So.. hab das Tool nach längerer Zeit mal wieder geupdated.
Hat sich nicht viel geändert.. Es werden jetzt nur zusätzlich auch ansatzweise 64bit AutoIt Exen unterstützt.
Hab erst seit kürzerer Zeit einen 64bit Rechner und musste mir erstmal anschauen, wie x64 asm funktioniert.
x64 FileInstalls und Packer wie Themida oder Armadillo werden noch nicht unterstützt (muss ich mir später noch angucken).
Außerdem sind noch ein paar Bugs drinnen, an die ich mich auch noch machen muss (FileInstalls deaktivieren, wenn das Tool crasht und als letztes "FileInstall(" anzeigt).
Wenn ihr auf weitere stoßt, bitte melden :) Feedback ist auch erwünscht.
Mal eine Frage ist der Decompiler Runtime?
Also führt er das Script kurz aus, um an Packern etc. Vorbei zu kommen?
Wäre nämlich zum analysieren von schadware nich sehr gut Q_Q
Andere frage.
Viele denken ja, wenn sie ihr Script Obfuscaten sein sie sicher.
Aber wenn man den Inhalt der Executes einfach ausführt, und das ergebnis irwohin speichert, kann man das komplette Script deobfuscaten.
Eine Idee, ob du das Automatisieren könntest bzw einbauen könntest?
Weil ich sehe deinen release als einen hilfeschrei an, den ganzen scriptkiddys zu zeigen, dass sie eine andere sprache lernen sollten, und das find ich gut.
Hab mir schon einen Autoit Deobfuscator gebastelt, aber ist nich so einfach implementierbar.
Nutze eiglich alles nur um fake trainer zu analysieren, und schadware aufzudecken.
Ja, die Exe wird ausgeführt. Heißt wenn der Virenscanner Alarm schlägt, dass die Exe mit einem Virus infiziert ist oder einen Trojaner gebindet hat, dann würde solcher Schadcode auch ausgeführt werden. Ich hab deswegen hier und da Warnungen hingeschrieben, dass man nur sichere Dateien in das Fenster droppen soll.
Es ist zwar gegenüber einer statischen Analyse ein großes Manko, dass man solche infizierten Dateien nicht sicher dekompilieren kann, allerdings ging es mir auch mehr um AutoIt selber.
Das eingebettete AutoIt Script wird nämlich nicht ausgeführt. Und wenn eine Exe mit einem Virus infiziert ist oder einen Trojaner gebindet hat, hat das nicht mehr viel mit der AutoIt-Exe an sich zu tun.
Wenn ich ehrlich bin, habe ich das Tool für den Fall geschrieben, wenn man ein funktionierendes AutoIt Programm hat und man sich dessen Source Code gerne ansehen würde..
Nachteil ist halt, dass man infizierte Exen nicht dekompilieren kann, ohne selber infiziert zu werden.
Der Vorteil ist, dass AutoIt-Exen, die nicht infiziert sind, gepackt sein können und man den Src dennoch wiederherstellen kann.
Aber wenn eine AutoIt-Exe infiziert ist, liegt das ja nicht am eingebetten AutoIt-Code, heißt entweder ist da dann nur **** drinnen oder man hat sich ein Tool von einer unseriösen Seite geladen und muss es sich dann halt von der offiziellen Seite ohne Virus/Trojaner holen.
Wie cw2k schon meinte, wäre es wohl sicherer, wenn man mein Tool in einer Sandbox startet.
Zeig doch mal mit einem Beispielcode, was für eine Art von Obfuscation du genau meinst.
Ja, die Exe wird ausgeführt. Heißt wenn der Virenscanner Alarm schlägt, dass die Exe mit einem Virus infiziert ist oder einen Trojaner gebindet hat, dann würde solcher Schadcode auch ausgeführt werden. Ich hab deswegen hier und da Warnungen hingeschrieben, dass man nur sichere Dateien in das Fenster droppen soll.
Es ist zwar gegenüber einer statischen Analyse ein großes Manko, dass man solche infizierten Dateien nicht sicher dekompilieren kann, allerdings ging es mir auch mehr um AutoIt selber.
Das eingebettete AutoIt Script wird nämlich nicht ausgeführt. Und wenn eine Exe mit einem Virus infiziert ist oder einen Trojaner gebindet hat, hat das nicht mehr viel mit der AutoIt-Exe an sich zu tun.
Wenn ich ehrlich bin, habe ich das Tool für den Fall geschrieben, wenn man ein funktionierendes AutoIt Programm hat und man sich dessen Source Code gerne ansehen würde..
Nachteil ist halt, dass man infizierte Exen nicht dekompilieren kann, ohne selber infiziert zu werden.
Der Vorteil ist, dass AutoIt-Exen, die nicht infiziert sind, gepackt sein können und man den Src dennoch wiederherstellen kann.
