良许Linux教程网 干货合集 讲解一下AutoIt脚本的反编译和代码格式化问题

讲解一下AutoIt脚本的反编译和代码格式化问题

这篇文章主要介绍了AutoIt脚本的反编译和代码格式化问题分析,需要的朋友可以参考下

最近集中冒出一波AutoIt的恶意脚本来,也就多看了几个这类的样本。AutoIt脚本是以“.au3”为扩展名的明文脚本,但病毒作者自然不会把明文的脚本放出来。所以自然用到了AutoIt自带的这个Au2Exe的工具:

简单分析AutoIt脚本的反编译和代码格式化问题简单分析AutoIt脚本的反编译和代码格式化问题
简单分析AutoIt脚本的反编译和代码格式化问题简单分析AutoIt脚本的反编译和代码格式化问题

可以看到AutoIt允许用户将au3的明文脚本编译成exe文件或者a3x文件。exe文件自不必赘述,就是我们平时熟悉的PE文件,但如果编译成exe文件,则失去了AutoIt脚本在恶意程序领域的优势(懂的自然懂,不细说),所以目前捕获的大多数恶意样本都是将脚本编译成a3x文件。

网上比较多的是Exe2Au3的反编译工具(据说早期版本的AutoIt是自带这个工具的,后来不带了),但下了几个,都很耿直——真的都只能反编译Exe文件,而对a3x文件表示无力。最后才找到了一个叫做Autoit3 Decompiler GUI的工具(https://www.jb51.net/softs/390596.html):

简单分析AutoIt脚本的反编译和代码格式化问题简单分析AutoIt脚本的反编译和代码格式化问题
简单分析AutoIt脚本的反编译和代码格式化问题简单分析AutoIt脚本的反编译和代码格式化问题

用这个工具,就能很简单的将a3x文件反编译成au3的明文脚本了。BUT——为什么万事总有个BUT——反编译出来的脚本看着有些忧桑……

简单分析AutoIt脚本的反编译和代码格式化问题简单分析AutoIt脚本的反编译和代码格式化问题
简单分析AutoIt脚本的反编译和代码格式化问题简单分析AutoIt脚本的反编译和代码格式化问题

就这代码格式……几十行还可以忍,一两百行已经是上限了……恶意代码动不动几千行,看着脑袋都大啊……本着磨刀不误砍柴工的思想,果断写了一个自动格式化脚本(by Python),贴出来和大家分享下。

说明:对AutoIt了解不多,仅针对我目前见过的脚本,做一个比较粗陋而暴力的格式化工作而已

#!/usr/bin/env python2.7
#-*- coding: utf-8 -*-
 
_AU3 = ';./sample.au3';
_AU3_OUT = ';./format.au3';
_INDENT = '; '; * 4
 
def au3formater(line, indent):
 line = line.strip().lower()
  
 next_indent = indent
 if (line.startswith(';end';) or
   line.startswith(';until';) or
   line in (';next';, ';wend';)):
   indent -= 1
   next_indent -= 1
 elif line.startswith(';if';) and line.endswith(';then';):
   next_indent += 1
 elif (line.startswith(';func';) or
    line.startswith(';for';) or
    line.startswith(';select';) or
    line.startswith(';switch';) or
    line.startswith(';while';) or
    line == ';do';):
   next_indent += 1
 elif line.startswith(';else';) or line.startswith(';case';):
   indent -= 1
 new_line = _INDENT * indent + line
  
 return new_line, next_indent
 
def main():
 with open(_AU3, ';r';) as fp:
   with open(_AU3_OUT, ';w';) as fpw:
     indent = 0
     line = fp.readline()
     while line:
       new_line, indent = au3formater(line, indent)
       fpw.write(';%s\n'; % new_line)
       line = fp.readline()
 
if __name__ == ';__main__';:
 main()

格式化完成后,看着就舒服多了(不确定是否是我个人的强迫症而已……): 简单分析AutoIt脚本的反编译和代码格式化问题简单分析AutoIt脚本的反编译和代码格式化问题

当然,即便是看着舒服些了,即便是明文脚本,几千行的代码看着也是很忧桑的

以上就是良许教程网为各位朋友分享的Linu系统相关内容。想要了解更多Linux相关知识记得关注公众号“良许Linux”,或扫描下方二维码进行关注,更多干货等着你 !

137e00002230ad9f26e78-265x300
本文由 良许Linux教程网 发布,可自由转载、引用,但需署名作者且注明文章出处。如转载至微信公众号,请在文末添加作者公众号二维码。
良许

作者: 良许

良许,世界500强企业Linux开发工程师,公众号【良许Linux】的作者,全网拥有超30W粉丝。个人标签:创业者,CSDN学院讲师,副业达人,流量玩家,摄影爱好者。
上一篇
下一篇

发表评论

邮箱地址不会被公开。 必填项已用*标注

联系我们

联系我们

公众号:良许Linux

在线咨询: QQ交谈

邮箱: yychuyu@163.com

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部