[原创]python exe文件解包方法总结-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]python exe文件解包方法总结

发表于: 2020-12-15 15:00 14300

[原创]python exe文件解包方法总结

LarryS

2020-12-15 15:00

14300

注：
除特别说明外，下面使用的python版本均为3.8.6
文章中提到的相关工具均已包含在附件中。

执行python pyinstxtractor.py <待解包文件名> ，如果成功，即可获得<待解包文件名>_extracted 文件夹。

注：执行时会提示python版本问题，想要正常解包必须使用正确的python版本。

执行python archive_viewer.py <待解包文件名> ，会打印EXE文件中包含的所有文件信息

使用x <文件名>命令将想要提取出的文件提取出来，q 命令退出。

方法1可以一次性提取出所有文件，方法2只能逐个提取文件。但是在个人使用时，方法2的成功率相对较高。可以先尝试用方法1，失败后用方法2。

步骤1获得的文件是pyc文件，还需要进一步反编译获得py文件。

注：我遇到过直接获得py文件的情况，所以在反编译之前可以先查看一下是不是已经成功了。

注：最新版pyinstxtractor.py支持自动恢复pyc，但是经实验不能保证准确性。或者说需要使用准确的python版本才行。

在将python文件打包成exe文件的过程中，会抹去pyc文件前面的部分信息，所以在反编译之前需要检查并添加上这部分信息。

抹去的信息内容可以从struct文件中获取：

struct文件：

pyc文件：

Q1：需要添加多少字节？

多个参考文章中提到的添加字节数都不一致，这应该与使用的python版本有关。但是在已知的几个例子中，可以看出pyc文件开头的几个字节与struct文件中的字节是一样的。比如说上图中pyc文件是以E3 00 00 00开头，而这部分字节就和struct文件的第二行起始字节相同。

因此在此例中，需要复制添加的字节就是struct文件中第一行的16个字节

Q2：添加的方法是什么？

在010editor中，选择Edit→Insert/Overwrite→InsertBytes，Start Address填0，Size填16。

然后将字节复制进去即可。

反编译工具

Easy Python Decompiler

这是一个GUI界面的可执行文件，下载下来直接用就可以，但是并不是每次都能成功，有些magic value不能识别。

uncompyle6

该工具需要使用pip安装，使用脚本执行。成功率较高。

反编译提示magic value有问题怎么办？

在上面我们添加的16个字节中，前四个字节表示的就是magic value，其中前两个字节表示的是python的版本号，一般来说magic value的问题就是版本号有问题，编译工具没有识别出来该版本号表示的python版本。

如果使用的是Easy Python Decompiler，那么就可以直接转用uncompyle6了。

如果用的已经是uncompyle6，那么需要先看一下它可以识别的版本号都有哪些，这个信息可以在xdis包的magics.py文件中找到，具体方法如下：

命令行输入pip install xdis，查看其安装位置

图片描述

到该目录下，打开xdis文件夹下的magics.py文件

确定需要识别的版本号

就是之前添加的16个字节的前两个字节，此例中为0D42，需要转换为十进制，就是3394。

查看magics.py中是否有该版本号。

我这里一开始没有发现这个版本号

图片描述

我的解决方法

我在谷歌上搜索了int2magic(3394)，找到了这个Github项目。

下载下来，按照介绍进行安装。

在执行pip install -e .的时候，提示我xdis和uncompyle6的版本不匹配，于是卸载了uncompyle6，又重新安装了一次。

目前的版本：xdis 5.0.5 uncompyle6 3.7.4

查看该版本xdis的magics.py文件：

图片描述

可以看到已经有3394了。

反编译：

图片描述

成功！

注：pyc文件一定要有后缀名pyc，不然会报错

有些时候在步骤1 exe→pyc的过程中，会出现PYZ中的文件无法正常提取（archive_viewer.py），或者提取出来后显示encrypted（pyinstxtractor.py）的问题。

这个问题可以使用参考文章2和3中的方法解决：

PYZ文件加密的密钥保存在pyimod00_crypto_key文件中，该文件也是一个pyc文件，可以使用上面介绍的方法进行反编译，然后就可以获得密钥：

图片描述

之后的解密脚本有三个可供选择，均在参考文章3中，根据pyinstaller的版本不同选择不同的脚本，使用时需要替换其中的key、header以及待解密文件名和目标文件名，执行后即可获得解密后的pyc文件，再使用uncompyle6反编译即可。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2020-12-15 15:01 被LarryS编辑，原因：增加原创标志以及调试逆向分类

#调试逆向

上传的附件：

python_exe解包工具.zip （7.98MB，372次下载）

收藏・32

免费・4

支持

最新回复 (5)
LarryS 雪币： 12016 活跃值： (10399) 能力值： ( LV13，RANK：660 ) 在线值：发帖 28 回帖 58 粉丝 95 关注私信	LarryS 13 2 楼微步公众号发了一篇关于python样本分析的文章，涉及到了我这篇文章中没讲到的部分，在此作为补充： https://mp.weixin.qq.com/s/0-9iw7XZLA1DY5qgJ2__4A 2020-12-24 18:26 0
绝望的皮卡丘雪币： 622 活跃值： (1231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 30 粉丝 12 关注私信	绝望的皮卡丘 3 楼大佬有没有联系方式或者群聊 2021-6-29 19:45 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 4 楼感谢分享 2021-6-29 21:31 0
梦晰雪币： 208 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	梦晰 5 楼上面方法的确有效。所以我现在PY编程，重要内容必须要编译为PYD 2021-6-30 06:59 0
jgs 雪币： 8880 活跃值： (5101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 447 粉丝 7 关注私信	jgs 6 楼收藏，学习，以后备用。谢谢楼主 2021-6-30 10:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

LarryS

发帖

回帖

660

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (5)
LarryS 雪币： 12016 活跃值： (10399) 能力值： ( LV13，RANK：660 ) 在线值：发帖 28 回帖 58 粉丝 95 关注私信	LarryS 13 2 楼微步公众号发了一篇关于python样本分析的文章，涉及到了我这篇文章中没讲到的部分，在此作为补充： https://mp.weixin.qq.com/s/0-9iw7XZLA1DY5qgJ2__4A 2020-12-24 18:26 0
绝望的皮卡丘雪币： 622 活跃值： (1231) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 30 粉丝 12 关注私信	绝望的皮卡丘 3 楼大佬有没有联系方式或者群聊 2021-6-29 19:45 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 4 楼感谢分享 2021-6-29 21:31 0
梦晰雪币： 208 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	梦晰 5 楼上面方法的确有效。所以我现在PY编程，重要内容必须要编译为PYD 2021-6-30 06:59 0
jgs 雪币： 8880 活跃值： (5101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 447 粉丝 7 关注私信	jgs 6 楼收藏，学习，以后备用。谢谢楼主 2021-6-30 10:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复