python打包exe反编译源码_python的exe反编译
Ŀ¼
驱动⼈⽣样本为python打包的exe⽂件,尝试反编译为py⽂件。
使⽤pyinstxtractor.py⽣成pyc⽂件。
实际尝试发现,直接反编译会报错
看到前⾯利⽤pyinstxtractor.py反编译的错误⾥有个提⽰“not a pyinstaller archive”,⽽⽤来提取的py脚本叫archive_viewer.py(使⽤archive_viewer.py要安装PyInstaller,通过pip install pyinstaller即可安装)
archive_viewer.py命令 #这⾥是archive_viewer.py可以使⽤的命令,这⾥我们⽤“X”提取⽂件 U: go Up one level O : open embedded archive name X : extract name Q: quit
由于⽤PyInstaller打包后,pyc⽂件的前8个字节会被抹掉,所以最后要⾃⼰添加回去。
前四个字节为python编译的版本,后四个字节为时间戳。(四个字节的magic number、四个字节的timestamp)
python怎么读取py文件想要获得编译版本可以查看打包⽂件⾥struct的信息,so这⾥还是提取出struct这个⽂件
⽤16进制编辑器打开struct⽂件,复制其前8个字节
添加到ii.pyc中
然后使⽤⼯具反编译pyc即可得到py。
**可⽤uncompyle *.pyc反编译pyc⽂件得到py**
直接使⽤pyinstxtractor.py去提取exe⽂件中的pyc会报错,需要去掉签名信息后再使⽤pyinstxtractor.py解开
⾸先去掉exe⽂件的签名
查看pyinstaller源码得知,PyInstaller⾸先会通过读取程序最后的数据进⾏识别,如果是符合格式的才会进⾏解析(c/Program
Files/Python/Python37/Lib/site-packages/PyInstaller/archive/reader.py)
MAGIC是⽂件末尾开始识别的地
⽅。
pyinstaller2.0是包括MAGIC在内的24个字节长度
pyinstaller2.1是包括MAGIC在内的88个字节长度
\014\013\012\013\016 是8进制,可转换为16进制查看
使⽤16进制编辑器打开,从最后向前搜索MEI,到匹配MAGIC的整个结构。
从MEI开始,选中向后88个字节长度为⽌,剩下后⾯部分全都删掉(删除格式之后的数据)。
然后就完成了去签名。
最后直接⽤pyinstxtractor.py提取即可。这⾥也需要和之前⼀样修复头部数据,⽅法和上⾯⼀样。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。