揭秘autoit3的运行机制和反编译原理

时间:2022-02-14 00:08:58

今天发这个帖子的目的在于和论坛里面的朋友交流一下学习心得,主要内容是围绕着autoit3的编译原理。先开门见山的说一下结果,我不知道如何反编译au3,但相信论坛有很多高手,能解开我心中的疑团。我没有想通过反编译去获取别人源码的欲望,只是在学习au3的过程中,总有想窥探庐山真面目的冲动。很多挥之不去的问题,比如autoit3是怎么工作的,它的exe文件又是如何被人反编译的?相信具备这些知识能帮助我们更好的了解autoit3,以下是我的探索过程,希望起到抛砖引玉之功效。 据我第一次接触autoit3至今已有两个月之久,autoit的send和hotkey函数是我学习它的根本原因。随着学习的深入,我发现它称得上一门小而强大的脚本语言——内核小、功能强大。如果没有发生什么意外的话,对于autoit,我会像其他语言一样把它学下去,但是意外就在不经意之间发生了,这个意外也改变了我的学习轨迹。有一天,我把一个脚本打包成exe文件,在运行的时候产生了一个错误,信息居然告诉我某一行、某一个函数出错了。大家不要嘲笑我无知,我的确被这个提示震惊了。因为我一直认为它经过“编译”后,已经很难反编译到源码了,至少不能准确的知道出错处的是源码的第几行。显然,我的认识错了。我不禁想知道,它的编译是一个怎么样的过程? autoit3本身很难给我这个答案,我只好把这个答案诉诸于它的胞弟autohotkey,我下了autohotkey的源码,包括compiler的源码。通过阅读代码我大致知道脚本文件是如何执行的,相信autoit也类似,所以请允许我以autoit作为描述的对象。 假设我们脚本中只有一句代码:WinActivate("QQ2012.exe")。解析的代码如下: 1)AutoIt3.exe读取脚本文件(一次读一行),接着对这一行进行词法分析。 2)找到了单词WinActivate,匹配关键词列表,检查是否是想要的关键词。WinActivate等,每个函数都有一个相对应的行为事件,供接下来调用。 3)如果是想要关键词(这里是WinActivate),检查它的参数:“QQ2012.exe”。(注意:参数是更加关键词的属性而定,有些关键词不需要参数。) 4)关键词和参数都已经得到,此时解释器已经知道了代码的行为。调用对应的事件对其进行处理。 5)查找进程列表,得到QQ2012.exe的进程号,然后通过windows api SetForegroundWindow激活窗口 好了,最简单的一个函数已经完成。其他功能估计也是大同小异,最终都是调用api来实现,从上面的过程来看,我们发现它不存在编译的过程。 Compiler又做了什么事情呢?

本帖隐藏的内容需要回复才可以浏览

1)创建一个exe文件,假设为test.exe 2)把AutoItSC.bin拷贝到test.exe,此时AutoItSC.bin完全等于test.exe 3)对test.exe进行压缩(可选) 4)调用exearc库将源码写入test.exe,exearc是闭源库,所以无法知道它做了什么。 一个test.exe就完成了,悬念就在exearc做了什么,下面马上为你解答。

运行test.exe的时候发生了什么?

本帖隐藏的内容需要回复才可以浏览

一切结果都源自合理的猜测,在没有知道真相之前,我认为test.exe进程会读取自身空间的某个地址,也就是源码地址然后进行“反编译”,但是我没有发现这样的行为。而是发现了test.exe把自身当成一个文件读了进来。我不禁拍案叫到,这不是和脚本解析一模一样吗?的确一样。但是它读取的数据都是“乱码”并不是明文。我突然想到了a3x文件,然后通过很多对比实验发现所谓的exe文件 == bin + a3x。所以反编译exe就等于对a3x的反编译。 a3x不是一个编译文件,而是一个加密文件,它的组成结构是:头 + 校验码 + 密文 + 尾 的形式存在,以上结论都是通过实验进行推断。所以那些破解au3的人们并没有什么神秘之处,用心就能发现更多。但是我对如何解密源码兴趣不大,因为这个已经超出了我的领域。

到这里au3的机制也讲的差不多了。大家有什么意见请反馈,谢谢。