溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

Python文件反編譯怎么實(shí)現(xiàn)

發(fā)布時間:2021-12-07 09:09:11 來源:億速云 閱讀:588 作者:iii 欄目:開發(fā)技術(shù)

本篇內(nèi)容介紹了“Python文件反編譯怎么實(shí)現(xiàn)”的有關(guān)知識,在實(shí)際案例的操作過程中,不少人都會遇到這樣的困境,接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧!希望大家仔細(xì)閱讀,能夠?qū)W有所成!

python的便利性,使得如今許多軟件開發(fā)者、黑客都開始使用python打包成exe的方式進(jìn)行程序的發(fā)布,這類exe有個特點(diǎn),就是可以使用反編譯的方法得到程序的源碼,是不是很神奇?我們接下來就開始學(xué)習(xí)如何反編譯有python打包成的exe程序吧。PS:下面介紹的是使用比較廣泛的pyinstaller的反編譯方法。

下面是一個由pyinstaller打包的勒索病毒,我們通過其圖標(biāo),就可以知道它是pyinstaller打包的。

Python文件反編譯怎么實(shí)現(xiàn)

反編譯的第一步是將exe文件轉(zhuǎn)換成pyc文件,這里使用的是pyinstxtractor

輸入命令:python pyinstxtractor.py [filename] ,即可完成轉(zhuǎn)換。PS:python要使用相對應(yīng)的版本。

Python文件反編譯怎么實(shí)現(xiàn)

解壓成功后,同路徑下會出現(xiàn)一個[filename]_extracted的文件夾,這里面就包含了主程序lockyfud,我們要反編譯的就是這個文件,其他的都是依賴庫,如out00-PYZ-extracted文件夾里的都是庫文件,我們不必關(guān)心。我們這時可能會納悶,為什么該文件不是.pyc文件?這可能是pyinstxtractor的一點(diǎn)不足,轉(zhuǎn)換出來的主程序格式不對,我們還需要對其進(jìn)行手動修復(fù)。

Python文件反編譯怎么實(shí)現(xiàn)

我們需要在該文件起始位置加上8個字節(jié)的pyc頭,由4字節(jié)的magic和4字節(jié)的時間戳組成,其中magic會因?yàn)閜ython版本的不同而不同,那我們怎么知道是啥呢?有個技巧就是,查看struct文件的magic,直接復(fù)制過去。

Python文件反編譯怎么實(shí)現(xiàn)

添加完pyc頭之后是這樣的,新增了magic和時間戳:03 F3 0D 0A 00 00 00 00,然后保存為.pyc文件后,就完成修復(fù)了。

Python文件反編譯怎么實(shí)現(xiàn)

最后的工作就是將pyc反編譯成py了,這里使用uncompyle6,使用命令:pip install uncompyle6,即可完成安裝。然后輸入uncompyle6 [filename] > lock.py,將文件反編譯成py。

Python文件反編譯怎么實(shí)現(xiàn)

lock.py里的就是程序源碼了。

Python文件反編譯怎么實(shí)現(xiàn)

這里補(bǔ)充一點(diǎn),有些病毒程序,為了避免被反編譯,會進(jìn)行一些混淆,使得pyinstxtractor轉(zhuǎn)換出錯。如下這個文件,使用pyinstxtractor.py進(jìn)行轉(zhuǎn)換時會報錯,“Error : Unsupported pyinstaller version or not a pyinstaller archive”,意思就是說這不是一個pyinstaller打包的文件。

Python文件反編譯怎么實(shí)現(xiàn)

它就是個py可執(zhí)行文件呀,怎么會說不是一個pyinstaller打包程序呢?那就從這問題入手唄,看看為什么會出現(xiàn)這個錯誤。
來到pyinstxtractor代碼的第50行,原來代碼邏輯是這樣的,一旦讀取不到MAGIC,就會報錯,提示不是pyinstaller打包程序。

Python文件反編譯怎么實(shí)現(xiàn)

網(wǎng)上追溯,可以看到標(biāo)識MAGIC為 ‘ MEI\xxxxxx ',2.0版本的MAGIC位于 [end - 24] 處,2.1版本的MAGIC位于 [end - 88] 處。

Python文件反編譯怎么實(shí)現(xiàn)

而當(dāng)我們查看文件的二進(jìn)制時,發(fā)現(xiàn)文件末尾都是些垃圾數(shù)據(jù),根本沒有 ‘MEI' 標(biāo)識。

Python文件反編譯怎么實(shí)現(xiàn)

我們搜索一下,終于在上面的一個位置找到了MAGIC,這個就是pyinstaller標(biāo)識。接下來就是要把垃圾數(shù)據(jù)去除掉,使MAGIC位于24或88的位置,那到底是24還是88呢?(該文件是pyinstaller2.0還是pyinstaller2.1打包的),這就得看下2.0和2.1的區(qū)別了。

Python文件反編譯怎么實(shí)現(xiàn)

與2.0相比,2.1多了64字節(jié)的pylibname,那我們就看看該文件里存不存在pylibname。

Python文件反編譯怎么實(shí)現(xiàn)

我們在 ‘MEI' 后面發(fā)現(xiàn)了python27.dll,這個就是pylibname,看來這個是pyinstaller2.1打包的,所以我們就刪除從'MEI'+88之后的所有垃圾數(shù)據(jù)。刪除后的結(jié)果如下:

Python文件反編譯怎么實(shí)現(xiàn)

修復(fù)后,可以正常轉(zhuǎn)換了,之后的步驟如上。

Python文件反編譯怎么實(shí)現(xiàn)

“Python文件反編譯怎么實(shí)現(xiàn)”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注億速云網(wǎng)站,小編將為大家輸出更多高質(zhì)量的實(shí)用文章!

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI