AutiIT v3 的 Au3 脚本程序,还较多人用的,与VBS类似,但优于它。
反编译它,有点麻烦,
如果在编译的时候允许反编译,且知道密码,呵呵,最简单的方法就是利用开发环境它自己的工具来反编译。
但是,没有编写者会那么笨的,接下来看看我的通用反编译方法,
准备 WinHex
运行需要反编译的脚本程序,等待脚本弹出窗口或对话框之类的暂停状态。
但如果脚本一直到底,连个 对话框也没有就结束了,怎么办?
这个问题我也在想,发现有一下方法:
1,根据脚本的运行过程,设置错误,让其报错而停下
2,利用调试工具,如 OllyDbg 让其中断...
3,想到再告诉你...
那脚本程序暂停后,马上使用 WinHex 的内存编辑功能打开该脚本的内存,具体打开方式如下:
工具/RAM 编辑器 或者直接按 Alt+F9
此时将弹出一个进程列表框,再其中选中那脚本程序/整个内存
接下来,就是按 Ctrl+F 咯,查找关键字,比如暂停时那对话框上的字就不错。
发现目标后,前后看下吧,那就是源文件所在的内存区域咯
前后找准位置选好,来个 Ctrl+C 复制到剪切板中,再用 WinHex 建个文件保存。
接下来就是分离还原出原是脚本咯。
建议用 EmEditor 打开,并在 工具/选择配置 中选择 VBScript 这样容易区分脚本与垃圾内容。
接下来就得每一句看那文件咯,一点一点将垃圾内容去掉,之后就得到源文件咯。
这个方法对还原简单脚本比较合适,如果是含大量窗体的脚本程序,那就麻烦咯。
PS:可能不能 100% 还原
发表于 @ 2007年03月02日 14:45:00|评论(loading...)|编辑