如何解包 Python 恶意可执行文件

最新推荐文章于 2024-08-06 10:39:15 发布
最新推荐文章于 2024-08-06 10:39:15 发布
阅读量902 收藏 29
点赞数 30
文章标签: 网络 零基础 python web安全 网安入门 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84466325/article/details/139237015
版权

使用 Python 编写的程序通常以源码的形式发布,也可以将所有依赖都打包到一个可执行文件中。那么如何解包 Python 恶意可执行文件呢?

 

打包

打包与加壳不同,打包 Python 程序的目的是创建一个可以在操作系统上独立运行的可执行文件。使用例如 PyInstaller 这类打包工具时,会执行以下操作:

将所有.py 源文件编译为 python 字节码文件(.pyc文件)

整合所有 python 编译的源代码和 python 依赖,包括依赖于操作系统的 python 解释器(Linux 上的 libpython3.9.so.1.0 或 Windows 上的 python37.dll)

将所有资源都打包在一起,执行时将这些资源都解压到内存中,然后使用解释器解释执行原始 python 代码

以 Windows 平台为例,将示例代码使用 PyInstaller 进行打包:

image.png-21kB

示例代码

直接运行脚本文件是很容易的:

image.png-34.8kB

运行情况

打包如下所示:

image.png-176.8kB

打包情况

打包得到的 evil_program.exe可以直接运行,可得到与脚本相同的运行结果。此时,程序可以移动到另一个完全没有 Python 环境的机器上一样可以执行

image.png-23.7kB

运行情况

在 Windows 上解包 Python<3.9

如果样本中可以看到很多以 py 开头的字符串,基本可以断定是一个打包的 Python 程序。

image.png-76.9kB

字符串

对于 PyInstaller 来说,还有独特字符串 MEIPASS。

监控运行程序时在临时文件夹中创建了哪些文件,就能够知道使用的 Python 版本。例如 python38.dll 意味着使用的是 Python 3.8 版本。

image.png-230.5kB

监控文件系统

想要恢复源代码,必须要保证:

解压得到所有文件,特别是编译后的字节码文件(.pyc)

反编译感兴趣的 .pyc 文件

解压可以使用 pyinstxtractor,使用相同版本的 Python 即可解压得到文件:

image.png-68.2kB

解压文件

pyinstxtractor 还额外提供了哪些是 Python 程序文件的信息,尽管存在误报但是也有很大的帮助。可以看到主文件是 evil_program.pyc:

提取文件

接着使用 uncompyle6进行反编译,值得注意的是 uncompyle6 只支持到 Python 3.8。

image.png-39kB

反编译

在 Linux 上解包 Python>=3.9

再次使用 pyinstxtractor 解压样本文件。由于样本是 64 位 ELF 文件,不能直接使用 pyinstxtractor 需要将文件的 pydata 转存到一个单独的文件再执行 pyinstxtractor。

image.png-50.7kB

转存文件

解包成功如下所示,也需要配合相应的 Python 版本:

image.png-69.5kB

解压文件

解压后的数据中有一个 RansomWare.pyc,就是需要关注的内容。由于使用 Python 3.9,需要 Decompyle++进行反编译。该工具美中不足的就是没有文档讲解如何进行构建,如下所示:

image.png-154.8kB

构建反编译工具

如果想要从任何地方调用 pycdc 命令,也可以运行 sudo make install。

pycdc 是反编译命令,使用它来恢复 RansomWare.pyc 的源代码:

image.png-52.2kB

反编译

当然,某些情况下也会遇到反编译失败的问题。但大部分代码还是可以正常进行反编译的:

image.png-29.9kB

反编译失败

反编译失败时,可以使用 pycdas 命令来恢复“反汇编”的字节码。

image.png-135.3kB

write_key() 函数的字节码反汇编

结论

本文介绍了如何解压和反编译使用 PyInstaller 打包的 Python 程序,在应对使用 Python 编写的恶意软件时可以在源码级进行分析,可以大大提高效率。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取 

 读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

同时每个成长路线对应的板块都有配套的视频提供: 

