提取PE二进制文件中嵌入的AutoIt脚本
autoit-ripper的Python项目详细描述
自动裂土器
这是什么
这是一个(半)短的python脚本,允许从PE可执行文件中提取“编译”的AutoIt脚本。在
参考文献
此脚本是严重基于23资源,如果您想更深入地了解整个AutoIt的内容,请一定要查看它们:
- http://files.planet-dl.org/Cw2k/MyAutToExe/index.html 在
- https://github.com/sujuhu/autoit
- https://opensource.apple.com/source/clamav/clamav-158/clamav.Bin/clamav-0.98/libclamav/autoit.c.auto.html
支持的AutoIt版本
准备就绪:
EA05自动3.00EA06自动3.26+
未知:
JB01自动热键JB01自动2
安装
python3 -m pip install -r requirements.txt
跑步
^{pr2}$(可选)为v3.00和v3.26分别指定带有--ea EA05或{
格式化文档
(进行中)
AU3头
| Field | Length | encryption (EA05) | encryption (EA06) | Notes |
|---|---|---|---|---|
| "FILE" | 4 | MT(0x16FA) | LAME(0x18EE) | static string |
| flag | 4 | xor(0x29BC) | xor(0xADBC) | |
| auto_str | flag (* 2) | MT(0xA25E + flag) | LAME(0xB33F + flag) | UTF-8/UTF-16 |
| path_len | 4 | xor(0x29AC) | xor(0xF820) | |
| path | path_len (* 2) | MT(0xF25E + path_len) | LAME(0xF479 + path_len) | Path of the compiled script |
| compressed | 1 | None | None | is the script compressed |
| data_size | 4 | xor(0x45AA) | xor(0x87BC) | compressed data size |
| code_size | 4 | xor(0x45AA) | xor(0x87BC) | uncompressed data size |
| crc | 4 | xor(0xC3D2) | xor(0xA685) | compressed data crc checksum |
| creation date | 4 | None | None | file creation date (high) |
| creation date | 4 | None | None | file creation date (low) |
| last update date | 4 | None | None | last edit date (high) |
| last update date | 4 | None | None | last edit date (low) |
| data | data_size | MT(checksum + 0x22af) | LAME(0x2477) | script data |
v3.00和v3.26+之间的差异
^{tb2}$- 项目
标签:
欢迎加入QQ群-->: 979659372
