3lioo

في هذا المقال سأشرح فك تلغيمة autoit مشهورة جدا  أولا نفحص الملف و النتيجة كانت مثل ما شفنا autoit الأن سأستخدم الأداة المشهورة Exe2Aut بسهولة نسحب الملف عالأداة و رح يظهرلنا الأتي كما نرى وظيفة السكربت نسخ الملف 111 للتيمب و نسخ الملف الملغوم add list أيضا و تشغيل الملفين  الأن سأنتقل لتحليل الملف 111 يبدو إنه مبرمج بمنصة دوت نيت و سأقوم بتحليله باستخدام dnspy ندخل لنقطة دخول البرنامج و نستعرض  أولا يتم عمل سليب لمدة 25000 ميلي ثانية ثم يتم اضافة قيمة ريجستري لتشغيل الملف مع كل بدء تشغيل ثانيا يتم تنفيذ دالة wde() التي كما سنرى الأن مسؤولة عن فك الملف و تشغيله لذلك سأضع نقطة توقف و أشغل البرنامج عند الوصول كما في الصورة بالأسفل سيكون قد تم فك الملف و حفظه بالذاكرة يالي بمثله المتغير rawassemply رح نستعرضه و نعمله حفظ  طبعا بعد ما حفظناه للملف بعد الفك نفحصه و نرى إنه أيضا مبرمج بالدوت نت لذلك بعد استعراضه بال dnspy نرى التالي و يبدو كل شيء واضح