AutoHotKey Script解密
2008-12-24 10:22
204 查看
1.此程序采用UPX加壳,Script解密前会进行CRC32校验,校验码存放于文件最后一个双字,因此最好是带壳解密
2.它会全文件搜索AutoHotKey的特征串A3 48 4B BE-98 6C 4A A9-99 4C 53 0A-86 D6 48 7D,并以此确定被加密的Script所处的位置
3.它会对16字节特征串后的几个字节进行解密对比,以确定Script的类型,而采用不同的方式解密
4.比较简单的Script以>AUTOHOTKEY SCRIPT<类型存在,可以搜索如下特征串,找到解密子函数,在该子函数入口下断.F9运行,观察解密内存,当解密内存为3CXXXX时,该函数运行完即可看到该内存处已是解密完的Script
57 FF 74 24 10 E8 ?? ?? ?? ?? 33 FF 59 39 7C 24 0C 76 17 56 8B 44 24 0C 8D 34 07 E8 ?? ?? ?? ?? 30 06 47 3B 7C 24 10 72 EB 5E 5F C2 0C 00
5.对于较为复杂的类型为JB01的Script,上述步骤仅完成初步解密,需继续在解密内存为3CXXXX时,对memcpy函数入口下断(用IDA确定此函数位置,也可搜索HEX串),第二次断于memcpy后,即可在3CXXXX附近看到解密后的Script
2.它会全文件搜索AutoHotKey的特征串A3 48 4B BE-98 6C 4A A9-99 4C 53 0A-86 D6 48 7D,并以此确定被加密的Script所处的位置
3.它会对16字节特征串后的几个字节进行解密对比,以确定Script的类型,而采用不同的方式解密
4.比较简单的Script以>AUTOHOTKEY SCRIPT<类型存在,可以搜索如下特征串,找到解密子函数,在该子函数入口下断.F9运行,观察解密内存,当解密内存为3CXXXX时,该函数运行完即可看到该内存处已是解密完的Script
57 FF 74 24 10 E8 ?? ?? ?? ?? 33 FF 59 39 7C 24 0C 76 17 56 8B 44 24 0C 8D 34 07 E8 ?? ?? ?? ?? 30 06 47 3B 7C 24 10 72 EB 5E 5F C2 0C 00
5.对于较为复杂的类型为JB01的Script,上述步骤仅完成初步解密,需继续在解密内存为3CXXXX时,对memcpy函数入口下断(用IDA确定此函数位置,也可搜索HEX串),第二次断于memcpy后,即可在3CXXXX附近看到解密后的Script
相关文章推荐
- AutoHotKey之JB01 Script解密
- Microsoft Script Encoder解密代码,oask加密文件解密
- actionscript DES 加密 解密 (AES,其他加密)
- 解密经过Windows Script Encoder加密的VBS代码
- 再不更改web.config文件的条件下---Script 中url传中文参数(解密) 接收时解密。。。。
- 加密,解密,防script 注入
- 最新版本的autohotkey不包含autoscript recorder
- VBS 加解密 For MS Script Encode
- script加密解密工具下载
- ;=== AutoHotkey热键脚本语言文件 autoHotkey.ini 从此行开始 === The Sart Line Of autoHotkey.ini AutoHotkey ScriptFile =================
- Copy and Paste to OneNote (AutoHotKey script)
- 使用管理员权限运行AutoHotkey的Script
- AutoHotKey的那些事儿:(八)、AutoScriptWriter在win8下无法进行脚本捕捉/回放的解决方法
- Flash ActionScript: Your Visual Blueprint for Creating Flash-enhanced Web Sites
- [ZOJ 1006] Do the Untwist (模拟实现解密)
- Oracle 数据库中的内容加密与解密 dbms_crypto
- Page.RegisterClientScriptBlock和Page.RegisterStartupScript有何区别
- Sql Server简单加密与解密 【转】
- 记一次坑爹的加解密问题
- RSA 非对称加密与解密