Aber wenn eine AutoIt-Exe infiziert ist, liegt das ja nicht am eingebetten AutoIt-Code, heißt entweder ist da dann nur Crap drinnen oder man hat sich ein Tool von einer unseriösen Seite geladen und muss es sich dann halt von der offiziellen Seite ohne Virus/Trojaner holen.
Wie cw2k schon meinte, wäre es wohl sicherer, wenn man mein Tool in einer Sandbox startet.
Zeig doch mal mit einem Beispielcode, was für eine Art von Obfuscation du genau meinst.
Das mit dem Runtime hat mich nur Interessiert ^^
Ja file in sandbox starten, sich den pfad der autoit exe holen, und die dann halt analysieren ist genug ^^
Wegen deobfucating, kann ich dir nicht den source geben, weil ich ihn nicht mehr habe (Pc Neu Installiert ^^)
Aber kann dir die arbeitsweise erklären.
Er kopiert sich den kompletten source in temp.
Er scannt nach
Code:
Execute(BinaryToString("
und ersetzt alles was zwischen mit execute und binarytostring verschlüsselt ist, mit dem in hex verschlüsseltem text.
Manchmal werden auch teile des hexcodes mit "StringLen("blabla")" verschlüsselt, deshalb entschlüsselung am besten in autoit machen.
Coding Releases
Releases from our epvp*coders [no questions]
#reported
Das gilt glaube ich eher für den Thread Ersteller.
Innerhalb eines Releases darf mann natürlich Fragen, Fehlermeldungen ect. bezüglich des geposteten Programms stellen.
Like you wrote yourself, it's an AutoHotkey executable.
My tool only supports AutoIt3, so unfortunately it cannot work with your file.
Anyhow, I did it manually and attached its source.
link, Thanks for the manual decompilation!
p.s.
I knew that AHK is a fork of the project Autoit. And I thought that your program is also able to decompile.
Do you plan to implement in your program support AHK?
egal welche Autoitexe ich in das Fenster ziehe bekomme ich leider nur die Meldung "Something went wrong..". Woran könnte das liegen? Es sind x86 kompiliere Autoitscripte.
@〤Che〤:
Wtf, das ist aber nicht von mir..
Wann genau werden diese Dateien erstellt, also was führst du aus?
Wie soll das Tool denn seinen eigenen Source wiederherstellen?
Ist doch nicht in AutoIt geschrieben :P
Uhm wtf? ;D
Hab mir dein lustiges Prog runtergeladen, entpackt (alles ausm Archiv entzippt), das Prog ausgeführt, 3 Minuten gewartet und gedacht: Wann startet das ding endlich? Dann kam die Meldung vom Avira, dass er das Tool geblockt + gelöscht hat und dann hab ich mir gedacht: Scheiß Avira, hab Avira ausgeschaltet und die Dateien wiederhergestellt und wollte dann ausm Sample Ordner n paar Dateien ausprobieren und merk so, dass da n haufen Dateien sind, denk mir WTF? und hab mich gewundert was das is...
Achja: Beim Themida (wars Themida? glaube schon) gibt er mir n Error aus (kann nicht decompilet werden bla bla) und wenn ich die Datai direkt ausführ (also das Themida-gepackte ding) sagt er mir, dass ich es ned ausführen kann, weil nur der, der es gepackt hat ausführen darf .... o.O
Achja: Hab jetzt endlich meinen Release zum 500. draußen, kann wieder fröhlich 20 Posts am Tag tippen
When deobfuscating JvdZ I'm using a static-sized buffer instead of strlen + malloc for a little more speed, which is a little too small for the file you sent me.
I'll fix it later on.
WP Decompiler 12/18/2011 - DarkOrbit - 91 Replies This is cracked decompiler from underground on zhyk.ru
download:
wpdec.exe
virustotal:
VirusTotal - Free Online Virus, Malware and URL Scanner
Instruction:
Decompiler 06/06/2010 - AutoIt - 6 Replies Da expo nicht mal antwortet(nicht antworten will)...
Habe ich diese Thread geöffnet und zwar aus dem grund
der decompiler von autoit in e*pvpers,,, funktioniert nicht mehr...
und ich hätte gerne einen neuen der funktioniert und kostenlos ist...
und ich möchte keine so depp-artigen dummen aussagen google ist dein freund, oder das ist die falsche sektion, ich weiß warum ich hier frage...
ich will hier nur antworten wie ich habe einen den ich dir geben kann keine antworten mit such...
BSP 2 Decompiler 01/06/2007 - General Gaming Discussion - 0 Replies Suche ein Tool was BSP 2 entpacken kann (Oder Konventieren). Ja, es ist für maps wie halt in CS. Das Problem ist das bereits schon ein recht alter Quake decompiler erst ab BSP 5 entpacken kann.