大厂面试题

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料

所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~ 

 读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

白帽子黑客-宝哥
关注
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3103
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
PyInstallerPython文件打包为exe后如何反编译(破解源码)以及防止反编译
01-21
环境: win7+python3.5(anaconda3) 理论上,win7及以上的系统和python任意版本均可。 一、基础脚本 首先我们构建一个简单的脚本,比如输出一串数字、文本之类,这里我们输出一串文字的同时计算一下3次方好了。 # -*- coding: utf-8 -*- Created on Wed Aug 29 09:18:13 2018 @author: Li Zeng hai def test(num): print('num={n}, {n}^3={n2}'.format(n=num, n2=num**3)) if __name__ == '__m
Pyinstaller解包
loovelj的博客
07-15 6303
最近由于忘了源代码放哪里了,只能从Pyinstaller打包好的exe文件中找了,参考了一下教程,发现挺简单。 1、把exe转为pyc文件 1、首先在GitHub上下载pyinstxtractor,然后基于pyinstxtractor.py这个文件执行语句 python pyinstxtractor.py test.exe # 输出 [+] Processing dist\test.exe [+] Pyinstaller version: 2.1+ [+] Python version: 36 [+] L
记一次python逆向:反编译pyinstaller打包生成的exe
最新发布
qq_42944740的博客
08-06 1636
首先声明一点,逆向这块我是纯小白,我是通过看各种博客,反复折腾才搞出来的,写的有错误的地方,还请各位大佬多多指正。
Pyinstaller打包程序解包,反编译(部分支持python3.11)
weixin_55030700的博客
08-25 1427
程序为Github开源项目打包的Release。将pyc文件反编译为py文件(可能会存在部分文件无法反编译)。支持如下py版本~。
Python解包及反编译: PyInstaller Extractor+uncompyle6
风吹落叶的博客
04-28 3725
有时候会遇到一些人制作一键安装包的时候会把一些程序封装进exe里面,但我们又想拿到里面源码的情况。在这里就涉及到了解包与反编译的。
EXE可执行文件解压工具
06-30
可对大部分EXE文件(非install)解压,,, 本人试用感觉还可以,,,
pickle —— Python 对象序列化(python=3.8)
Allen_by的博客
10-20 1819
模块 pickle 实现了对一个 Python 对象结构的二进制序列化和反序列化。 “Pickling” 是将 Python 对象及其所拥有的层次结构转化为一个字节流的过程,而 “unpickling” 是相反的操作,会将(来自一个 binary file 或者 bytes-like object 的)字节流转化回一个对象层次结构。Pickling(和 unpickling)也被称为“序列化”, ...
Python-mecleaner英特尔METXE固件镜像部分去除的工具
08-10
- 然后,使用`Python-mecleaner`进行解包,这通常涉及运行特定的命令行选项来读取固件。 - 工具将解析固件结构,并提供一个界面让用户选择要移除的组件。 - 最后,重新打包修改后的固件,并替换原来的版本。 4. ...
EXE文件捆绑打包机(源码).rar
03-11
1. **可执行文件(EXE)结构**: 可执行文件是Windows操作系统中用于运行程序的文件格式。它们包含指令、资源、元数据等,使得计算机能够解析并执行其中的代码。EXE文件的结构包括PE(Portable Executable)头,它...
Python库.20240617
lanlingxueyu的博客
06-13 1476
Python库 20240617 更新时间
pyinstaller
11-03
