[Release] AutoIt3 Deobfuscator

[Jeoni]

Projekt eingestellt.

Hallo Elitepvpers,
ich release hier mal den Deobfuscator (geschrieben in VB.net) für Shadows Obfuscator ( zu finden; gute Arbeit übrigens ). Mein Deobfuscator sollte beide Versionen seines Obfuscators (AutoIt und C++) wieder deobfuscaten können.
Und bevor jetzt hier welche ankommen und meinen sie müssten Sachen loslassen wie "bla, voll scheiße, jetzt ist das voll unsicher, bla" meine ich, dass Leute, die die Source wirklich haben wollen, sie auch manuell deobfuscaten können ( kurz erklärt). Mein Programm automatisiert das lediglich.
Wer das Programm nicht braucht, muss es ja nicht nutzen

So, hier ein Screen von dem Programm:


Dürfte wohl selbsterklärend sein. Gesagt sei noch, dass die Optionalen Einstellungen (die standartmäßig angehakt sind) das Script unbrauchbar machen können, sollten die Variablennamen gar nicht verändert sein. Also diese Optionen bitte mit Vorsicht genießen. In V.0.5 wurden die optimalen Einstellungen zum deobfuscaten von C++-Obfuscator V.1.0.9-Scripts standartmäßig angehakt (Rename Variables funktioniert noch nicht nach Plan, ist daher nur optional).

Der Zip-Datei im Anhang liegt ein obfuscated Beispielscript bei, an dem ich mein Programm auch getestet habe. Des Weiteren liegt dem Zip-Archiv der normale AutoIt-Include Ordner bei. Der Deobfuscator sollte sich im selben Ordner, wie der Include Ordner befinden (von mir aus könnt ihr ihn auch in euren AutoIt-Installationspfad legen), sonst wird die "Remove Compile Errors"-Funktion das Skript zerstören!

Ich bitte um Rückmeldung, vielen Dank
Jeoni

Changelog:

 Spoiler

V.0.1
- initial release

V.0.2
- some major bug changes (thanks to Lawliet! for the problem and Dr. Coxxy for the theory of a solution )

V.0.3
- ready to deobfuscate scripts which are obfuscated with Shadows C++-Obfuscator V.1.0.6

V.0.4 (tested only one time)
- should be ready to deobfuscate scripts which are obfuscated with Shadows C++-Obfuscator V.1.0.7 (deobfuscator should be slower than previous versions, sorry)
- added function to remove never called function of the script

V.0.5a
- should be ready to deobfuscate scripts which are obfuscated with Shadows C++-Obfuscator V.1.0.9
- found the bug in "Rename Variables". I'm on it!

V.0.6a
- should be ready to deobfuscate scripts which are obfuscated with Shadows C++-Obfuscator V.1.1.1
- can only deobfuscate V1.1.1. I will add downward-compatibility later

Virustotal (Funde sind garantiert false-positive):

 Spoiler

(Nicht meine; Quelle: )

V.0.1



V.0.2



V.0.3



V.0.4



V.0.5a



V.0.6a

[Yauleen]

Gute Arbeit^^

[Shadow992]

Saubere Arbeit kann ich dazu nur sagen.

Edit: Mich würde interessieren nach welchem Prinzip der Deobfuscator arbeitet. Führt er den AutoIt-Code aus und lässt das "Execute" vorne weg oder reinterpretiert er den AutoIt-Code?

Edit2:
Ah ok ich sehe die AutoIt-Exe wurde in dasselbe Verzeichnis kopiert also lässt er den Code praktisch ausführen.

[Jeoni]

Erstmal vielen Dank
Zu deiner Frage:
Erstmal werden per Regex die StringLen, und BinaryToString Befehle entfernt (ist ja nicht allzu schwer). Funktionen wie int(Cos(Sin(irgendeineZahl))) werden ebenfalls geparsed und eben entfernt (hab ich lange für gebraucht, bis ich gemerkt habe, dass der in()-befehl von AutoIt immer abrundet ). Das alles passiert, ohne dass AutoIt-Code tatsächlich ausgeführt wird (wie du schon gesagt hast, könnte man es durchaus als reinterpretation sehen). Nur bei selbstgeschriebenen Funktionen (meist Function(x*y)-z) wird AutoItCode mit den entsprechenden Parametern ausgeführt und das Ergebnis eben eingesetzt.
Bei den Execute()-befehlen war es ganz leicht, da ich einfach nur das execute weggelassen habe.
Sicherlich ist der Deobfuscator nicht perfekt und kann sicher relativ leicht gepatcht werden.
Danke für das Feedback
Mit freundlichen Grüßen
Jeoni

[Lawliet]

Ich habs mal mit irgend nem alten Projekt von mir getestet und er Crasht nach ner Zeit.
ich hab dir mal das Script angehängt.

