AutoHotKey之JB01 Script解密

  AutoHotKey的文件校验除了搜索A3 48 4B BE-98 6C 4A A9-99 4C 53 0A-86 D6 48 7D外,还进行CRC32校验,校验码存放于文件最后一个DW
  另外它还对这16个字节后的几个字节进行解密对比,以确定Script的类型,而采用不同的方式解密
  对于>AUTOHOTKEY SCRIPT<类型的角本,只要搜索如下特征串,在该Sub下断,待解密内存为3CXXXX时,该SUB运行完即解密成功.
57 FF 74 24 10 E8 ?? ?? ?? ?? 33 FF 59 39 7C 24 0C 76 17 56 8B 44 24 0C 8D 34 07 E8 ?? ?? ?? ?? 30 06 47 3B 7C 24 10 72 EB 5E 5F C2 0C 00
  对于JB01的Script,上述步骤仅完成初步解密,待解密内存为3CXXXX时,再对memcpy下断,第二次断于memcpy后,即可在3CXXXX附近看到解密后的Script
  

你可能感兴趣的:(职场,autohotkey,休闲)