【文章标题】: 用 Python 反编译 Python 软件
【文章作者】: Ptero
【软件名称】: ****
【下载地址】: ****
【加壳方式】: UPX
【保护方式】: 序列号，重启验证
【使用工具】: 7-zip, LordPE, Python, WinHex
【操作平台】: Windows, Linux
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪软件安全论坛, 转载请注明作者并保持文章的完整, 谢谢!

    论坛讨论 Python 的文章似乎比较少。此文权当抛砖引玉，不当之处请多指教。

    关于 Py 的反编译，网上流传的说法是，2.4 版本以后的比较困难。因为针对低版本，有一些开源代码可以实现反编译。到 2.4  以后，原作者要么不更新了，要么开始收费了。只有少数牛人能修改旧版的代码继续反编译下去。
    本文提供了一种方法，使得在没有反编译器的情况下，也能分析用 Python 写的软件。

    下面开始。

    试炼软件是用 upx 加壳的，upx -d 简单脱掉。
    再用 peid 查看, 发现如下信息：
Microsoft Visual C++ 7.0 Method2 [ZIP SFX]。
很少见。再用OD加载，查看字符串，发现是 py2exe 生成的。
这种文件，可以用 7zip 当作压缩包打开，里面可以看到一堆编译好的 pyc 和 pyo 文件。从名称来看，那些应该是 Python 自带的库文件，与程序无关。这里从库文件的名称可以看出是 Python 2.4 版本。

    程序自带了一个 pyo 文件，200 多 K。网上找到能免费反编译 Python 2.4 以后版本的，只有 decompyler 2.3 的一个修改版(2.3 开源，后续版本收费了), 还有就是 UnPyc。
    decompyler 的修改版，我没有找到。UnPyc，貌似只支持 Linux 的。在学校的 Linux 服务器上安装上，反编译却得到一堆错误。反汇编(生成 bytecode 的助记符，相当于汇编代码)倒是可以。

    在反汇编当中查找关键字符串，没找到。我把所有的函数名称看了一遍，也没有可疑的。看来那个 200 多 K 的文件，不是关键代码所在。还得另谋出路。

    关键代码不在附带的库里面，那还能在哪里呢？只能在程序自身了！一定是 py2exe 把那些代码编到 exe 里面了。
    有2种可能：1、编成 native code。2、编成 Python bytecode，通过 Python 虚拟机执行。在OD中跟踪一下，发现执行到关键代码的时候，已经处在虚拟机的代码之中了。所以排除 1 的可能性。

    下面，要找出关键代码的藏身之处。代码会藏在哪呢？.text 段？不大可能，因为那里都是 sfx 的代码。.data 段？也不可能，因为那里的数据只会被 sfx 用到。在 zip 压缩包里面？没找到可疑文件。那么，只剩下 .rsrc 了！

    用 LordPE 查看资源段(这里不用 Reshacker，因为它 dump 下来的不正确)，找到 “Python24.dll”， “PZIB.PYD”，还有就是 “PYTHONSCRIPT”。光是看名字就很可疑了。把它 dump 下来，在 WinHex 当中查找关键字符串，果然找到了。
    下面就是要如何反编译这个 script 了。

    网上没有找到相关资料。于是下载了一份 py2exe 源码，找到这里：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课