DeObfuscation

08/13/2011 08:06 freehuntx#1

Hallo Leute.

Beim Obfuscaten eines Scripts in autoit, werden die meisten funktionen, je nach einstellungen auf bestimmte art und weise verschl�sselt.

Dabei wird z.B. f�r den Befehl "Exit" der text per Execute und BinarytoString im Script Entschl�sselt.

Wenn man nun in einem Decompilierten Script, an einer bestimmten stelle platz macht, und diese verschl�sselten zeilen nach und nach einf�gt, und execute mit clipput ersetzt, und dahinter ein exit setzt, wird nach ausf�hren des scripts die entsprechende zeile entschl�sselt, ins clipboard gesetzt, und das script beendet sich, und man kann weiter machen mit dem entschl�sseln.

Ich bin gerade dabei zu versuchen, das ganze zu automatisieren, und wollte fragen ob jemand mit gen�gend kenntnissen lust h�tte mitzumachen.

Bevor jetzt das geflame anf�ngt, ich sei ein Leecher, und h�tte es n�tig fremde Programme zu entschl�sseln etc, solltet ihr ernsthaft �ber euch nachdenken.

08/13/2011 10:10 bassbanane#2

Ich habe mal ein wenig rumprobiert und wenn man "Execute(" durch "clipput(Clipget()&@CRLF&" ersetzt und das Script anschlie�end ausf�hrt, hat man schonmal einen aufger�umteren SourceCode.
Jedoch sind die Variablen ja mit keinem Execute versehen und somit noch obfuscated.

08/13/2011 10:27 freehuntx#3

Variablen, werden ja obfuscated, z.B. wir aus "_Hello()" "T_T0x34563734565".

VariablenNamen kann man sich einfach selbst aussuchen.

Man kann ja in der Funktion sehen was sie macht, und sich dann einfach eigene namen daf�r aussuchen, und �berall ab�ndern.

Naja ich habe es mir so Vorgestellt.

1. Ein Entsprechendes Script wird ge�ffnet.
2. Es wird nach dem 2. Execute( im script, Freiraum von 5 Zeilen gesetzt.
3. In dieser Zeile wird jedes Execute Entschl�sselt, und in Clipput Gesetzt.
4. Die Entschl�sselten Strings, werden in einer TextDatei Zeile f�r Zeile eingef�gt.
5. Beim OrginalScript, wird das erste Execute( gesucht, und aus der Textdatei der code ausgelesen, und dadurch ersetzt.

Wird sicherlich alles Kompliziert.

08/13/2011 11:18 buFFy!#4

wozu das ganze? in ida hast du doch auch nur die addresse als namen. dabei spielt der funktionsname nicht wirklich ne rolle.

oder hab ich das prinzip jetzt falsch verstanden?

btw, wenn ich ne exe die durch myauttoexe erstellt wurde dekompiliere bleibt da nix mehr verschl�sselt

08/13/2011 11:22 freehuntx#5

Nein ich wollte ihm nur seine Frage, oder was das sein wollte, beantworten.
Das Variablennamen keine Rolle Spielen wei� ich ja.

Ich h�tte eine frage.

Wei� jemand ob es m�glich ist, zu �berpr�fen ob ein bestimmter string kein Leerzeichen davor hat?

z.B. wenn eine Zeile sofort mit Execute( anf�ngt, damit man die Executes die ein leerzeichen davor haben, ignorieren kann.

08/13/2011 13:07 Shadow992#6

Du solltest zuerst einmal kl�ren um welchen Obfuscator es geht, sonst wird sich wohl keiner so schnell melden. ;)

Und danach solltest du dein Anliegen etwas konkreter fassen.
Willst du einen kompletten Deobfuscator oder willst du "nur" das Execute wieder "normal" machen?
Denn ein kompletter Deobfuscator w�rde auch noch Variablen umbenennen und auch konstante Variablen, deren Werte meist irgendwie verschl�sselt sind deobfuscaten usw.

08/13/2011 13:34 bassbanane#7

Ich glaube, ich habe verstanden, was du genau m�chtest.
Ich setze mich heute Abend mal ran.
Habe daf�r schon eine Idee

Ich habe mich mal grob rangesetzt.
Von der Theorie her funktioniert es.
Der Code wird auf jeden Fall leichter lesbar, jedoch nicht ausf�hrbar.
Ihr k�nnt gerne weiter daran arbeiten.
Auch finde ich die Variante mit Clipput nicht so sch�n, aber was solls ;)

Code:

#include <file.au3>
Global $array[1]

_FileReadToArray("obfuscated.au3", $array)


For $i = 1 To $array[0]
	If StringInStr($array[$i], "Execute") Then
		$new = StringReplace($array[$i], 'Execute(', 'Clipput(') ;Execute mit Clipput f�r die entsprechende Zeile ersetzen

		$var = 0
		If StringInStr($new, "=Clipput") Then ;Schauen, ob vor dem Execute eine Deklaration einer Variable ist
			$split = StringSplit($new, "=")
			$dec = $split[1]
			$var = 1

		EndIf

		Execute($new) ;Das modifizierte Execute ausf�hren
		Sleep(300)
		$get = ClipGet() ;Das sich nun im Zwischenspeicher befindende Codeschnipsel auslesen
	
		If $var = 1 Then
			FileWriteLine("New.txt", $dec & "=" & $get) ;Und entsprechend in eine neue Datei schreiben (Mit Deklaration)
		Else
			FileWriteLine("New.txt", $get) ;Ohne Deklaration aber mit Execute
		EndIf

	Else
		FileWriteLine("New.txt", $array[$i]) ;Zeile, die kein Execute enthielt
	EndIf
Next