本站首页 收藏本站
广告位联系

APP正在开发中...
返回顶部
您的位置: 主页 > 脚本 > autoit >

收藏
分享到

AutoIt脚本的反编译和代码格式化问题分析

autoit 来源:互联网 作者:佚名 发布时间:2022-08-26 11:08:22 人浏览
摘要

最近集中冒出一波AutoIt的恶意脚本来,也就多看了几个这类的样本。AutoIt脚本是以.au3为扩展名的明文脚本,但病毒作者自然不会把明文的脚本放出来。所以自然用到了AutoIt自带的这个

最近集中冒出一波AutoIt的恶意脚本来,也就多看了几个这类的样本。AutoIt脚本是以“.au3”为扩展名的明文脚本,但病毒作者自然不会把明文的脚本放出来。所以自然用到了AutoIt自带的这个Au2Exe的工具:

可以看到AutoIt允许用户将au3的明文脚本编译成exe文件或者a3x文件。exe文件自不必赘述,就是我们平时熟悉的PE文件,但如果编译成exe文件,则失去了AutoIt脚本在恶意程序领域的优势(懂的自然懂,不细说),所以目前捕获的大多数恶意样本都是将脚本编译成a3x文件。


网上比较多的是Exe2Au3的反编译工具(据说早期版本的AutoIt是自带这个工具的,后来不带了),但下了几个,都很耿直——真的都只能反编译Exe文件,而对a3x文件表示无力。最后才找到了一个叫做Autoit3 Decompiler GUI的工具(https://www.jb51.net/softs/390596.html):

用这个工具,就能很简单的将a3x文件反编译成au3的明文脚本了。BUT——为什么万事总有个BUT——反编译出来的脚本看着有些忧桑……

自媒体培训

就这代码格式……几十行还可以忍,一两百行已经是上限了……恶意代码动不动几千行,看着脑袋都大啊……本着磨刀不误砍柴工的思想,果断写了一个自动格式化脚本(by Python),贴出来和大家分享下。

说明:对AutoIt了解不多,仅针对我目前见过的脚本,做一个比较粗陋而暴力的格式化工作而已

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

#!/usr/bin/env python2.7

#-*- coding: utf-8 -*-

  

_AU3 = ';./sample.au3';

_AU3_OUT = ';./format.au3';

_INDENT = '; '; * 4

  

def au3formater(line, indent):

  line = line.strip().lower()

   

  next_indent = indent

  if (line.startswith(';end';) or

    line.startswith(';until';) or

    line in (';next';, ';wend';)):

    indent -= 1

    next_indent -= 1

  elif line.startswith(';if';) and line.endswith(';then';):

    next_indent += 1

  elif (line.startswith(';func';) or

     line.startswith(';for';) or

     line.startswith(';select';) or

     line.startswith(';switch';) or

     line.startswith(';while';) or

     line == ';do';):

    next_indent += 1

  elif line.startswith(';else';) or line.startswith(';case';):

    indent -= 1

  new_line = _INDENT * indent + line

   

  return new_line, next_indent

  

def main():

  with open(_AU3, ';r';) as fp:

    with open(_AU3_OUT, ';w';) as fpw:

      indent = 0

      line = fp.readline()

      while line:

        new_line, indent = au3formater(line, indent)

        fpw.write(';%s\n'; % new_line)

        line = fp.readline()

  

if __name__ == ';__main__';:

  main()

格式化完成后,看着就舒服多了(不确定是否是我个人的强迫症而已……):
版权声明 : 本文内容来源于互联网或用户自行发布贡献,该文观点仅代表原作者本人。本站仅提供信息存储空间服务和不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权, 违法违规的内容, 请发送邮件至2530232025#qq.cn(#换@)举报,一经查实,本站将立刻删除。

您可能感兴趣的文章 :

原文链接 :
相关文章
推荐阅读
最新更新
友情链接
  • 本站所有内容来源于互联网或用户自行发布,本站仅提供信息存储空间服务,不拥有版权,不承担法律责任。如有侵犯您的权益,请您联系站长处理!
  • Copyright © 2017-2022 F11.CN All Rights Reserved. F11站长开发者网 版权所有 | 苏ICP备2022031554号-1 | 51LA统计