AutoIt 脚本反混淆

时不时的有一些人会提交一个关于受保护或混淆过的
AutoIt 脚本的有趣的挑战。今天我想展示一些 AutoIt 反混淆的基本方法。我将使用一个非常简单的叫作 AutoGuardIt
的保护软件和一个来自于 Tuts4You 论坛中由其保护的 carckme
作为目标对象。如果你没有权限从Tuts4You下载的话，这里有一个可供选择的下载链接：https://www.mediafire.com/?qs52emp7tkk472g。

一般来说，在反编译
AutoIt 脚本方面没什么困难。AutoIt 脚本解释器由于其设计方式的原因，很容易将 P-Code 转换回脚本格式。还有一个叫作
tidy.exe 的工具，可以处理难看的手写脚本，将其重新排版，变得很美观。以上两点使得写反混淆器变得容易多了，因为你可以从一个具有良好版式的
AutoIt 脚本开始，并且你的反混淆器可以包含一些简单的正则表达式和字符串替换，可能不会是非常完美的代码，但是将会很管用。

当我准备这个博客帖子的时候，SmilingWolf 发出了一个
Python
语言的全功能的解决方案。这个方案不错，但是该方案没有解释它是如何工作以及为什么会起作用。所以，在这篇文章里我将解释保护方法是如何工作的，展示一些基本的技术和击败这些保护步骤的示例源代码。至于如何制作一个全功能的反混淆器，将作为练习留给读者来做。

❉ 所需工具

C#编译器。我所有的示例在是在 VisualStutio2010 下进行测试的，但是任易最近的版本都应该适用。
MyAutToExe。我在使用的是我自己修改的 myAutToExe。你可以从 Bitbucket： https://bitbucket.org/kao/myauttoexe上面来下载。
用于测试正则表达式的工具。我使用的是 http://regexr.com/
一些脑力。如果你不能独立思考的话，你不可能成为一个 reverser。

❉ 反编译脚本

有两个公开的工具用来提取编译过的 AutoIt 脚本：MyAutToExe 和Exe2Aut.

Exe2Aut 使用动态方法获得脚本－－它通过运行文件，从进程内存中得到经过解密、解压缩的脚本。那一般是最简单的方法，但是你不会真得想要在你的计算机上运行通过运行一款恶意软件来获取其脚本。

MyAutToExe

使用的是静态方法－－它通过分析文件，尝试从文件中定位、解密、解压缩脚本。那是一种安全一些的方法，但是容易被使用不同的加壳工具，修改过的脚本标记器等方式击败。从本文中的
crackme 中提取脚本，我使用的是我自己的MyAutToExe (见上面的“所需工具”部分)。

❉ 分析混淆

一旦脚本被提取和反编译后，它的样子起来很奇怪并且很难读懂。

NTDLLCONFIGEX()

Do

   If 88 - 87 Then

      Do

......      代码省略

For $NTUSER32POWERSHELLN = 0 To 839.629607988521

   Do

      For $ASSEMBLYAPPLAUNCHLOADERA = 0 To 38.5529099325649

         If 147195648 / 96 - 76 = Random(1, 2207 + SRandom(781101274), 1) - -1532371 Then

         ......

   ExitLoop

Next

Do

   For $NTHASHTABLEVOIDUSER32EX = 0 To 399.044101731619

...代码省略

我们来逐一看一下每种混淆技术，看它们如何工作，如何来打败它们。

❉ 整数分解

AutoGuardIt 处理常数并将它们转换成一系列的数学运算。

$VIRTUALIZATIONCIPHERBROWSERA = 71 / 4240 + 4303 + 3057 / 8461 / 4560 + 299 +

7624 * 7110 - 4262

反混淆器应该能够处理这些表达式，计算求值然后使用正确的值来替代相应的表达式。

这里存在的最大的问题是计算的优选级（乘法、除法应该比加法、减法优先进行），所以你不能从一行的开始起一次一步的进行计算。。这是错误的：

$VIRTUALIZATIONCIPHERBROWSERA = 71 / 4240 + 4303 + 3057 / 8461 / 4560 + 299 + 7624 * 7110 - 4262

$VIRTUALIZATIONCIPHERBROWSERA = 0.0167... + 4303 + 3057 / 8461 / 4560 + 299 + 7624 * 7110 - 4262

...

