本文介绍了如何反编译由Python打包的EXE文件,通过pyinstxtractor.py生成PYC文件,但由于PyInstaller打包后会抹掉PYC文件的前8个字节,需要手动恢复。使用16进制编辑器修复头部数据,并利用uncompyle工具反编译得到PY源码。同时,详细说明了去除EXE文件签名的方法,以便进一步使用pyinstxtractor.py提取PYC。
Ŀ¼
驱动人生样本为python打包的exe文件,尝试反编译为py文件。
使用pyinstxtractor.py生成pyc文件。
实际尝试发现,直接反编译会报错
看到前面利用pyinstxtractor.py反编译的错误里有个提示“not a pyinstaller archive”,而用来提取的py脚本叫archive_viewer.py(使用archive_viewer.py要安装PyInstaller,通过pip install pyinstaller即可安装)
archive_viewer.py命令 #这里是archive_viewer.py可以使用的命令,这里我们用“X”提取文件 U: go Up one level O : open embedded archive name X : extract name Q: quit
由于用PyInstaller打包后,pyc文件的前8个字节会被抹掉,所以最后要自己添加回去。
前四个字节为python编译的版本,后四个字节为时间戳。(四个字节的magic number、四个字节的timestamp)
想要获得编译版本可以查看打包文件里struct的信息,so这里还是提取出struct这个文件
用16进制编辑器打开struct文件,复制其前8个字节
添加到ii.pyc中
然后使用工具反编译pyc即可得到py。
**可用uncompyle *.pyc反编译pyc文件得到py**
直接使用pyinstxtractor.py去提取exe文件中的pyc会报错,需要去掉签名信息后再使用pyinstxtractor.py解开
首先去掉exe文件的签名
查看pyinstaller源码得知,PyInstaller首先会通过读取程序最后的数据进行识别,如果是符合格式的才会进行解析(c/Program Files/Python/Python37/Lib/site-packages/PyInstaller/archive/reader.py)
MAGIC是文件末尾开始识别的地方。
pyinstaller2.0是包括MAGIC在内的24个字节长度
pyinstaller2.1是包括MAGIC在内的88个字节长度
\014\013\012\013\016 是8进制,可转换为16进制查看
使用16进制编辑器打开svchost.exe,从最后向前搜索MEI,找到匹配MAGIC的整个结构。
从MEI开始,选中向后88个字节长度为止,剩下后面部分全都删掉(删除格式之后的数据)。
然后就完成了去签名。
最后直接用pyinstxtractor.py提取即可。这里也需要和之前一样修复头部数据,方法和上面一样。
扫一扫
4084
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
