PE文件+PyInstaller壳 反编译为python脚本

已于 2023-06-17 09:20:28 修改
阅读量1.2k 收藏 2
点赞数
分类专栏: 取证 文章标签: python 网络
于 2023-04-24 20:45:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wow0524/article/details/130329417
版权

1、查壳

DetectltEasy、PeiD查壳

2、脱壳

常见打包工具PyInstaller,脱壳方法

(1)用pyinstxtractor.py脱壳,用”python pyinstxtractor.py 1.exe“命令,生成“.exe文件名_extracted”

(2)用pyinstaller脱壳,之后可用pyi-archive_viewer +exe文件名查看 exe 内部的文件结构

下载:pip install pyinstaller

使用:pyinstaller 1.exe、pyi-archive_viewer 1.exe

3、反编译pyc

定位到pyc文件后,反编译pyc文件

(1)python反编译 - 在线工具 (tool.lu)

(2)decompyle3

下载: pip install decompyle3

使用:decompyle3 1.pyc > 1.py或者decompyle3 -o 1.py 1.pyc

(3)uncompyle3

下载:pip install uncompyle3

使用:uncompyle3 1.pyc > 1.py或者uncompyle3 -o 1.py 1.pyc

注意:

如果反编译遇到错误,可能因为pyinstaller脱壳生成pyc文件时,头部的magic缺失,补上即可

如果遇到错误,可能因为pyc文件生成时,头部的magic number被清理,需要另外补上

python各个版本的magic头

    MAGIC_1_0 = 0x00999902,
    MAGIC_1_1 = 0x00999903, /* Also covers 1.2 */
    MAGIC_1_3 = 0x0A0D2E89,
    MAGIC_1_4 = 0x0A0D1704,
    MAGIC_1_5 = 0x0A0D4E99,
    MAGIC_1_6 = 0x0A0DC4FC,

    MAGIC_2_0 = 0x0A0DC687,
    MAGIC_2_1 = 0x0A0DEB2A,
    MAGIC_2_2 = 0x0A0DED2D,
    MAGIC_2_3 = 0x0A0DF23B,
    MAGIC_2_4 = 0x0A0DF26D,
    MAGIC_2_5 = 0x0A0DF2B3,
    MAGIC_2_6 = 0x0A0DF2D1,
    MAGIC_2_7 = 0x0A0DF303,

    MAGIC_3_0 = 0x0A0D0C3A,
    MAGIC_3_1 = 0x0A0D0C4E,
    MAGIC_3_2 = 0x0A0D0C6C,
    MAGIC_3_3 = 0x0A0D0C9E,
    MAGIC_3_4 = 0x0A0D0CEE,
    MAGIC_3_5 = 0x0A0D0D16,
    MAGIC_3_5_3 = 0x0A0D0D17,
    MAGIC_3_6 = 0x0A0D0D33,
    MAGIC_3_7 = 0x0A0D0D42,
    MAGIC_3_8 = 0x0A0D0D55,
    MAGIC_3_9 = 0x0A0D0D61,