下载后安装pyinstaller: 解压进入其目录后,执行python Configure.py 时会提示:需要安装pywin32. 而安装pywin32后,继续安装pyinstaller还是提示没有安装pywin32,原因在于,安装pywin32后需要把三个动态库文件放到c盘WINDOWS目录中system32下,这三个dll文件的位置在C:\Python26\Lib\site-packages\pywin32_system32,注意单独下载python新增模块时,需要同python版本匹配,还有32位或者64位的机子匹配。 复制之后,就可以完成pyinstaller的安装了,一定要 执行python Configure ! 才能真正使用pyinstaller的所有功能。 之后把你自己写好的python文件(first.py)放到pyinstaller目录下, 执行python Makespec.py --onefile first.py 然后再执行python Build.py .\first\first.spec 此时的结果就是在pyinstaller目录下新建了一个first文件夹,里面有新生成的first.spec,build目录,dist目录。 我们需要的first.exe文件就在dist目录里(distribution,发行版)。
Pyinstaller反编译脚本pyinstxtractor
08-29
反编译工具。具体使用教程可以参见:http://www.lizenghai.com/archives/898.html
mk2fs等系统打包,解包工具东西很多,解压大约500MB
11-21
linux平台可执行文件,一定要放在linux平台使用,还有大约500MB的可执行文件,我后边补上,目的是为了帮助没有编译条件的同学方便使用诸如系统解包,打包等一系列工具,同学可以下载下去使用,具体文件可以自己查看
exe解包和重新打包_Pyinstaller 打包Python脚本踩坑之旅
weixin_39540744的博客
11-20 1347
前言:众所周知,python是一门强大的胶水语言,尤其凭借其丰富的第三方库近些年来十分火热,对于像我们这样日常与数据打交道的小伙伴来说,为了提高工作效率使用python写个自动化脚本已然成为刚需,所谓“独乐乐不如众乐乐”,为了大家一起早点下班,一起玩耍,就免不了把我们写的脚本打包成.exe文件分享给需要的小伙伴,这样的好处是对方不需要安装python解释器也不需要安装第三方库,拿来就可以直接用,方...
python exe太大_pyinstaller打包的exe太大?你需要嵌入式python玄学
weixin_39884078的博客
11-20 585
pyinstaller打包一个exe动辄几十M几百M (特别是import pandas以后)知乎上居然没有人po这方面的”知识“(手动狗头)查了很多关于reduce pyinstaller打包出exe大小的方法列举如下玄学解法1 去除不必要的库当我们用cmd/powershell 输入这一段神秘代码并且回车的时候pyinstaller除了会打包test.py使之成为一个exe之外,还会创建一的后...
[羊城杯 2020]login + pyinstaller细节解包
m0_46296905的博客
04-29 1510
题目:[羊城杯 2020]login pyinstaller打包后的64位程序。 一、pyinstaller解包 【参考看雪论坛的发帖】 (一).exe——>.pyc 方法1:PyInstaller Extractor 用PyInstaller Extractor解包 把pyinstxtractor.py和attachment.exe文件放在同个目录下 打开cmd,进入该目录,输入: python pyinstxtractor.py attachment.exe 这里有个值得注意的地方就是执行这个
Python反编译pyinstaller打包的exe文件 从0开始(未加密篇)
u010326269的博客
10-29 7669
因为pyinstaller方便、兼容性相对较好,所以我们会经常见到一些用pyinstaller打包的Python程序,在这里我们了解一下如何对这些打包好的exe文件进行反编译(即反编译出.py文件),也可以通过对抗去改进我们程序的保护措施。 0.前提准备 确认程序 我们首先要确认一个exe程序他是不是由pyinstaller编译的,如果不是那就没必要再往下操作了。 一般我们可以看程序图标,比较标志性的两个 上方图标表示不带命令行(即pyinstaller -w) 下方图标表示带命令行 也可
python exe文件解包方法
波波日常工作学习的笔记本
02-16 8047
在将Python文件打包成exe文件的过程中,会抹去pyc文件前面的部分信息,所以我们在反编译之前需要检查并添加上这部分信息。对于上述这些加密,在工作中,常见将一些Python写的脚本、程序使用Pyinstaller打包为exe文件的居多,因为即使对方没有python环境,也可以运行程序,具有较好的兼容性。遇到这种情况后,在前面步骤1中,找到PYZ-00.pyz_extracted文件夹中任意一个pyc文件,记住前面的4个字节,在目标文件第一行输入前4个字节,后续补0。可以先尝试用方法1,失败后用方法2。
Python程序转可执行文件:带参数与PyInstaller封装指南
"这篇教程将指导你如何将一个带参数的Python程序转化为可执行文件(.exe),主要关注在Windows平台上使用PyInstaller工具进行封装。" 在Python编程中,有时我们需要将编写好的程序转换为可独立运行的可执行文件,便于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值