在一些思考和 Google 搜索之后，我找到了一个 LoreSoft.MathExpressions 动态库可以为我做这些艰苦的工作。：）

下面的 c# 代码片段将会找到所有的数学表达式、提取、计算并使用计算得到的值来替换掉相应的表达式。

MathEvaluator eval = new MathEvaluator();

Regex regex2 = new Regex(@"(-)?\d+(( )+[-+*/]( )+([-+])?\d+)+");

for (int i = 0; i < lines.Length; i++)

{

   Match m2 = regex2.Match(lines[i]);

   while (m2.Success)

   {

      double d = eval.Evaluate(m2.Value);

      lines[i] = regex2.Replace(lines[i], d.ToString(), 1);

      m2 = m2.NextMatch();

   }

}

❉ 伪随机整数

这是很奇怪的保护，依赖一个事实，Autoit 的 Random 函数实际小是伪随机数生成器。如果你提供相同的种子，将得到相同的结果，示例：

If 194639540 / 20 = Random(1, 3342 + SRandom(753822096), 1) - -9731726 Then

$HTTPDELPHIHEADERW = 951.668468197808

EndIf

通常来说，这不是一个好的想法，因为你无法保证下一版本的 Autoit 随机数生成器不会改变。但是就当前的版本来说这种方法依然生效。

由于我已经使用了 myAutToExe，我决定使用其打包文件中的 RanRot_MT.dll 。

[DllImport("ranrot_mt.dll", CallingConvention = CallingConvention.StdCall)]

private extern static UInt32 MT_Init(UInt32 seed);

[DllImport("ranrot_mt.dll", CallingConvention = CallingConvention.StdCall)]

private extern static UInt32 MT_GetI8();

......代码省略

☁ a = StringLen(“xyz”)

小整数可以使用 StringLen 函数进行混淆。

$AUTHENTICATIONREFERENCEN = StringLen("UJCzofdlRD")

为了清除它们，可以使用一个简单的正则：

Regex regex3 = new Regex(@"StringLen$\""([A-Za-z]+)\""$");

Match m3 = regex3.Match(lines[i]);

while (m3.Success)

{

   string expr1 = m3.Groups[1].Value.ToString();

   lines[i] = regex3.Replace(lines[i], String.Format("{0}", expr1.Length), 1);

   m3 = m3.NextMatch();

}

最终结果：

$AUTHENTICATIONREFERENCEN = 10

☁ Chr(x)

一些字符串在运行时被分解为字节，每个字节被调用 Chr 函数进行加密。

Assign(Chr(73) & Chr(68) & Chr(101) & Chr(99) & Chr(114) & Chr(121) & Chr(112)

......................代码省略

另一个简单的正则表达式能够杀死这种加密方式：

Regex regex3 = new Regex(@"Chr$(\d+)$");

Match m3 = regex3.Match(lines[i]);

while (m3.Success)

{

   UInt32 expr1 = UInt32.Parse(m3.Groups[1].Value);

   lines[i] = regex3.Replace(lines[i], String.Format("\"{0}\"", (char)expr1), 1);

   m3 = m3.NextMatch();

}

这一结果是可用的，但是仍然不便于阅读：

Assign("I" & "D" & "e" & "c" & "r" & "y" & "p" & "t" & "E" & "x" & "e......

再额外使用另一个简单的查寻－替换可以用来修复：

lines[i] = lines[i].Replace("\" & \"", "");

最终结果：

Assign("IDecryptExecutionChainCipherEx", Execute("UBound"))

☁ If 1 Then

一旦你去除了整数混淆，你将会看到很多像这样无用的声明：

If 1 Then

$LOADERHARDWAREIDNULLA = 336.785775121767

EndIf

这个条件一直为真，所以我们可以把 If 和 EndIf 都去掉来提高可读性。

此处的问题是If语句可以嵌套，你不能简单的去除所遇到的第一个 EndIf。考虑一下这个例子：

If 1 Then        <-- 我们从这里开始.

   For $IBINARYDECLAREA = 0 To 826.403731859988

      If 1 Then

         ; do something useful

      EndIf      <-- 这是我们见到的第一个endif，但它并不是正确的那个

      ExitLoop

   Next

EndIf            <-- 这个才是我们要找的endif

把以上所有的考虑在内，我写出了这个很丑但是有效的代码：

if (lines[i].Trim() == "If 1 Then")

{

   int level = 0;

   int idx = i+1;

   while (idx < lines.Length)

......代码省略

}

* –看下面，在一些场景中，这个代码在可能会失效。

☁ If a = a Then

上一个保护的变形，在这个例子中，使用正则比简单的字符串比较要更有效率。

If 1533212 = 1533212 Then

; do something

EndIf

☁ Do Until 1

它很像 If 1 Then 这种保护，并且能够按照同样的办法打败它。

Do

; do something

Until 1

☁ While 1 / ExitLoop / WEnd

另一个同类的保护，使用3行代码而不是2行。同样的方法，只要确认你匹配正确的行并将这3行都移除。

While 1

; do something

ExitLoop

WEnd

☁ For $random=0 to 123.456 / ExitLoop / Next

另一个保护，跟之前的很像。

For $NTEXCEPTIONGETINFORMATIONPROCESSERRORSTDOUTEX = 0 To 663.803335762816

Assign("ZwRing3LibraryAssemblyW", Execute("StringSplit"))

