AutoIt3 Decompiler

Page 5 of 9

02/17/2012 11:01 link#61

So.. hab das Tool nach l�ngerer Zeit mal wieder geupdated.
Hat sich nicht viel ge�ndert.. Es werden jetzt nur zus�tzlich auch ansatzweise 64bit AutoIt Exen unterst�tzt.
Hab erst seit k�rzerer Zeit einen 64bit Rechner und musste mir erstmal anschauen, wie x64 asm funktioniert.
x64 FileInstalls und Packer wie Themida oder Armadillo werden noch nicht unterst�tzt (muss ich mir sp�ter noch angucken).

Au�erdem sind noch ein paar Bugs drinnen, an die ich mich auch noch machen muss (FileInstalls deaktivieren, wenn das Tool crasht und als letztes "FileInstall(" anzeigt).
Wenn ihr auf weitere sto�t, bitte melden :) Feedback ist auch erw�nscht.

02/28/2012 10:05 Crack-7#62

Wirklich nice.

Mal eine Frage ist der Decompiler Runtime?
Also f�hrt er das Script kurz aus, um an Packern etc. Vorbei zu kommen?
W�re n�mlich zum analysieren von schadware nich sehr gut Q_Q

Andere frage.
Viele denken ja, wenn sie ihr Script Obfuscaten sein sie sicher.
Aber wenn man den Inhalt der Executes einfach ausf�hrt, und das ergebnis irwohin speichert, kann man das komplette Script deobfuscaten.

Eine Idee, ob du das Automatisieren k�nntest bzw einbauen k�nntest?

Weil ich sehe deinen release als einen hilfeschrei an, den ganzen scriptkiddys zu zeigen, dass sie eine andere sprache lernen sollten, und das find ich gut.

Hab mir schon einen Autoit Deobfuscator gebastelt, aber ist nich so einfach implementierbar.

Nutze eiglich alles nur um fake trainer zu analysieren, und schadware aufzudecken.

02/28/2012 16:42 link#63

Ja, die Exe wird ausgef�hrt. Hei�t wenn der Virenscanner Alarm schl�gt, dass die Exe mit einem Virus infiziert ist oder einen Trojaner gebindet hat, dann w�rde solcher Schadcode auch ausgef�hrt werden. Ich hab deswegen hier und da Warnungen hingeschrieben, dass man nur sichere Dateien in das Fenster droppen soll.

Es ist zwar gegen�ber einer statischen Analyse ein gro�es Manko, dass man solche infizierten Dateien nicht sicher dekompilieren kann, allerdings ging es mir auch mehr um AutoIt selber.
Das eingebettete AutoIt Script wird n�mlich nicht ausgef�hrt. Und wenn eine Exe mit einem Virus infiziert ist oder einen Trojaner gebindet hat, hat das nicht mehr viel mit der AutoIt-Exe an sich zu tun.
Wenn ich ehrlich bin, habe ich das Tool f�r den Fall geschrieben, wenn man ein funktionierendes AutoIt Programm hat und man sich dessen Source Code gerne ansehen w�rde..

Nachteil ist halt, dass man infizierte Exen nicht dekompilieren kann, ohne selber infiziert zu werden.
Der Vorteil ist, dass AutoIt-Exen, die nicht infiziert sind, gepackt sein k�nnen und man den Src dennoch wiederherstellen kann.

Aber wenn eine AutoIt-Exe infiziert ist, liegt das ja nicht am eingebetten AutoIt-Code, hei�t entweder ist da dann nur Crap drinnen oder man hat sich ein Tool von einer unseri�sen Seite geladen und muss es sich dann halt von der offiziellen Seite ohne Virus/Trojaner holen.

Wie cw2k schon meinte, w�re es wohl sicherer, wenn man mein Tool in einer Sandbox startet.

Zeig doch mal mit einem Beispielcode, was f�r eine Art von Obfuscation du genau meinst.

02/28/2012 19:34 Crack-7#64

Quote:

Originally Posted by link

Ja, die Exe wird ausgef�hrt. Hei�t wenn der Virenscanner Alarm schl�gt, dass die Exe mit einem Virus infiziert ist oder einen Trojaner gebindet hat, dann w�rde solcher Schadcode auch ausgef�hrt werden. Ich hab deswegen hier und da Warnungen hingeschrieben, dass man nur sichere Dateien in das Fenster droppen soll.

Es ist zwar gegen�ber einer statischen Analyse ein gro�es Manko, dass man solche infizierten Dateien nicht sicher dekompilieren kann, allerdings ging es mir auch mehr um AutoIt selber.
Das eingebettete AutoIt Script wird n�mlich nicht ausgef�hrt. Und wenn eine Exe mit einem Virus infiziert ist oder einen Trojaner gebindet hat, hat das nicht mehr viel mit der AutoIt-Exe an sich zu tun.
Wenn ich ehrlich bin, habe ich das Tool f�r den Fall geschrieben, wenn man ein funktionierendes AutoIt Programm hat und man sich dessen Source Code gerne ansehen w�rde..

Nachteil ist halt, dass man infizierte Exen nicht dekompilieren kann, ohne selber infiziert zu werden.
Der Vorteil ist, dass AutoIt-Exen, die nicht infiziert sind, gepackt sein k�nnen und man den Src dennoch wiederherstellen kann.

Aber wenn eine AutoIt-Exe infiziert ist, liegt das ja nicht am eingebetten AutoIt-Code, hei�t entweder ist da dann nur Crap drinnen oder man hat sich ein Tool von einer unseri�sen Seite geladen und muss es sich dann halt von der offiziellen Seite ohne Virus/Trojaner holen.

