Ich hab es zum größten Teil neu geschrieben und es einfacher gemacht, neue Versionen und Packer hinzuzufügen. Wie immer ist alles in MASM32 geschrieben und alles von mir reversed.
Wie das neue Fenster aussieht:
Unterstützte Versionen: AutoIt:
v3.3.12.0
vx.x.x - Shadow992
AutoHotKey:
v1.0.48.05
v1.1.15.00
Unterstützte Packer:
UPX 3.91w
UPX 3.03w
Shadow992 - Obfuscator
Dein Packer oder deine Version wird nicht unterstützt? Dann send mir eine Private Nachricht mit deiner Datei die nicht dekompiliert werden kann! (AutoIt Version und Packer natürlich als Information)
Hab ich mir gerade mal runter geladen
werde ich mir morgen mal angucken sieht jedenfalls nicht so aus als wäre das schwer
Edit:
Hab nun den AHK-Decompiler hinzugefügt, ist ja noch schlechter als AutoIt.
Wird mal Zeit, dass der AutoIt Compiler einen Nachfolger bekommt. Momentan tut sich bei AutoIt ja nicht viel (fehlendes Multithreading, fehlende Datentypen, teilweise komisches Verhalten, fehlendes OOP) und Decompilertechnisch ist AutoIt eh schon ausgelutscht.
Wird mal Zeit, dass der AutoIt Compiler einen Nachfolger bekommt. Momentan tut sich bei AutoIt ja nicht viel (fehlendes Multithreading, fehlende Datentypen, teilweise komisches Verhalten, fehlendes OOP) und Decompilertechnisch ist AutoIt eh schon ausgelutscht.
Man braucht nicht mal 5 Minuten um zum Interpreter zu kommen ( mit Olly )
Würde der Runner wenigstens nicht so offensichtliche Daten beinhalten wie "> AUTOITSCRIPT <" oder sowas ich meine das hätten die gleich ändern können in "HIER WIRD DER SOURCECODE GELADEN!!!!".
was auch noch interessant währe das du eine option einbaust die autoit scripte nicht ausführt sondern in der .exe nach quellcode schaut. bei vorherigen autoit versionen war das jedenfalls möglich. kann dir da auch source zu geben
(der source war immer an einer bestimmten stelle die mit pattern scan dann in der datei gefunden wurde. dann musste man das script "nur" noch entschlüsseln)
Habs so gemacht weil ich direkt an den "Source" komme und so nicht viel ändern muss außer halt übersetzen
Wie man das Script findet weiß ich auch ( bei v3.3.12.0 ist die Datei sowieso im Resource Header lol ) und das Entschlüsseln etc. hab ich auch schon gefunden nur hab ich keine Lust das alles in MASM zu schreiben und außerdem wären Dateien die mit z.B UPX oder anderen Packern gepackt sind immun gegen meinen Decompiler weil ich erstmal die Datei entpacken müsste und dann den Source rauskratzen müsste
Falls es aber größeres Interesse an einem Statischen Decompiler gibt könnte ich das ganze auch einmal komplett reversen und releasen .
das beste an der methode wäre halt einfach das du die datei nicht ausführst und somit auf der sicheren seite bist.
upx entpackt sich ja quasi selbst und für die anderen packer müsste man das programm nur solange ausführen bis es unpacked im speicher ist.
Wäre toll mal so einen decompiler in kommentiertem c# code zu haben weil ich verstehs einfach mit meinem aktuellen wissenstand nicht.
das beste an der methode wäre halt einfach das du die datei nicht ausführst und somit auf der sicheren seite bist.
upx entpackt sich ja quasi selbst und für die anderen packer müsste man das programm nur solange ausführen bis es unpacked im speicher ist.
Wäre toll mal so einen decompiler in kommentiertem c# code zu haben weil ich verstehs einfach mit meinem aktuellen wissenstand nicht.
Wäre eine Möglichkeit, die Scripts werden ja sowieso nicht ausgeführt weil ich nur bis zum ersten Element gehe und danach den Prozess schließe
Ich denke einfach mal darüber nach
C# kann ich leider nicht so gut aber ich könnte es in Pseudocode-C übersetzen
Wäre eine Möglichkeit, die Scripts werden ja sowieso nicht ausgeführt weil ich nur bis zum ersten Element gehe und danach den Prozess schließe
Ich denke einfach mal darüber nach
C# kann ich leider nicht so gut aber ich könnte es in Pseudocode-C übersetzen
hauptsache kein asm. und vielleicht kommentiert damit man weis was genau gemacht wird
Quote:
Originally Posted by snow
Sehr schönes Projekt, sicher für einige sehr nützlich.
#sticked
ehm als sticky jetzt weils open source ist? weil ich mein der beste autoit decompiler ist immer noch .
also ich hab jetzt nichts dagegen.