Python可執行文件反編譯教程(exe轉py)

Posted on by

python的便利性,使得如今許多軟件開發者、黑客都開始使用python打包成exe的方式進行程序的發佈,這類exe有個特點,就是可以使用反編譯的方法得到程序的源碼,是不是很神奇?我們接下來就開始學習如何反編譯有python打包成的exe程序吧。PS:下面介紹的是使用比較廣泛的pyinstaller的反編譯方法。

下面是一個由pyinstaller打包的勒索病毒,我們通過其圖標,就可以知道它是pyinstaller打包的。

1

反編譯的第一步是將exe文件轉換成pyc文件,這裡使用的是pyinstxtractor,項目地址:
https://github.com/countercept/python-exe-unpacker/blob/master/pyinstxtractor.py

輸入命令:python pyinstxtractor.py [filename] ,即可完成轉換。PS:python要使用相對應的版本。

2

解壓成功後,同路徑下會出現一個[filename]_extracted的文件夾,這裡面就包含瞭主程序lockyfud,我們要反編譯的就是這個文件,其他的都是依賴庫,如out00-PYZ-extracted文件夾裡的都是庫文件,我們不必關心。我們這時可能會納悶,為什麼該文件不是.pyc文件?這可能是pyinstxtractor的一點不足,轉換出來的主程序格式不對,我們還需要對其進行手動修復。

3

我們需要在該文件起始位置加上8個字節的pyc頭,由4字節的magic和4字節的時間戳組成,其中magic會因為python版本的不同而不同,那我們怎麼知道是啥呢?有個技巧就是,查看struct文件的magic,直接復制過去。

5

添加完pyc頭之後是這樣的,新增瞭magic和時間戳:03 F3 0D 0A 00 00 00 00,然後保存為.pyc文件後,就完成修復瞭。

6

最後的工作就是將pyc反編譯成py瞭,這裡使用uncompyle6,使用命令:pip install uncompyle6,即可完成安裝。然後輸入uncompyle6 [filename] > lock.py,將文件反編譯成py。

7

lock.py裡的就是程序源碼瞭。

8

這裡補充一點,有些病毒程序,為瞭避免被反編譯,會進行一些混淆,使得pyinstxtractor轉換出錯。如下這個文件,使用pyinstxtractor.py進行轉換時會報錯,“Error : Unsupported pyinstaller version or not a pyinstaller archive”,意思就是說這不是一個pyinstaller打包的文件。

9

它就是個py可執行文件呀,怎麼會說不是一個pyinstaller打包程序呢?那就從這問題入手唄,看看為什麼會出現這個錯誤。
來到pyinstxtractor代碼的第50行,原來代碼邏輯是這樣的,一旦讀取不到MAGIC,就會報錯,提示不是pyinstaller打包程序。

10

網上追溯,可以看到標識MAGIC為 ‘ MEI\xxxxxx ‘,2.0版本的MAGIC位於 [end – 24] 處,2.1版本的MAGIC位於 [end – 88] 處。

11

而當我們查看文件的二進制時,發現文件末尾都是些垃圾數據,根本沒有 ‘MEI’ 標識。

12

我們搜索一下,終於在上面的一個位置找到瞭MAGIC,這個就是pyinstaller標識。接下來就是要把垃圾數據去除掉,使MAGIC位於24或88的位置,那到底是24還是88呢?(該文件是pyinstaller2.0還是pyinstaller2.1打包的),這就得看下2.0和2.1的區別瞭。

13

與2.0相比,2.1多瞭64字節的pylibname,那我們就看看該文件裡存不存在pylibname。

14

我們在 ‘MEI’ 後面發現瞭python27.dll,這個就是pylibname,看來這個是pyinstaller2.1打包的,所以我們就刪除從’MEI’+88之後的所有垃圾數據。刪除後的結果如下:

15

修復後,可以正常轉換瞭,之後的步驟如上。

16

到此這篇關於Python可執行文件反編譯教程(exe轉換py)的文章就介紹到這瞭,更多相關Python可執行文件反編譯內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: