快捷導(dǎo)航

Python可執(zhí)行文件反編譯教程(exe轉(zhuǎn)py)

更新時(shí)間：2021年12月06日 11:27:56 作者：G4rb3n

python的便利性，使得如今許多軟件開(kāi)發(fā)者、黑客都開(kāi)始使用python打包成exe的方式進(jìn)行程序的發(fā)布，那么Python如何反編譯可執(zhí)行文件，本文就來(lái)介紹一下，感興趣的可以了解一下

python的便利性，使得如今許多軟件開(kāi)發(fā)者、黑客都開(kāi)始使用python打包成exe的方式進(jìn)行程序的發(fā)布，這類(lèi)exe有個(gè)特點(diǎn)，就是可以使用反編譯的方法得到程序的源碼，是不是很神奇？我們接下來(lái)就開(kāi)始學(xué)習(xí)如何反編譯有python打包成的exe程序吧。PS：下面介紹的是使用比較廣泛的pyinstaller的反編譯方法。

下面是一個(gè)由pyinstaller打包的勒索病毒，我們通過(guò)其圖標(biāo)，就可以知道它是pyinstaller打包的。

反編譯的第一步是將exe文件轉(zhuǎn)換成pyc文件，這里使用的是pyinstxtractor，項(xiàng)目地址：
https://github.com/countercept/python-exe-unpacker/blob/master/pyinstxtractor.py

輸入命令：python pyinstxtractor.py [filename] ，即可完成轉(zhuǎn)換。PS：python要使用相對(duì)應(yīng)的版本。

解壓成功后，同路徑下會(huì)出現(xiàn)一個(gè)[filename]_extracted的文件夾，這里面就包含了主程序lockyfud，我們要反編譯的就是這個(gè)文件，其他的都是依賴(lài)庫(kù)，如out00-PYZ-extracted文件夾里的都是庫(kù)文件，我們不必關(guān)心。我們這時(shí)可能會(huì)納悶，為什么該文件不是.pyc文件？這可能是pyinstxtractor的一點(diǎn)不足，轉(zhuǎn)換出來(lái)的主程序格式不對(duì)，我們還需要對(duì)其進(jìn)行手動(dòng)修復(fù)。

我們需要在該文件起始位置加上8個(gè)字節(jié)的pyc頭，由4字節(jié)的magic和4字節(jié)的時(shí)間戳組成，其中magic會(huì)因?yàn)閜ython版本的不同而不同，那我們?cè)趺粗朗巧赌?？有個(gè)技巧就是，查看struct文件的magic，直接復(fù)制過(guò)去。

添加完pyc頭之后是這樣的，新增了magic和時(shí)間戳：03 F3 0D 0A 00 00 00 00，然后保存為.pyc文件后，就完成修復(fù)了。

最后的工作就是將pyc反編譯成py了，這里使用uncompyle6，使用命令：pip install uncompyle6，即可完成安裝。然后輸入uncompyle6 [filename] > lock.py，將文件反編譯成py。

lock.py里的就是程序源碼了。

這里補(bǔ)充一點(diǎn)，有些病毒程序，為了避免被反編譯，會(huì)進(jìn)行一些混淆，使得pyinstxtractor轉(zhuǎn)換出錯(cuò)。如下這個(gè)文件，使用pyinstxtractor.py進(jìn)行轉(zhuǎn)換時(shí)會(huì)報(bào)錯(cuò)，“Error : Unsupported pyinstaller version or not a pyinstaller archive”，意思就是說(shuō)這不是一個(gè)pyinstaller打包的文件。

它就是個(gè)py可執(zhí)行文件呀，怎么會(huì)說(shuō)不是一個(gè)pyinstaller打包程序呢？那就從這問(wèn)題入手唄，看看為什么會(huì)出現(xiàn)這個(gè)錯(cuò)誤。
來(lái)到pyinstxtractor代碼的第50行，原來(lái)代碼邏輯是這樣的，一旦讀取不到MAGIC，就會(huì)報(bào)錯(cuò)，提示不是pyinstaller打包程序。

網(wǎng)上追溯，可以看到標(biāo)識(shí)MAGIC為 ‘ MEI\xxxxxx '，2.0版本的MAGIC位于 [end - 24] 處，2.1版本的MAGIC位于 [end - 88] 處。

而當(dāng)我們查看文件的二進(jìn)制時(shí)，發(fā)現(xiàn)文件末尾都是些垃圾數(shù)據(jù)，根本沒(méi)有 ‘MEI' 標(biāo)識(shí)。

我們搜索一下，終于在上面的一個(gè)位置找到了MAGIC，這個(gè)就是pyinstaller標(biāo)識(shí)。接下來(lái)就是要把垃圾數(shù)據(jù)去除掉，使MAGIC位于24或88的位置，那到底是24還是88呢？（該文件是pyinstaller2.0還是pyinstaller2.1打包的），這就得看下2.0和2.1的區(qū)別了。

與2.0相比，2.1多了64字節(jié)的pylibname，那我們就看看該文件里存不存在pylibname。

我們?cè)?‘MEI' 后面發(fā)現(xiàn)了python27.dll，這個(gè)就是pylibname，看來(lái)這個(gè)是pyinstaller2.1打包的，所以我們就刪除從'MEI'+88之后的所有垃圾數(shù)據(jù)。刪除后的結(jié)果如下：

修復(fù)后，可以正常轉(zhuǎn)換了，之后的步驟如上。

到此這篇關(guān)于Python可執(zhí)行文件反編譯教程(exe轉(zhuǎn)換py)的文章就介紹到這了,更多相關(guān)Python可執(zhí)行文件反編譯內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: