[AUTOIT]String Obfuscating|Func Crypting [TUT]

05/28/2013 20:10 YatoDev#1

#Update 10.09.2013

Anstatt des schlechten Tutorials und dem ganzen aufwand habe ich mich mal an einen Obfuscator gesetzt. Es sollte eigentlich alles fehlerfrei laufen.
Nach dem obfuscaten wird eine datei im scriptdir erstellt namens : new_Obf.au3 das werde ich noch anpassen auf die dateinamen von den obfuscateten scripts

Funktionen :
-Strings Crypten (Script wird langsamer)
-Eigene Funktionen oder UDF's Renamen
-Variablen umbenennen

L�sung f�r die geschwindigkeits probleme beim stringcrypter :
Die strings in variablen direkt am anfang des scripts deklarieren lassen

Download :
[Only registered and activated users can see links. Click Here To Register...]

05/28/2013 21:46 Shadow992#2

Spoiler

Quote:

Originally Posted by �FlutterShy™

Hallo autoit comunity !

----> Download im anhang

Heute m�chte ich euch eine einfache m�glichkeit zeigen euren code etwas unlesbarer zu machen .
Als erstes m�chte ich dazu sagen das diese methode nur funktioniert solange das script nicht gut genug decompiled wird damit code zeilen und variablen kaputt gehen !
Dadurch kann man die strings auch nicht wieder zur�ckverwandeln .

Ich benutze diese methode meist dazu um code zeilen einzeln auszuf�hren bzw einzulesen und dann erst auszuf�hren .

Wir fangen erstmal mit einem ganz einfachem beispiel an :

PHP Code:

MsgBox(0,"Hi","Lol")

Das ist die einfachst m�gliche code zeile die normalerweise jeder auswendig k�nnen m�sste und sofort weis wie diese aufgebaut ist und wenn diese MessageBox jetzt so aus sieht :

PHP Code:

MsgBox(0,"Error","Falsches Passwort")

Weis derjenige der den code bekommt das ein paar zeilen dr�ber die passwort abfrage stattfindet und dadurch kann er euer script schnell analysieren .

Dann kommen wir zur anleitung bitte befolgt alle schritte in der richtigen reihenfolge :

1.) Ladet euch meinen kleinen string obfuscator / code block obfuscator runter
2.) Doppelklick auf die .exe und warten biss alles geladen hat
3.) wir tragen ins obere edit feld die code zeile ein , wichtig es darf nur eine zeile sein
4.) bei crypting key schreiben wir nun eine random zahlen und buchstaben folge rein
5.) dr�ckt auf den button : Crypt input now !
6.) Danach gehen wir weiter zu fake file
7.) Wir geben einen unauff�lligen dateinamen ein und w�hlen eine sinnvolle endung (.dll)
8.) klickt nun auf den button : Fake File to safe .exe
9.) nun erscheint autoit code den ihr in eine .au3 packen k�nnt und ausf�hren k�nnt

Wichtig : die erstellte datei muss im script dir sein und wird auch dort ausgegeben

So nun weiter ...

Mein code f�r :

PHP Code:

MsgBox(0,"Error","Falsches Passwort")

sieht nun so aus :

PHP Code:

#Include <File.au3> #Include <String.au3> $zeile = _FileCountLines('plugin.dll') $cLine = FileReadLine('plugin.dll',$zeile) Execute(_DecryptString($cLine)) Func _DecryptString($cString) $pass = '65464web5gw63g356343g4' $cNew = _StringEncrypt(0, $cString, $pass) Return $cNew EndFunc

wenn wir die datei jetzt compilen w�rden bek�hmen wir immer noch den klarcode .

Als n�chstes m�ssen wir das script obfuscaten ! Dazu nehmen wir den Obfuscator der offiziellen autoit seite

[Only registered and activated users can see links. Click Here To Register...]

nach dem obfuscaten compilen wir die .au3 .