ExitLoop

Next

在这里必须要认真处理，不要去除程序中真实的循环，所以最好使用正则。抛开这一点，基本上又是跟之前相似的代码。

Regex regex4 = new Regex(@"For \$([A-Z0-9])+ = 0 To [0-9]+\.[0-9]+");

Match m4 = regex4.Match(lines[i]);

while (m4.Success)

{

   int level = 0;

   int idx = i + 1;

   while (idx < lines.Length)

   {

......代码省略

❉ Assign/Execute

这种保护依赖于 AutoIt 的 Assign 函数。首先，函数的别名被定义：

Assign("LicenseLoadRing3Ex", Execute("MsgBox"))

稍后，使用别名来调用函数：

$LICENSELOADRING3EX(1, BinaryToString(BinaryToString(BinaryToString(BinaryToString(BinaryToString(RING3LOADEREX()))))), BinaryToString(NTCONFIGLICENSELISTW()))

反混淆是一个简单的操作：找到所有的 Assign 调用，提取变量名和函数名，然后使用函数名替换所有关于变量的引用。

MsgBox(1, BinaryToString(BinaryToString(BinaryToString(BinaryToString(BinaryToString(RING3LOADEREX()))))), BinaryToString(NTCONFIGLICENSELISTW()))

❉ BinaryToString

正如你在上一个例子中所见，脚本中的一些字符串调用 BinaryToString 进行了替换。这里是同一个保护的另一个例子，其中部分代码使用 BinaryToString + 调用执行。

Local $VIRTUALMACHINESAFECRITICALEX

$VIRTUALMACHINESAFECRITICALEX &= BinaryToString("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")

.....代码省略

$IENUMERATORENGINENATIVECALLEX = Execute($VIRTUALMACHINESAFECRITICALEX)

合并所有的3行为1行并将十六进制字符串转换为字节，得到下面的代码：

$IENUMERATORENGINENATIVECALLEX = Chr(Random(1, 3650 + SRandom(473336040), 1) - 210) & Chr(Random(1, 3245 + SRandom(766270771), 1) - 712) & Chr(Random(1, 3319 + SRandom(633805140), 1) - 1827) & Chr(391 - Random(1, 2576 + SRandom(644536031), 1)) & Chr(Random(1, 2500 + SRandom(658408055), 1) - 2371) & Chr(3456 - Random(1, 3963 + SRandom(471620543), 1)) & Chr(Random(1, 3658 + SRandom(884532065), 1) - 462) & Chr(1010 - Random(1, 2185 + SRandom(981586563), 1)) & Chr(1338 - Random(1, 3155 + SRandom(278703023), 1)) & Chr(Random(1, 2485 + SRandom(590586209), 1) - 562) & Chr(3219 - Random(1, 3803 + SRandom(937549654), 1)) & Chr(1781 - Random(1, 2024 + SRandom(142259813), 1)) & Chr(Random(1, 3776 + SRandom(377845980), 1) - 2935) & Chr(Random(1, 2446 + SRandom(904541765), 1) - 1155) & Chr(Random(1, 2871 + SRandom(479073441), 1) - -15) & Chr(Random(1, 3069 + SRandom(369116325), 1) - 1907) & Chr(Random(1, 2588 + SRandom(14172203), 1) - 2274) & Chr(Random(1, 3159 + SRandom(920306030), 1) - 1979) & Chr(1080 - Random(1, 2627 + SRandom(342508701), 1)) & Chr(Random(1, 2010 + SRandom(331657790), 1) - 199) & Chr(1675 - Random(1, 3111 + SRandom(128453234), 1)) & Chr(Random(1, 3650 + SRandom(19730849), 1) - 1361) & Chr(Random(1, 2471 + SRandom(860867778), 1) - 657) & Chr(Random(1, 2920 + SRandom(283761228), 1) - 1247) & Chr(Random(1, 3878 + SRandom(916139411), 1) - 1940) & Chr(Random(1, 2858 + SRandom(30219640), 1) - 1942) & Chr(Random(1, 3213 + SRandom(90013616), 1) - 1050) & Chr(Random(1, 3525 + SRandom(719272641), 1) - 2076) & Chr(2164 - Random(1, 3222 + SRandom(593781681), 1)) & Chr(Random(1, 3845 + SRandom(806260106), 1) - 674) & Chr(727 - Random(1, 3744 + SRandom(685238953), 1)) & Chr(Random(1, 3534 + SRandom(285846213), 1) - 1785) & Chr(Random(1, 3102 + SRandom(950081147), 1) - 240) & Chr(Random(1, 2661 + SRandom(752732768), 1) - 663) & Chr(1073 - Random(1, 2125 + SRandom(488363375), 1)) & Chr(Random(1, 3552 + SRandom(390398855), 1) - 1117) & Chr(Random(1, 2693 + SRandom(855363505), 1) - 1874)

使用之前描述的方法，可以反混淆为：

$IENUMERATORENGINENATIVECALLEX = "ZwConventionReflectionAuthenticationN"

❉ 函数返回常数

一些字符串不仅仅使用 BinaryToString 来加密，还移到了一个单独的函数中。

Local $ASSIGNASSEMBLYEX = DllStructCreate(BinaryToString(DECRYPTSOCKETW()))

.......

