无忧启动论坛

 找回密码
 注册
搜索
最纯净的「微PE装机优盘」UEPON大师作品系统gho:最纯净好用系统下载站数据恢复、数据保护、视频编辑
Win To Go 极致利器(IXUNCIS固态U盘)无忧启动网成立20周年!广告联系 QQ:184822951 微信:wuyouceo
查看: 1128|回复: 9

[求助] 已知 AutoIt 的 script 文件,如何知道它是干什么的?

[复制链接]
发表于 2021-3-29 22:25:39 | 显示全部楼层 |阅读模式
本帖最后由 DOSforever 于 2021-3-29 23:01 编辑

最近下载了一个疑似病毒文件,很好奇执行了下。发现它是一个自解压执行文件,解压后释放出 script 文件然后用 autoit 来执行。现已得到它 script 文件内容,如何知道它是干什么的?做了什么操作?

附件1,2,3是当时下载下来的原始文件,因论坛上传附件大小限制只能分卷为3个上传,并且要改后缀名。
附件4是我后来手工提取出的其中的一个 script ,根据它执行的批处理显示,应该还有另外一个 script 文件,但没找到。

power.7z.001.7z (1 MB, 下载次数: 19)
发表于 2021-3-29 22:26:52 | 显示全部楼层
把脚本丢上来让大伙看看

点评

已上传到主题帖中  详情 回复 发表于 2021-3-29 23:02
回复

使用道具 举报

 楼主| 发表于 2021-3-29 23:02:22 | 显示全部楼层
caocaofff 发表于 2021-3-29 22:26
把脚本丢上来让大伙看看

已上传到主题帖中
回复

使用道具 举报

发表于 2021-3-29 23:16:50 | 显示全部楼层
script的 加了迷惑代码。似乎无解
回复

使用道具 举报

发表于 2021-3-29 23:25:08 | 显示全部楼层
不是有沙箱么,或者那种在线分析工具书

点评

哪里的沙箱?  详情 回复 发表于 2021-3-30 00:08
回复

使用道具 举报

 楼主| 发表于 2021-3-30 00:08:39 | 显示全部楼层
邪恶海盗 发表于 2021-3-29 23:25
不是有沙箱么,或者那种在线分析工具书

哪里的沙箱?

点评

好像叫Sandboxie还是啥,好多年前装过...  详情 回复 发表于 2021-3-30 00:29
回复

使用道具 举报

发表于 2021-3-30 00:23:47 | 显示全部楼层
我看了 g.au3

直觉的猜是 10 进制,
将它转为 16 进制,
就对了.

$GWoXSPZZYqJQuGqsp &= DllCall(DwFtlloxgFMP("107W101W114W110W101W108W51W50W46W100W108W108",0)

107W101W114W110W101W108W51W50W46W100W108W108 = 6B 65 72 6E 65 6C 33 32 2E 64 6C 6C = kernel32.dll

$GWoXSPZZYqJQuGqsp &= DllCall(kernel32.dll)

评分

参与人数 1无忧币 +2 收起 理由
DOSforever + 2 赞一个!

查看全部评分

回复

使用道具 举报

发表于 2021-3-30 00:29:51 | 显示全部楼层

好像叫Sandboxie还是啥,好多年前装过...
回复

使用道具 举报

发表于 2021-4-5 11:55:48 | 显示全部楼层
加入代码迷惑,就是为了防止反编译。如果你不知道是什么功能。大概无解了

点评

#7 的 plusv 算是解码迷惑代码了吗?  详情 回复 发表于 2021-4-11 19:30
回复

使用道具 举报

 楼主| 发表于 2021-4-11 19:30:55 | 显示全部楼层
lbw2007 发表于 2021-4-5 11:55
加入代码迷惑,就是为了防止反编译。如果你不知道是什么功能。大概无解了

#7 的 plusv 算是解码迷惑代码了吗?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2021-4-22 10:43

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表