';__main__';:
      main()

    格式化完成后,看着就舒服多了(不确定是否是我个人的强迫症而已……):

    当然,即便是看着舒服些了,即便是明文脚本,几千行的代码看着也是很忧桑的

    您可能感兴趣的文章:
    • Python+AutoIt实现界面工具开发过程详解
    • python+selenium+autoit实现文件上传功能
    • 使用AutoIT实现自动登录/退出客户端软件,删除日志
    • autoit 更改个人文件夹的小工具
    • AutoIt3和按键精灵的功能对比
    • autoit入门教程小结
    • autoit GUI相关知识
    • Python selenium使用autoIT上传附件过程详解
    上一篇:获取外网IP并发送到指定的邮箱的脚本
    下一篇:sp官方出品用Seraph不被封号方法(图文教程)
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    AutoIt脚本的反编译和代码格式化问题分析 AutoIt,脚本,的,反,编译,和,