Wie cw2k schon meinte, w�re es wohl sicherer, wenn man mein Tool in einer Sandbox startet.

Zeig doch mal mit einem Beispielcode, was f�r eine Art von Obfuscation du genau meinst.

Das mit dem Runtime hat mich nur Interessiert ^^
Ja file in sandbox starten, sich den pfad der autoit exe holen, und die dann halt analysieren ist genug ^^

Wegen deobfucating, kann ich dir nicht den source geben, weil ich ihn nicht mehr habe (Pc Neu Installiert ^^)

Aber kann dir die arbeitsweise erkl�ren.

Er kopiert sich den kompletten source in temp.
Er scannt nach

Code:

Execute(BinaryToString("

und ersetzt alles was zwischen mit execute und binarytostring verschl�sselt ist, mit dem in hex verschl�sseltem text.

Manchmal werden auch teile des hexcodes mit "StringLen("blabla")" verschl�sselt, deshalb entschl�sselung am besten in autoit machen.

05/11/2012 14:32 Greedzz#65

Guten Tag!
Datei, die nicht dekompiliert wird: _http://dl.dropbox.com/u/61913146/AHK_Script.rar

K�nnen Sie helfen?

05/11/2012 15:39 Achat#66

Quote:

Originally Posted by Greedzz

Guten Tag!
Datei, die nicht dekompiliert wird: _http://dl.dropbox.com/u/61913146/AHK_Script.rar

K�nnen Sie helfen?

AHK = Auto Hot Key?

Es ist ein "AutoIt3 Decompiler" ;)

F�r AHK Scripte musst du einen anderen Decompiler benutzen.

MfG

Edit: Der Thread ist ja in der Release Section :O

Coding Releases
Releases from our epvp*coders [no questions]

#reported

05/11/2012 15:48 omer36#67

Quote:

Originally Posted by Achat

Edit: Der Thread ist ja in der Release Section :O

Coding Releases
Releases from our epvp*coders [no questions]

#reported

Das gilt glaube ich eher f�r den Thread Ersteller.
Innerhalb eines Releases darf mann nat�rlich Fragen, Fehlermeldungen ect. bez�glich des geposteten Programms stellen.

05/11/2012 16:14 link#68

Like you wrote yourself, it's an AutoHotkey executable.
My tool only supports AutoIt3, so unfortunately it cannot work with your file.
Anyhow, I did it manually and attached its source.

05/11/2012 18:31 Greedzz#69

Tut mir sehr leid f�r die Regeln zu brechen.

link, Thanks for the manual decompilation!
p.s.
I knew that AHK is a fork of the project Autoit. And I thought that your program is also able to decompile.
Do you plan to implement in your program support AHK?

05/29/2012 07:26 Koron#70

Hi,

egal welche Autoitexe ich in das Fenster ziehe bekomme ich leider nur die Meldung "Something went wrong..". Woran k�nnte das liegen? Es sind x86 kompiliere Autoitscripte.

Edit: Ok auf 32-bit Rechner geht das ganze.

07/27/2012 21:08 dk101#71

Quote:

Originally Posted by Che

Quote:

Originally Posted by link

@〤Che〤:
Wtf, das ist aber nicht von mir..
Wann genau werden diese Dateien erstellt, also was führst du aus?

Wie soll das Tool denn seinen eigenen Source wiederherstellen?
Ist doch nicht in AutoIt geschrieben :P

Uhm wtf? ;D
Hab mir dein lustiges Prog runtergeladen, entpackt (alles ausm Archiv entzippt), das Prog ausgeführt, 3 Minuten gewartet und gedacht: Wann startet das ding endlich? Dann kam die Meldung vom Avira, dass er das Tool geblockt + gelöscht hat und dann hab ich mir gedacht: Scheiß Avira, hab Avira ausgeschaltet und die Dateien wiederhergestellt und wollte dann ausm Sample Ordner n paar Dateien ausprobieren und merk so, dass da n haufen Dateien sind, denk mir WTF? und hab mich gewundert was das is...
Achja: Beim Themida (wars Themida? glaube schon) gibt er mir n Error aus (kann nicht decompilet werden bla bla) und wenn ich die Datai direkt ausführ (also das Themida-gepackte ding) sagt er mir, dass ich es ned ausführen kann, weil nur der, der es gepackt hat ausführen darf .... o.O

Achja: Hab jetzt endlich meinen Release zum 500. draußen, kann wieder fröhlich 20 Posts am Tag tippen

Posted from elitepvpers.com App for Android

07/28/2012 17:31 link#72

ja?

08/01/2012 03:59 _slimshady_#73

Hello guys my autoit exe is version 3.2.2.0, is there something that can decompile it?

08/19/2012 12:35 mrbrandom#74

Hello. I'm having trouble decompiling AutoIt v3 Script: 3, 3, 8, 1.

It used to work fine with the previous version of the script, but I guess the developer changed something. Any suggestions?

(please excuse my rusty German, I've only studied it for 3 years about 6 years ago)

Hallo. Ich habe Probleme mit dem Decompiler. Er st�rzt. Es funktionierte gut mit fr�heren Version des Skripts. Irgendwelche Vorschl�ge?

08/20/2012 15:28 link#75

When deobfuscating JvdZ I'm using a static-sized buffer instead of strlen + malloc for a little more speed, which is a little too small for the file you sent me.
I'll fix it later on.

Page 5 of 9

« First

Last »