Au3 脚本程序简单反编译

AutiIT v3 的 Au3 脚本程序,还较多人用的,与VBS类似,但优于它。

反编译它,有点麻烦,
如果在编译的时候允许反编译,且知道密码,呵呵,最简单的方法就是利用开发环境它自己的工具来反编译。

但是,没有编写者会那么笨的,接下来看看我的通用反编译方法,
准备 WinHex

运行需要反编译的脚本程序,等待脚本弹出窗口或对话框之类的暂停状态。
但如果脚本一直到底,连个 对话框也没有就结束了,怎么办?
这个问题我也在想,发现有一下方法:
1,根据脚本的运行过程,设置错误,让其报错而停下
2,利用调试工具,如 OllyDbg 让其中断...
3,想到再告诉你...

那脚本程序暂停后,马上使用 WinHex 的内存编辑功能打开该脚本的内存,具体打开方式如下:
工具/RAM 编辑器   或者直接按 Alt+F9
此时将弹出一个进程列表框,再其中选中那脚本程序/整个内存

接下来,就是按 Ctrl+F 咯,查找关键字,比如暂停时那对话框上的字就不错。
发现目标后,前后看下吧,那就是源文件所在的内存区域咯
前后找准位置选好,来个 Ctrl+C 复制到剪切板中,再用 WinHex 建个文件保存。

接下来就是分离还原出原是脚本咯。
建议用 EmEditor 打开,并在 工具/选择配置 中选择 VBScript 这样容易区分脚本与垃圾内容。

接下来就得每一句看那文件咯,一点一点将垃圾内容去掉,之后就得到源文件咯。

这个方法对还原简单脚本比较合适,如果是含大量窗体的脚本程序,那就麻烦咯。

PS:可能不能 100% 还原 
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
au3编译源码 myAut2Exe - The Open Source AutoIT Script Decompiler 2.9 ======================================================== *New* full support for AutoIT v3.2.6++ :) ... mmh here's what I merely missed in the 'public sources 3.1.0' This program is for studying the 'Compiled' AutoIt3 format. AutoHotKey was developed from AutoIT and so scripts are nearly the same. Drag the compiled *.exe or *.a3x into the AutoIT Script Decompiler textbox. To copy text or to enlarge the log window double click on it. Supported Obfuscators: 'Jos van der Zande AutoIt3 Source Obfuscator v1.0.14 [June 16, 2007]' , 'Jos van der Zande AutoIt3 Source Obfuscator v1.0.15 [July 1, 2007]' , 'Jos van der Zande AutoIt3 Source Obfuscator v1.0.20 [Sept 8, 2007]' , 'Jos van der Zande AutoIt3 Source Obfuscator v1.0.22 [Oct 18, 2007]' , 'Jos van der Zande AutoIt3 Source Obfuscator v1.0.24 [Feb 15, 2008]' , 'EncodeIt 2.0' and 'Chr() string encode' Tested with: AutoIT : v3. 3. 0.0 and AutoIT : v2.64. 0.0 and AutoHotKey: v1.0.48.5 The options: =========== 'Force Old Script Type' Grey means auto detect and is the best in most cases. However if auto detection fails or is fooled through modification try to enable/disable this setting 'Don't delete temp files (compressed script)' this will keep *.pak files you may try to unpack manually with'LZSS.exe' as well as *.tok DeTokeniser files, tidy backups and *.tbl (<-Used in van Zande obfucation). If enable it will keep AHK-Scripts as they are and doesn't remove the linebreaks at the beginning Default:OFF 'Verbose LogOutput' When checked you get verbose information when decompiling(DeTokenise) new 3.2.6+ compiled Exe Default:OFF 'Restore Includes' will separated/restore includes. requires ';<AUT2EXE INCLUDE-START' comment to be present in the script to work Default:ON 'Use 'normal' Au3_Signature to find start of script' Will uses the normal 16-byte start signature to detect the start of a
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值