Получение пароля для декомпиляции EXE в AHK

Допустим, мы имеем скомпилированный в исполняемый файл AHK скрипт, который защищен паролем. Декомпилировать официальным декомпилятором(Exe2Ahk.rar [19.42 Kb] (cкачиваний: 262)), не зная этого пароля, у нас не поучится.

Получение пароля для декомпиляции EXE в AHK


Поэтому мы будем патчить сам декомпилятор.

Итак, для начала его следует распаковать.

upx.exe -d Exe2Ahk.exe


Получение пароля для декомпиляции EXE в AHK


Далее путем манипуляций с твоим любимым дебаггером находим место, где вылетает ошибка «BadPassword» (00401042).

Ввыделяем регион 1042-1049 => Assemble => Заменяем

MOV EAX,40816C


на

LEA EAX,DWORD PTR SS:[ESP+540]


Получение пароля для декомпиляции EXE в AHK

Получение пароля для декомпиляции EXE в AHK


Заполняем 1049-104D NOP'ами.

Получение пароля для декомпиляции EXE в AHK

Получение пароля для декомпиляции EXE в AHK


Ну и сохраняем изменения.

Получение пароля для декомпиляции EXE в AHK

Получение пароля для декомпиляции EXE в AHK


Что ж, теперь мы имеем три файла: Exe2Ahk.exe (оригинальный бинарник, он нам еще понадобится), Exe2Ahk_h.exe (пропатченный нами), example.exe (скомпилированный AHK скрипт).

Скармливаем последний нашему бинарнику и получаем пароль.

Получение пароля для декомпиляции EXE в AHK


Теперь, когда мы знаем пароль, example.exe можно отдать нетронутому декомпилятору.

Получение пароля для декомпиляции EXE в AHK



Просмотров: 4476
21.02.2015, 22:59 -

Категория: Статьи