python的便利性，使得如今許多軟件開發(fā)者、黑客都開始使用python打包成exe的方式進行程序的發(fā)布，這類exe有個特點，就是可以使用反編譯的方法得到程序的源碼，是不是很神奇？我們接下來就開始學習如何反編譯有python打包成的exe程序吧。PS：下面介紹的是使用比較廣泛的pyinstaller的反編譯方法。

下面是一個由pyinstaller打包的勒索病毒，我們通過其圖標，就可以知道它是pyinstaller打包的。

反編譯的第一步是將exe文件轉(zhuǎn)換成pyc文件，這里使用的是pyinstxtractor，項目地址：
https://github.com/countercept/python-exe-unpacker/blob/master/pyinstxtractor.py

輸入命令：python pyinstxtractor.py [filename] ，即可完成轉(zhuǎn)換。PS：python要使用相對應的版本。

解壓成功后，同路徑下會出現(xiàn)一個[filename]_extracted的文件夾，這里面就包含了主程序lockyfud，我們要反編譯的就是這個文件，其他的都是依賴庫，如out00-PYZ-extracted文件夾里的都是庫文件，我們不必關(guān)心。我們這時可能會納悶，為什么該文件不是.pyc文件？這可能是pyinstxtractor的一點不足，轉(zhuǎn)換出來的主程序格式不對，我們還需要對其進行手動修復。

我們需要在該文件起始位置加上8個字節(jié)的pyc頭，由4字節(jié)的magic和4字節(jié)的時間戳組成，其中magic會因為python版本的不同而不同，那我們怎么知道是啥呢？有個技巧就是，查看struct文件的magic，直接復制過去。

添加完pyc頭之后是這樣的，新增了magic和時間戳：03 F3 0D 0A 00 00 00 00，然后保存為.pyc文件后，就完成修復了。

最后的工作就是將pyc反編譯成py了，這里使用uncompyle6，使用命令：pip install uncompyle6，即可完成安裝。然后輸入uncompyle6 [filename] > lock.py，將文件反編譯成py。

lock.py里的就是程序源碼了。

這里補充一點，有些病毒程序，為了避免被反編譯，會進行一些混淆，使得pyinstxtractor轉(zhuǎn)換出錯。如下這個文件，使用pyinstxtractor.py進行轉(zhuǎn)換時會報錯，“Error : Unsupported pyinstaller version or not a pyinstaller archive”，意思就是說這不是一個pyinstaller打包的文件。

它就是個py可執(zhí)行文件呀，怎么會說不是一個pyinstaller打包程序呢？那就從這問題入手唄，看看為什么會出現(xiàn)這個錯誤。
來到pyinstxtractor代碼的第50行，原來代碼邏輯是這樣的，一旦讀取不到MAGIC，就會報錯，提示不是pyinstaller打包程序。

網(wǎng)上追溯，可以看到標識MAGIC為 ‘ MEI\xxxxxx '，2.0版本的MAGIC位于 [end - 24] 處，2.1版本的MAGIC位于 [end - 88] 處。

而當我們查看文件的二進制時，發(fā)現(xiàn)文件末尾都是些垃圾數(shù)據(jù)，根本沒有 ‘MEI' 標識。

我們搜索一下，終于在上面的一個位置找到了MAGIC，這個就是pyinstaller標識。接下來就是要把垃圾數(shù)據(jù)去除掉，使MAGIC位于24或88的位置，那到底是24還是88呢？（該文件是pyinstaller2.0還是pyinstaller2.1打包的），這就得看下2.0和2.1的區(qū)別了。

與2.0相比，2.1多了64字節(jié)的pylibname，那我們就看看該文件里存不存在pylibname。

我們在 ‘MEI' 后面發(fā)現(xiàn)了python27.dll，這個就是pylibname，看來這個是pyinstaller2.1打包的，所以我們就刪除從'MEI'+88之后的所有垃圾數(shù)據(jù)。刪除后的結(jié)果如下：

修復后，可以正常轉(zhuǎn)換了，之后的步驟如上。

到此這篇關(guān)于Python可執(zhí)行文件反編譯教程(exe轉(zhuǎn)換py)的文章就介紹到這了,更多相關(guān)Python可執(zhí)行文件反編譯內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論