AutoHotKey Script解密

1.此程序采用UPX加壳，Script解密前会进行CRC32校验，校验码存放于文件最后一个双字，因此最好是带壳解密

2.它会全文件搜索AutoHotKey的特征串A3 48 4B BE-98 6C 4A A9-99 4C 53 0A-86 D6 48 7D，并以此确定被加密的Script所处的位置

3.它会对16字节特征串后的几个字节进行解密对比，以确定Script的类型，而采用不同的方式解密

4.比较简单的Script以>AUTOHOTKEY SCRIPT<类型存在，可以搜索如下特征串，找到解密子函数，在该子函数入口下断.F9运行，观察解密内存，当解密内存为3CXXXX时，该函数运行完即可看到该内存处已是解密完的Script
57 FF 74 24 10 E8 ?? ?? ?? ?? 33 FF 59 39 7C 24 0C 76 17 56 8B 44 24 0C 8D 34 07 E8 ?? ?? ?? ?? 30 06 47 3B 7C 24 10 72 EB 5E 5F C2 0C 00
5.对于较为复杂的类型为JB01的Script，上述步骤仅完成初步解密，需继续在解密内存为3CXXXX时，对memcpy函数入口下断(用IDA确定此函数位置，也可搜索HEX串)，第二次断于memcpy后，即可在3CXXXX附近看到解密后的Script