python的exe反编译
<p></p><div class="toc"><div class="toc-container-header">目录</div><ul><li>python的exe反编译<ul><li>方法一、使用archive_viewer.py提取pyc</li><li>方法二、使用pyinstxtractor.py提取pyc</li></ul></li></ul></div><p></p><h1 id="python的exe反编译">python的exe反编译</h1>
<p>驱动人生样本为python打包的exe文件,尝试反编译为py文件。</p>
<p>使用pyinstxtractor.py生成pyc文件。</p>
<p>实际尝试发现,直接反编译会报错</p>
<p><img src="https://img2018.cnblogs.com/blog/1346826/201907/1346826-20190710092148022-1833187844.png"></p>
<p>看到前面利用pyinstxtractor.py反编译的错误里有个提示“not a pyinstaller archive”,而用来提取的py脚本叫archive_viewer.py(使用archive_viewer.py要安装PyInstaller,通过pip install pyinstaller即可安装)</p>
<h2 id="方法一使用archive_viewerpy提取pyc">方法一、使用archive_viewer.py提取pyc</h2>
<p>archive_viewer.py命令</p>
<pre><code>#这里是archive_viewer.py可以使用的命令,这里我们用“X”提取文件
U: go Up one level
O <name>: open embedded archive name
X <name>: extract name
Q: quit
</code></pre>
<p><img src="https://img2018.cnblogs.com/blog/1346826/201907/1346826-20190710092158106-481554843.png"></p>
<blockquote>
<p>由于用PyInstaller打包后,pyc文件的前8个字节会被抹掉,所以最后要自己添加回去。</p>
<p>前四个字节为python编译的版本,后四个字节为时间戳。(四个字节的magic number、四个字节的timestamp)</p>
<p>想要获得编译版本可以查看打包文件里struct的信息,so这里还是提取出struct这个文件</p>
</blockquote>
<p><img src="https://img2018.cnblogs.com/blog/1346826/201907/1346826-20190710092210429-491334513.png"></p>
<p>用16进制编辑器打开struct文件,复制其前8个字节</p>
<p><img src="https://img2018.cnblogs.com/blog/1346826/201907/1346826-20190710092225031-1314948559.png"></p>
<p>添加到ii.pyc中</p>
<p><img src="https://img2018.cnblogs.com/blog/1346826/201907/1346826-20190710092233657-1908274267.png"></p>
<p>然后使用工具反编译pyc即可得到py。</p>
<p>*<em>可用uncompyle <em>.pyc反编译pyc文件得到py</em></em></p>
<h2 id="方法二使用pyinstxtractorpy提取pyc">方法二、使用pyinstxtractor.py提取pyc</h2>
<p><strong>直接使用pyinstxtractor.py去提取exe文件中的pyc会报错,需要去掉签名信息后再使用pyinstxtractor.py解开</strong></p>
<p><img src="https://img2018.cnblogs.com/blog/1346826/201907/1346826-20190710092246930-96597976.png"></p>
<p><strong>首先去掉exe文件的签名</strong></p>
<p>查看pyinstaller源码得知,PyInstaller首先会通过读取程序最后的数据进行识别,如果是符合格式的才会进行解析(c/Program Files/Python/Python37/Lib/site-packages/PyInstaller/archive/reader.py)</p>
<p><img src="https://img2018.cnblogs.com/blog/1346826/201907/1346826-20190710092257151-184821391.png"></p>
<blockquote>
<p>MAGIC是文件末尾开始识别的地方。</p>
<p>pyinstaller2.0是包括MAGIC在内的24个字节长度</p>
<p>pyinstaller2.1是包括MAGIC在内的88个字节长度</p>
<p>\014\013\012\013\016 是8进制,可转换为16进制查看</p>
</blockquote>
<p>使用16进制编辑器打开svchost.exe,从最后向前搜索MEI,找到匹配MAGIC的整个结构。</p>
<p><img src="https://img2018.cnblogs.com/blog/1346826/201907/1346826-20190710092312170-8972409.png"></p>
<p>从MEI开始,选中向后88个字节长度为止,剩下后面部分全都删掉(删除格式之后的数据)。</p>
<p><img src="https://img2018.cnblogs.com/blog/1346826/201907/1346826-20190710092323886-1327325152.png"></p>
<p>然后就完成了去签名。</p>
<p>最后直接用pyinstxtractor.py提取即可。这里也需要和之前一样修复头部数据,方法和上面一样。</p>
<p><img src="https://img2018.cnblogs.com/blog/1346826/201907/1346826-20190710092332416-46004023.png"></p>
</div>
<div id="MySignature" role="contentinfo">
GitHub:https://github.com/b4zinga<br>
博客园 : http://www.cnblogs.com/0x4D75/<br><br>
来源:https://www.cnblogs.com/0x4D75/p/11161797.html
頁:
[1]