 小端存储,两位两位倒着存,来自https://www.cnblogs.com/Here-is-SG/p/15885799.html

比较眼熟的,winhex查看文件十六进制,图来自d3f4u1t

 举个栗子,3.7.4版本的python

五五六六0524
关注
专栏目录
PE EXE 反编译
08-26
功能极为强大的可视化汉化集成工具,可直接浏览、修改软件资源,包括菜单、对话框、字符串表等; 另外,还具备有 W32DASM 软件的反编译能力和PEditor 软件的 PE 文件头编辑功能,可以更容易的分析源代码,修复损坏了的资源,可以处理 PE 格式的文件如:EXE、DLL、DRV、BPL、DPL、SYS、CPL、OCX、SCR 等 32 位可执行程序。 该软件支持插件,你可以通过增加插件加强该软件的功能, 原公司在该工具中捆绑了 UPX 的脱插件、扫描器和反汇编器,非常好用。 唯一遗憾的是欠缺字典功能……
PE文件 反汇编
qq_38393271的博客
05-05 2216
PE文件 反汇编1.PE文件1.1 Dos头1.1.1 使用python pefile 库读取PE文件,查看DOS头1.1.2 使用16进制文本编辑器 UltraEdit 打开PE文件1.2 NI头1.2.1 使用python pefile 库读取PE文件,查看IN头1.3 节表头1.3.1 使用16进制文本编辑器 UltraEdit 查看各节表头1.3.2 使用python pefile 库读取PE文件,查看.text节表头1.4 节表内容(.text)2.反汇编2.1 使用python capston.
记一次python逆向:反编译pyinstaller打包生成的exe
qq_42944740的博客
08-06 1722
首先声明一点,逆向这块我是纯小白,我是通过看各种博客,反复折腾才搞出来的,写的有错误的地方,还请各位大佬多多指正。
PE 文件解析程序(含反汇编)
08-13
解析PE文件,包括数据,资源待。代码反汇编,函数结构分析等~~
【逆向工程】十六进制编辑器与反编译的手写PE文件格式(详细教程)
weixin_60838266的博客
07-23 1598
本文主要分析pe文件格式中各重要字段值的过程,尤其是dos头、pe文件头、各区块头以及区块数据; 重点分析rdata区块的十六进制数填写过程,完整的pe文件即exe文件以及其对应的十六进制数,进行手写PE文件格式。
peexplore反编译工具
05-13
专业的exe文件察看工具,可以实现对可执行文件的察看,并支持插件
Pyinstaller反编译
qq_40375355的博客
02-20 483
Pyinstaller反编译
PyInstallerPython文件打包为exe后如何反编译(破解源码)以及防止反编译
01-21
win7+python3.5(anaconda3) 理论上,win7及以上的系统和python任意版本均可。 一、基础脚本 首先我们构建一个简单的脚本,比如输出一串数字、文本之类,这里我们输出一串文字的同时计算一下3次方好了。 # -*- ...
Pyinstaller反编译脚本pyinstxtractor
01-21
标题 "Pyinstaller反编译脚本pyinstxtractor" 提及的是一个用于处理由PythonPyInstaller工具生成的可执行文件(exe)的工具。PyInstaller是一个流行的选择,它允许开发者将Python应用程序打包成独立的可执行文件,...
python 反编译exe文件为py文件的实例代码
09-19
### Python 反编译 EXE 文件为 PY 文件的实例代码详解 #### 一、引言 在Python开发领域,有时我们需要将编译后的EXE文件还原回原始的PY源码文件,这通常是为了进行逆向工程分析或者恢复丢失的源代码。本文将详细...
如何使用PyInstaller打包Python应用(包含参数详解,spec文件详解,反编译和防止反编译
XiaoqiangClub的博客
09-28 557
PyInstaller是一个强大的Python打包工具,它可以将Python程序打包成独立的可执行文件,方便在不同的操作系统上分发和运行。使用PyInstaller,你可以将Python应用程序打包成单个可执行文件,而无需安装Python解释器和依赖库,从而简化了应用程序的发布过程。
PE,反汇编,反编译,目标程序反推源代码,破解中的必备知识
01-21
逆向工程中需要了解PE文件的细节,此文档资料就值得读下 适合于结合反编译,和反汇编工具使用
PE Explorer 1.99 R5 反编译软件 简体中文版 (安装版-免注册)
07-30
PE Explorer 1.99 R5 简体中文版 上次找到一个绿化版,现在上传一个安装版 分多了点,不过值,免注册!安装就能用! 上一个安装版没做好,又重新打包了一下,更加精美! CSDN上传资源后,不让删啊!
批量反编译pyc工具
06-29
很好用的批量反编译pyc工具,美中不足是转义后的文件后缀是pyc_dis,需要自己修改一下
『CV学习笔记』Pyinstaller打包python程序遇到的问题(Win&Linux)+Cython编译动态库+PyArmor加密
AI新视界
08-03 1998
PyInstallerPython应用程序及其所有依赖项捆绑到一个单独的包中。用户可以在不安装Python解释器或任何模块的情况下运行打包的应用程序。最新的PyInstaller 6.3.0支持Python 3.8及更高版本,并正确捆绑了许多主要的Python包,例如numpy、matplotlib、PyQt、wxPython等。
Pyinstaller 反编译
jzwalliser的博客
02-06 2525
以前写过很多Python小程序,也将它们用pyinstaller打包成了各种exe,又将它们exe存到了各个角落。但有一次因为分区出问题而导致我的源码库全部被清除,只有那些遍布电脑不同角落的exe文件幸免于难。不得已,为了恢复一部分源码,只得将先前编译好的exe反编译成py文件
Python3.9及以上Pyinstaller 反编译教程(exe转py)
Elaine的博客
06-05 6836
Python3.9及以上Pyinstaller 反编译教程(exe转py) 1.使用pyinstxtractor.py将exe文件转换成pyc文件 2.给pyc文件添加文件头 3.使用pycdc工具反编译pyc文件,获得源码
Python解包及反编译: PyInstaller Extractor+uncompyle6
风吹落叶的博客
04-28 3880
有时候会遇到一些人制作一键安装包的时候会把一些程序封装进exe里面,但我们又想拿到里面源码的情况。在这里就涉及到了解包与反编译的。
pyinstaller打包出来的exe反编译
最新发布
buzhidao_cxd的博客
08-14 167
pyinstaller打包出来的exe反编译成源代码
pyinstaller反编译Python代码详解
此时,可以利用在线的.pyc反编译网站将.pyc文件转换回.py源代码格式。这样,我们就完成了从PyInstaller打包的可执行文件到原始Python源代码的还原过程。 虽然PyInstaller提供了方便的打包服务,但它并不保证完全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值