Wenn wir nun die .exe wieder decompilen bekommen wir in etwa das hier :

PHP Code:

$a54e2303945 = Fn0001("plugin.dll") $a3be2505e42 = FileReadLine("plugin.dll", $a54e2303945) Execute(Fn0024($a3be2505e42)) Func Fn0024($__01) $a4ae2802c2e = "65464web5gw63g356343g4" $a42e2a04a4e = Fn0017(0, $__01, $a4ae2802c2e) Return $a42e2a04a4e EndFunc

dieser code ist nun nicht mehr ausf�hrbar allerdings kann man die funcs trotzdem sich rausschreiben und dann einzelnt decryptet , aufwand von 5 – 10 min allerdings ist das viel besser als einen klaren code block nach dem decompilen zu haben .

Ein noob-Tutorial f�rs decompilen und deobfuscaten meines obfuscators werd ich nicht machen !

Eine wichtige anmerkung ist auch noch das dass script viel langsamer wird .

Ich muss auch noch sagen das diese methode garnichts bringt wenn dein script von jemandem mit etwas erfahrung decompiled wird , ich w�rde diese methode in 1 minute komplett deobfuscaten k�nnen.

Jeder irgendwie dumme post hier wird sofort reportet das ist nur ein kleines tut f�r die die sich nicht besser sch�tzen k�nnen als fremde tools zu benutzen . Wer rechtschreibfehler findet darf sie behalten und sich freuen .

VirusTotal : [Only registered and activated users can see links. Click Here To Register...]

8 st�ck durch packing mit einem packer ^^

Die anderen daten in der .rar sind eine .dll mit diesem inhalt :

PHP Code:

30FB056CEDF244D418E781B2C5BF1B7980CCF2A770451D67FB216C1B720BF096EE2E80E71F486490D1597F1ADC901710E359CCFBA0AB7556D38CFBAF24EDD416F78B2587D81AB00D090D

und ein autoit script

Abgesehen davon, dass es nat�rlich genug Obfuscators gibt, die etwas derartiges besser umsetzen, ist es dennoch eine nette Idee.

2 Kleinigkeiten, die deine Idee noch etwas verbessern k�nnten:

1. Das Passwort im Klartext anzuzeigen ist sehr schlecht, besser w�re das Passwort auch aus der plugin.dll auszulesen, indem man beispielsweise die aller erste Zeile als Passwort definiert.

2. Den String zu returnen und ihn erst dann auszuf�hren ist sehr schlecht. Klar wird das an folgendem Szenario:

Ich habe einen Code mit 100 Zeilen und kenne deinen Obfuscator nicht, gehe also davon aus, dass es ein unpublic Obfuscator ist.
Was sind meine ersten Schritte? Klar, ich schau mir an was die Executes so machen und da f�llt mir dann sofort auf, dass immer diese eine Funktion aufgerufen wird bevor das Execute kommt. Also liegt die Vermutung Nahe, dass diese Funktion irgendwie die auszuf�hrenden Befehle zur�ckliefert.

Was mach ich also?
Tab-Leiste --> Bearbeiten --> Suchen & Ersetzen --> Alle "Executes" ersetzen durch "ConsoleWrite" oder "FileWrite" das Ganze ist auch recht schnell per Programm gemacht.

Wie macht man solche Angriffe also schwerer?
Ein bisschen schwerer wird es, wenn du das Execute direkt in die Funktion packst. Damit f�llt das return weg bzw. es wird dann returnt was die Funktion normalerweise returnen sollte.
Das Ganze ist nat�rlich nur minimal besser, aber es ist besser und bedeutet keinen gr��eren Aufwand als wie oben beschrieben. ;)

Ansonsten nette Idee, aber ich werd doch lieber bei meinem OPbfuscator bleiben. :D

Edit:
Deine "Flutter Obfuscate.exe" ist nicht ausf�hrbar zumindest nicht bei mir unter Windows 7 64Bit.

05/28/2013 21:47 omer36#3

ist wohl eher ein release, anstelle eines tuts.

05/28/2013 21:58 YatoDev#4

Quote:

Originally Posted by omer36

ist wohl eher ein release, anstelle eines tuts.

string obfuscation wird noch rein editiert dann ist es mehr tut als release .

@Shadow : Werde deine vorschl�ge noch reintuen und eine andere .exe hochladen .

Das ist mir klar das andere das besser machen k�nnen aber es geht ja auch nur darum schnell mal eine code zeile etwas komplizierter darstellen zu lassen und da es wenige obfusctatoren gibt die die strings gut verschl�sseln k�nnen (bis auf deinen) .
Au�erdem habe ich sowas noch nie als "release" gesehen und da ich das erfolgreich bei ein paar random noobs ausgetestet habe dachte ich mir ich mach mal ein kleines tutorial daraus :)

05/28/2013 22:00 Netzgeist#5

[Only registered and activated users can see links. Click Here To Register...]