Edit:
Immer mit diesen Werten:



Evl. rekursion oder es liegt am Script.

[Jeoni]

Hab den Fehler gefunden, ich kümmer mich drum und bring dann dementsprechend ein Update raus.
/Edit: Ich könnte behaupten, dass der Fehler im Script liegt (was natürlich dämlich wäre), aber er liegt am Programm und es wird noch etwas dauern, bis das Update rauskommt (ich denke aber noch in dieser Woche). In der Zeit nutzt einfach andere Scripte zum Deobfuscaten

P.S.: Fehler tritt auf, wenn es Befehle gibt (im eigentlichen unobfuscateten Script), die wie folgt aussehen:

Code:

Befehl(42, "\(")
Befehl(")("))
Befehl(")")

(Wer das nicht begriffen hat: Befehle mit Klammern, welche einzeln oder nicht in ihrer natürlichen Reihenfolge auftreten)

Folgende führen demnach nicht zu Problemen:

Code:

Befehl(AndererBefehl(42))

Solange der AndererBefehl keiner des obigen Befehlstyp ist.

[spymare]

when running "Au3Deobfuscator" it makes a file called AutoIt3.exe

I just a hex editor, and I can see it's a compiled autoit file, however I can't decompile it, neither with exe2aut or myAutToExe.


I'm very interested in how you managed it to now be able to be decompile can you tell me ?

[Jeoni]

This is the AutoIt interpreter to execute some AutoIt-Code, which is necessery during the deobfuscation process. If you have AutoIt installed, it's the same file that you can find in your installation directory.
And for that I don't need to decompile the interpreter
And my programm can't decompile anything. If you already have something decompiled and you can't read it, because it's obfuscated with shadows obfuscator, it will make it more readable again.
Best regards
Jeoni

P.S.: Programm updated!

[Shadow992]

Ah ich liebe diese kleinen Wettrüstungen.
Dein Deobfuscator hat einige Schwachstellen, die ich in meinem neuem Obfuscator gleich einmal benutzt habe, sollte dadurch also allgemein schwerer werden einen Deobfuscator zu bauen.

[Jeoni]

Gar nicht mal schlecht, ich habe auch schon eine theoretische Gegenmaßnahme im Visier
Aber ich denke, ich lasse mir mit den Updates immer etwas Zeit. Ich könnte natürlich als Begründung immer auf die Schule verweisen und dass ich dieses Schuljahr mein Abi mache, aber eigentlich habe ich keinen Bock mich damit abzuhetzen. Aber ab und zu können wir das Spiel gerne weitertreiben (vielleicht gebe ich aber auch schon nach 2 Patchs auf oder so)
Mit Freude
Jeoni

[Shadow992]

Quote:

Originally Posted by Jeoni

Gar nicht mal schlecht, ich habe auch schon eine theoretische Gegenmaßnahme im Visier
Aber ich denke, ich lasse mir mit den Updates immer etwas Zeit. Ich könnte natürlich als Begründung immer auf die Schule verweisen und dass ich dieses Schuljahr mein Abi mache, aber eigentlich habe ich keinen Bock mich damit abzuhetzen. Aber ab und zu können wir das Spiel gerne weitertreiben (vielleicht gebe ich aber auch schon nach 2 Patchs auf oder so)
Mit Freude
Jeoni

Könnte genau dasselbe als Begründung nehmen, aber ehrlich gesagt hab ich (so wie du scheinbar? ) nicht wirklich Lust zu dem ganzen Abi-Zeugs...

Ja immer mal weiterspielen hätte defiinitiv etwas und ich glaube da würden sich auch die Leecher freuen.
Und wer weiß vielleicht wird es irgendwann ein universelle Deobfuscator. :P

[Jeoni]

#Update 0.4 steht bereit um 1.0.7-Skripte zu deobfuscaten

[Requiable]

Der gibt mir immer nen Error wegen tmp.au3
Kannste mir da mal helfen?
Danke

[Lawliet]

Denke nen Screenshot wäre besser als "wegen tmp.au3"

[Requiable]

Er hat mich schon auf Skype geaddet und wir regeln das