python的exe反编译

驱动人生样本为python打包的exe文件，尝试反编译为py文件。

使用pyinstxtractor.py生成pyc文件。

实际尝试发现，直接反编译会报错

看到前面利用pyinstxtractor.py反编译的错误里有个提示“not a pyinstaller archive”，而用来提取的py脚本叫archive_viewer.py（使用archive_viewer.py要安装PyInstaller，通过pip install pyinstaller即可安装）

方法一、使用archive_viewer.py提取pyc

archive_viewer.py命令

#这里是archive_viewer.py可以使用的命令，这里我们用“X”提取文件

    U: go Up one level

    O <name>: open embedded archive name

    X <name>: extract name

    Q: quit

由于用PyInstaller打包后，pyc文件的前8个字节会被抹掉，所以最后要自己添加回去。

前四个字节为python编译的版本，后四个字节为时间戳。（四个字节的magic number、四个字节的timestamp）

想要获得编译版本可以查看打包文件里struct的信息，so这里还是提取出struct这个文件

用16进制编辑器打开struct文件，复制其前8个字节

添加到ii.pyc中

然后使用工具反编译pyc即可得到py。

*可用uncompyle .pyc反编译pyc文件得到py

方法二、使用pyinstxtractor.py提取pyc

直接使用pyinstxtractor.py去提取exe文件中的pyc会报错，需要去掉签名信息后再使用pyinstxtractor.py解开

首先去掉exe文件的签名

查看pyinstaller源码得知，PyInstaller首先会通过读取程序最后的数据进行识别，如果是符合格式的才会进行解析（c/Program Files/Python/Python37/Lib/site-packages/PyInstaller/archive/reader.py）

MAGIC是文件末尾开始识别的地方。

pyinstaller2.0是包括MAGIC在内的24个字节长度

pyinstaller2.1是包括MAGIC在内的88个字节长度

\014\013\012\013\016 是8进制，可转换为16进制查看

使用16进制编辑器打开svchost.exe，从最后向前搜索MEI，找到匹配MAGIC的整个结构。

从MEI开始，选中向后88个字节长度为止，剩下后面部分全都删掉（删除格式之后的数据）。

然后就完成了去签名。

最后直接用pyinstxtractor.py提取即可。这里也需要和之前一样修复头部数据，方法和上面一样。

python的exe反编译的更多相关文章

1. exe4j生成的exe反编译成java代码

   很早以前写了一个java串口小程序,现在只有exe4j打包后的源程序了,最近又要用,折腾了一下发现其实要找回来也很简单,这里记录一下,以免以后忘记. exe4j只是将java程序,使用自己的方式打包了 ...

2. python编译、运行、反编译pyc文件

   为了加密 .py 文件,以前一般使用打包成 exe ,但是最近发现可以将其编译成二进制文件 pyc ,虽然反编译难度不大,但是也需要一些水平 编译生成 pyc: 单个文件 代码: import py_ ...

3. 反编译pyinstaller打包的exe安装包

   PyInstaller将Python文件打包为exe后如何反编译(破解源码)以及防止反编译 在这里分享一些技巧和经验给大家.辛苦撰文分享,转载或引用请保留本文作者信息及文章链接. 作者的环境: win ...

4. 转载文章----IL反编译利器——Ildasm.exe和Reflector.exe:

   转载地址:http://www.cnblogs.com/yangmingming/archive/2010/02/03/1662546.html 一:Ildasm.exe简介  这一微软VS自带工具, ...

5. 转载文章----初识Ildasm.exe——IL反编译的实用工具

   转载地址http://www.cnblogs.com/yangmingming/archive/2010/02/03/1662307.html Ildasm.exe 概要:(路径:C:\Program ...

6. 初识Ildasm.exe——IL反编译的实用工具

   原文地址:http://www.cnblogs.com/yangmingming/archive/2010/02/03/1662307.html Ildasm.exe 概要: 一.前言: 微软的IL反 ...

7. python编译以及反编译

   在Python2.3之前Python自带反编译的工具,高版本的貌似这个反编译的已经不能用了. 据说是在Python2.7上最好用的反编译工具uncompyle 代码地址 http://github.c ...

8. [No000013B]初识Ildasm.exe——IL反编译的实用工具

   Ildasm.exe 概要: 一.前言: 微软的IL反编译实用程序——Ildasm.exe,可以对可执行文件(ex,经典的控制台Hello World 的 exe 可执行文件)抽取出 IL 代码,并且 ...

9. Java| 编译和反编译

   原文链接: http://www.yveshe.com/articles/2018/05/01/1525172129089.html 什么是编程语言? 在介绍编译和反编译之前,我们先来简单介绍下编程语 ...

随机推荐

1. java后台对前端输入的特殊字符进行转义

   转自:http://www.cnblogs.com/yangzhilong/p/5667165.html java后台对前端输入的特殊字符进行转义 HTML: 常见的帮助类有2个:一个是spring的 ...

2. [CentOS] 指定命令别名：Alias & 软链接生成命令 ln -s

   参考:CentOS里alias命令详解 每天一个linux命令(35):ln 命令 1. Alias命令 功能描述:我们在进行系统的管理工作一定会有一些我们经常固定使用,但又很长的命令.那我们可以给这 ...

3. Connection termination(by client)” 错误的处理方法

   背景: 在一些项目,当我们使用LR录制脚本的时候,在我们安装认证我们无法启动[网址= ] HTTPS [/url]的IE插件,页面显示空白,没有事件的记录,在Firefox也一样. 在记录日志,我们会 ...

4. Unity AssetBundles and Resources指引 （四） AssetBundle使用模式

   本文内容主要翻译自下面这篇文章 https://unity3d.com/cn/learn/tutorials/topics/best-practices/guide-assetbundles-and- ...

5. poj 2299 Ultra-QuickSort 逆序对模版题

   用树状数组求逆序数 唯一的坑点就是sum要用long long存 直接贴代码了 以后忘了还能直接看 2333…… PS:和hdu3743代码是一样的,因为两个都是逆序对模版题…… #include&l ...

6. 队列工厂之RabbitMQ

   本次和大家分享的是RabbitMQ队列的用法,前一篇文章队列工厂之(MSMQ)中在描述的时候已经搭建了简单工厂,因此本章内容是在其之上扩充的子项不再过多讲解工厂的代码了:RabbitMQ应该是现在互联 ...

7. Fiddler工具使用介绍一

   Fiddler基础知识 Fiddler是强大的抓包工具,它的原理是以web代理服务器的形式进行工作的,使用的代理地址是:127.0.0.1,端口默认为8888,我们也可以通过设置进行修改. 代理就是在 ...

8. zeromq学习笔记1——centos下安装 zeromq-4.1.2

   1.前言 MQ(message queue)是消息队列的简称,可在多个线程.内核和主机盒之间弹性伸缩.ZMQ的明确目标是“成为标准网络协议栈的一部分,之后进入Linux内核”.现在还未看到它们的成功. ...

9. English trip -- VC(情景课)1 E Writing

   Talk with a partner ['pɑːtnə] (伙伴)  与同伴说一说 Comple the words 写全单词 first second third last name area c ...

10. 使用Arduino模块实施无线信号的重放攻击

    无线电已经存在使用了很长一段时间,在这很长的一段时间里诞生了一个名叫火腿族的集体(小编:嗯 对 就是整天吃火腿的那些人^_^  CQ CQ ).无线电和互联网一样:同样存在一些安全隐患,比如:在无线信 ...