$DRIVEREXECUTIONCHAINDLLN = "0x75696E743B64776F7264"

Return $DRIVEREXECUTIONCHAINDLLN

EndFunc

反混淆后的代码是这样的：

Local $ASSIGNASSEMBLYEX = DllStructCreate(BinaryToString("0x75696E743B64776F7264"))

要找到每一个函数的正确返回值并使用正确值替换函数调用是很复杂的，除了那一点，正则表达示不是很适合完成这样的任务。我所写的代码很丑，所以我不打算展示它，去吧，自己解决吧：）

❉ Switch 控制流程混淆

这实际上是所有保护方式中最难解决的。救命代码如下：

$1375150359 = 727533448

...代码省略

Switch $1375150359

   Case 727533448

      OBFUSCATEDFREEMEMORYTHREADN($NTVARIABLENATIVECALLCONNNECTN)

      $1375150359 = 834946917

......代码省略

EndSwitch

你必须要找到变量的初始值。然后你必须要找到正确的 Switch 结构的开始和结束位置，所有的 case：和其它的对控制变量的赋值。然后你将能够重组所有的代码。那是一个相当困难的问题，针对这一问题我没有一个很完美的解决方案。：）

这里是我的代码，看起来还一定的效果：

Dictionary<string, string> assignedValues = new Dictionary<string, string>();

Regex assignVal = new Regex(@"(\$[0-9]+) = ([0-9]+)");   // $1375150359 = 727533448

Regex switchVal = new Regex(@"Switch (\$[0-9]+)");   // Switch $1375150359

Regex caseVal = new Regex(@"Case ([0-9]+)");     // Case 1561719614

for (int i = 0; i < lines.Length; i++)

{

    Match m1 = assignVal.Match(lines[i]);

    if (m1.Success)

......代码省略

清理之后，反混淆之后的代码看起来是这个样子：

OBFUSCATEDFREEMEMORYTHREADN($NTVARIABLENATIVECALLCONNNECTN)

Local $ASSIGNCIPHERALLOCATEEX = $BINARYPOINTERHASHTABLEN

......代码省略

ExitLoop

❉ 无用的变量赋值

随机变量赋值遍布于整个代码中。

$ZWPROGRAMCONVENTIONW = 37455182.0495048

$IVOIDARCHCONTROLFLOWA = "NtSSLReflectionNullEx"

有很多只赋了一次值但是从未使用过的变量。为了清除它们，可以使用正则定位赋值，计算这个变量在代码中出现了多少次，如果只是赋了一次值的话就清除它。就像这样：

Regex assignFloat = new Regex(@"^\s*(\$[A-Z0-9]+) = \-?[0-9]+\.[0-9]+");

for (int i = 0; i < lines.Length; i++)

{

    Match m1 = assignFloat.Match(lines[i]);

    if (m1.Success)

    {

        string variableName = m1.Groups[1].ToString();

        int count = 0;

        for (int i2 = 0; i2 < lines.Length; i2++)

        {

            if (lines[i2].Contains(variableName))

               count++;

        }

        if (count == 1)

        {

            lines[i] = "";

      }

   }

}

你可以使用类似的正则表达式来去除字符串和整数赋值。

❉ 打沫，冲洗，重复

如果你只运行一次所提到的各种反混淆方法，你将最终得到一份不彻底的反回淆代码。还有，所要应用的反混淆方法并没有一个具体的先后顺序。当然，你可以运行整个循环100次。但是那样就太难看了。

所以，我更倾向于以这样的方法还循环运行代码：

bool modified = true;

while (modified)

{

   modified = DeobIntegerDecomposition();

   modified |= DeobPseudoRandom();

   modified |= DeobChr();

   ...代码省略

}

它会运行所有的反混淆直到没有再需要进行清理的代码。然后对输出运行tidy.exe，你将会得到一个具有很好可读性的脚本.:)

❉ 可能的问题和陷阱

基于字符串匹配的反混淆器很容易实现。然而，一定要很小心的写出正确的正则表达式和字符串比较语句。我的示例代码针对这个具体的crackme效果很好，但是它可能会像这样搞乱代码：

If 1 Then

   $A = "If at first you don't succeed, try, try again." <--清理器将会找到字符串'If' 并弄乱计数.

EndIf               <-- 所以这个EndIf不什么被移除

...                 <-- 清理器将