Sicherheit basiert nicht auf Geschlossenheit. Nicht pers�nlich gemeint :)

05/28/2013 22:04 YatoDev#6

Quote:

Originally Posted by Netzgeist

[Only registered and activated users can see links. Click Here To Register...]

Sicherheit basiert nicht auf Geschlossenheit. Nicht pers�nlich gemeint :)

ja aber damit lohn es sich einfach nicht komplexe funktionen zu verschl�sseln daher wird es wie z.b. bei einer message box keine nachteile geben ^^

05/29/2013 19:58 Requi#7

Also ist es sogesehen, etwas obfuscaten (encrypten) und noch mal obfuscaten :rolleyes:

05/29/2013 20:23 Netzgeist#8

Spar dir dein Augenrollen und googel die Vokabeln to obfuscate sowie to encrypt. Du am�sierst dich gerade �ber deine eigene Bildungsl�cke.

05/29/2013 22:22 YatoDev#9

Quote:

Originally Posted by Netzgeist

Spar dir dein Augenrollen und googel die Vokabeln to obfuscate sowie to encrypt. Du am�sierst dich gerade �ber deine eigene Bildungsl�cke.

?? Meinst mich ? :D ich weis was obfuscaten ist und das bedeutet im groben nur den code unleserlich machen .

@requi : einfache codes wie z.b. die msgbox werden bei dem obfuscator von autoitscript.com zwar obfusct
ated aber direkt beim decompilen mit exe2aut deobfusctatet . ich erhoehe also die fehleranzahl des decompilers und mache den code unuebersichtlicher

aso noch reinedited : netzgeist du scheinst mir ja ein ganz netter und oberschlauer in dieser section ;)
ne jetzt mal ohne spa� geb mal ein paar sinnvolle kommentare von dir ab ich habe mich lange genug damit beschaeftigt und weis deswegen auch darueber bescheid ^^

auserdem bin ich grad nur am handy on

05/30/2013 14:28 Shadow992#10

Quote:

Originally Posted by �FlutterShy�

?? Meinst mich ? :D ich weis was obfuscaten ist und das bedeutet im groben nur den code unleserlich machen .

@requi : einfache codes wie z.b. die msgbox werden bei dem obfuscator von autoitscript.com zwar obfusct
ated aber direkt beim decompilen mit exe2aut deobfusctatet . ich erhoehe also die fehleranzahl des decompilers und mache den code unuebersichtlicher

aso noch reinedited : netzgeist du scheinst mir ja ein ganz netter und oberschlauer in dieser section ;)
ne jetzt mal ohne spa� geb mal ein paar sinnvolle kommentare von dir ab ich habe mich lange genug damit beschaeftigt und weis deswegen auch darueber bescheid ^^

auserdem bin ich grad nur am handy on

Ich habe gesehen dein "Obfuscator" klappt immer nur f�r eine Zeile, wenn du willst k�nnen wir den gemeinsam so umschreiben, dass er f�r beliebig viele Zeilen funktioniert. ;)

Ist nur ein Angebot keine Verpflichtung. ;)

05/30/2013 16:56 YatoDev#11

Quote:

Originally Posted by Shadow992

Ich habe gesehen dein "Obfuscator" klappt immer nur f�r eine Zeile, wenn du willst k�nnen wir den gemeinsam so umschreiben, dass er f�r beliebig viele Zeilen funktioniert. ;)

Ist nur ein Angebot keine Verpflichtung. ;)

ja w�rde ich gerne hab ich bis jetzt auch nur wegen "keine lusst" , zeitmangel und weil ich dann noch eine func zum einlesen des oberen edit feldes schreiben m�sste .

Kannst mich gerne mal in skype adden : michel.p.554

09/10/2013 23:56 YatoDev#12

Hab dem thread mal ver�ndert ....
Wenns ein mod sieht :
Thread titel umbennen : [Autoit] Little Obfuscator
Thread verschieben in die release section
wenn nicht geht morgen nen request raus ^^