脚本之家 服务器常用软件
快捷导航
您的位置:首页脚本专栏autoit → AutoIt反编译和格式化

AutoIt脚本的反编译和代码格式化问题分析

 更新时间:2015年10月19日 12:53:41   投稿:mdxy-dxy  
这篇文章主要介绍了AutoIt脚本的反编译和代码格式化问题分析,需要的朋友可以参考下

最近集中冒出一波AutoIt的恶意脚本来,也就多看了几个这类的样本。AutoIt脚本是以“.au3”为扩展名的明文脚本,但病毒作者自然不会把明文的脚本放出来。所以自然用到了AutoIt自带的这个Au2Exe的工具:

可以看到AutoIt允许用户将au3的明文脚本编译成exe文件或者a3x文件。exe文件自不必赘述,就是我们平时熟悉的PE文件,但如果编译成exe文件,则失去了AutoIt脚本在恶意程序领域的优势(懂的自然懂,不细说),所以目前捕获的大多数恶意样本都是将脚本编译成a3x文件。


网上比较多的是Exe2Au3的反编译工具(据说早期版本的AutoIt是自带这个工具的,后来不带了),但下了几个,都很耿直——真的都只能反编译Exe文件,而对a3x文件表示无力。最后才找到了一个叫做Autoit3 Decompiler GUI的工具(https://www.jb51.net/softs/390596.html):

用这个工具,就能很简单的将a3x文件反编译成au3的明文脚本了。BUT——为什么万事总有个BUT——反编译出来的脚本看着有些忧桑……

就这代码格式……几十行还可以忍,一两百行已经是上限了……恶意代码动不动几千行,看着脑袋都大啊……本着磨刀不误砍柴工的思想,果断写了一个自动格式化脚本(by Python),贴出来和大家分享下。

说明:对AutoIt了解不多,仅针对我目前见过的脚本,做一个比较粗陋而暴力的格式化工作而已

#!/usr/bin/env python2.7
#-*- coding: utf-8 -*-
 
_AU3 = ';./sample.au3';
_AU3_OUT = ';./format.au3';
_INDENT = '; '; * 4
 
def au3formater(line, indent):
  line = line.strip().lower()
  
  next_indent = indent
  if (line.startswith(';end';) or
    line.startswith(';until';) or 
    line in (';next';, ';wend';)):
    indent -= 1
    next_indent -= 1
  elif line.startswith(';if';) and line.endswith(';then';):
    next_indent += 1
  elif (line.startswith(';func';) or 
     line.startswith(';for';) or 
     line.startswith(';select';) or
     line.startswith(';switch';) or
     line.startswith(';while';) or
     line == ';do';):
    next_indent += 1
  elif line.startswith(';else';) or line.startswith(';case';):
    indent -= 1
  new_line = _INDENT * indent + line
  
  return new_line, next_indent
 
def main():
  with open(_AU3, ';r';) as fp:
    with open(_AU3_OUT, ';w';) as fpw:
      indent = 0
      line = fp.readline()
      while line:
        new_line, indent = au3formater(line, indent)
        fpw.write(';%s\n'; % new_line)
        line = fp.readline()
 
if __name__ == ';__main__';:
  main()

格式化完成后,看着就舒服多了(不确定是否是我个人的强迫症而已……):

当然,即便是看着舒服些了,即便是明文脚本,几千行的代码看着也是很忧桑的

您可能感兴趣的文章:

相关文章

  • 用autoit编写第一个脚本(Hello World)

    用autoit编写第一个脚本(Hello World)

    此页将介绍创建并运行AutoIt脚本的一些基本方法。我们假定您已经使用我们提供的安装程序安装好了AutoIt v3。
    2008-06-06
  • autoit 命令行参数说明

    autoit 命令行参数说明

    命令行参数 AutoIt 脚本程序可通过命令行调用,当我们传递命令行参数到脚本中的时候会有一个特殊的数组 $CmdLine 保存相关数据。
    2008-06-06
  • autoit自定义函数

    autoit自定义函数

    所谓函数是指可在脚本中调用并实现特定“功能”的代码片段。在 AutoIt 中有两种函数,包括 内建函数 和 自定义函数。
    2008-06-06
  • Au3截取腾讯天气的脚本

    Au3截取腾讯天气的脚本

    腾讯的天气是相当的准呀.而且还有实时天气, 今天把它给应用上了,附上源代码抛砖引玉.
    2008-09-09
  • autoit 更改个人文件夹的小工具

    autoit 更改个人文件夹的小工具

    功 能:更改个人文件夹的位置 原 理:找到注册表中的相应位置,显示出来,并通过修改对应的键值来指定路径。 注意事项:本程序不移动文件夹,只是指定路径;修改完成后,请马上重新启动。
    2008-07-07
  • Aut2Exe编译au3脚本为可执行文件

    Aut2Exe编译au3脚本为可执行文件

    把AutoIt的.au3脚本文件编译成可独立运行的程序当然是可实现的,这样就可以使得编译后的程序得以在没有安装AutoIt(或者说没有AutoIt3.exe这个解释程序)的机器上运行。
    2008-06-06
  • autoit入门教程小结

    autoit入门教程小结

    对于听说过autoit脚本的朋友,下面的入门教程是个不错的教材,建议大家看看
    2008-06-06
  • autoit InputBox 函数

    autoit InputBox 函数

    显示以一个输入框以供用户输入数据。InputBox ( "标题", "提示信息" [, "默认数据" [, "密码字符" [, 宽度, 高度 [, 左边, 上边 [, 超时时间]]]]] )
    2008-06-06
  • 飞信的CMD命令行接口批量发送信息

    飞信的CMD命令行接口批量发送信息

    最近在用AU3开发一款用来调用飞信发送短信的小东东 飞信是个很好的东西,可惜用的人少,很多不厚道的同学注册之后就不再登录了.
    2008-09-09
  • autoit HotKeySet 函数

    autoit HotKeySet 函数

    HotKeySet 设置一个可调用某用户函数的热键。
    2008-06-06

最新评论