当前位置: 移动技术网 > IT编程>脚本编程>Python > python的exe反编译

python的exe反编译

2019年07月10日  | 移动技术网IT编程  | 我要评论

灯火阑珊处青衫落拓,南阳haobc.vip,磁翻柱液位计

目录

python的exe反编译

驱动人生样本为python打包的exe文件,尝试反编译为py文件。

使用pyinstxtractor.py生成pyc文件。

实际尝试发现,直接反编译会报错

看到前面利用pyinstxtractor.py反编译的错误里有个提示“not a pyinstaller archive”,而用来提取的py脚本叫archive_viewer.py(使用archive_viewer.py要安装pyinstaller,通过pip install pyinstaller即可安装)

方法一、使用archive_viewer.py提取pyc

archive_viewer.py命令

#这里是archive_viewer.py可以使用的命令,这里我们用“x”提取文件
    u: go up one level
    o <name>: open embedded archive name
    x <name>: extract name
    q: quit

由于用pyinstaller打包后,pyc文件的前8个字节会被抹掉,所以最后要自己添加回去。

前四个字节为python编译的版本,后四个字节为时间戳。(四个字节的magic number、四个字节的timestamp)

想要获得编译版本可以查看打包文件里struct的信息,so这里还是提取出struct这个文件

用16进制编辑器打开struct文件,复制其前8个字节

添加到ii.pyc中

然后使用工具反编译pyc即可得到py。

**可用uncompyle *.pyc反编译pyc文件得到py**

方法二、使用pyinstxtractor.py提取pyc

直接使用pyinstxtractor.py去提取exe文件中的pyc会报错,需要去掉签名信息后再使用pyinstxtractor.py解开

首先去掉exe文件的签名

查看pyinstaller源码得知,pyinstaller首先会通过读取程序最后的数据进行识别,如果是符合格式的才会进行解析(c/program files/python/python37/lib/site-packages/pyinstaller/archive/reader.py)

magic是文件末尾开始识别的地方。

pyinstaller2.0是包括magic在内的24个字节长度

pyinstaller2.1是包括magic在内的88个字节长度

\014\013\012\013\016 是8进制,可转换为16进制查看

使用16进制编辑器打开svchost.exe,从最后向前搜索mei,找到匹配magic的整个结构。

从mei开始,选中向后88个字节长度为止,剩下后面部分全都删掉(删除格式之后的数据)。

然后就完成了去签名。

最后直接用pyinstxtractor.py提取即可。这里也需要和之前一样修复头部数据,方法和上面一样。

您可能感兴趣的文章:

如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网