首页
社区
课程
招聘
[原创]python exe文件解包方法总结
发表于: 2020-12-15 15:00 14299

[原创]python exe文件解包方法总结

2020-12-15 15:00
14299

注:
除特别说明外,下面使用的python版本均为3.8.6
文章中提到的相关工具均已包含在附件中。

执行python pyinstxtractor.py <待解包文件名> ,如果成功,即可获得<待解包文件名>_extracted 文件夹。

注:执行时会提示python版本问题,想要正常解包必须使用正确的python版本

执行python archive_viewer.py <待解包文件名> ,会打印EXE文件中包含的所有文件信息

使用x <文件名>命令将想要提取出的文件提取出来,q 命令退出。

方法1可以一次性提取出所有文件,方法2只能逐个提取文件。但是在个人使用时,方法2的成功率相对较高。可以先尝试用方法1,失败后用方法2。

步骤1获得的文件是pyc文件,还需要进一步反编译获得py文件。

注:我遇到过直接获得py文件的情况,所以在反编译之前可以先查看一下是不是已经成功了。

注:最新版pyinstxtractor.py支持自动恢复pyc,但是经实验不能保证准确性。或者说需要使用准确的python版本才行。

在将python文件打包成exe文件的过程中,会抹去pyc文件前面的部分信息,所以在反编译之前需要检查并添加上这部分信息。

抹去的信息内容可以从struct文件中获取:

struct文件:
struct文件

pyc文件:
pyc文件

Q1:需要添加多少字节?

多个参考文章中提到的添加字节数都不一致,这应该与使用的python版本有关。但是在已知的几个例子中,可以看出pyc文件开头的几个字节与struct文件中的字节是一样的。比如说上图中pyc文件是以E3 00 00 00开头,而这部分字节就和struct文件的第二行起始字节相同。

因此在此例中,需要复制添加的字节就是struct文件中第一行的16个字节

Q2:添加的方法是什么?

在010editor中,选择Edit→Insert/Overwrite→InsertBytesStart Address填0,Size填16。

然后将字节复制进去即可。

反编译工具

Easy Python Decompiler

这是一个GUI界面的可执行文件,下载下来直接用就可以,但是并不是每次都能成功,有些magic value不能识别。

uncompyle6

该工具需要使用pip安装,使用脚本执行。成功率较高。

反编译提示magic value有问题怎么办?

在上面我们添加的16个字节中,前四个字节表示的就是magic value,其中前两个字节表示的是python的版本号,一般来说magic value的问题就是版本号有问题,编译工具没有识别出来该版本号表示的python版本。

如果使用的是Easy Python Decompiler,那么就可以直接转用uncompyle6了。

如果用的已经是uncompyle6,那么需要先看一下它可以识别的版本号都有哪些,这个信息可以在xdis包的magics.py文件中找到,具体方法如下:

命令行输入pip install xdis,查看其安装位置

图片描述

到该目录下,打开xdis文件夹下的magics.py文件

确定需要识别的版本号

就是之前添加的16个字节的前两个字节,此例中为0D42,需要转换为十进制,就是3394

查看magics.py中是否有该版本号。

我这里一开始没有发现这个版本号

图片描述

我的解决方法

我在谷歌上搜索了int2magic(3394),找到了这个Github项目

下载下来,按照介绍进行安装。

在执行pip install -e .的时候,提示我xdisuncompyle6的版本不匹配,于是卸载了uncompyle6,又重新安装了一次。

目前的版本:xdis 5.0.5 uncompyle6 3.7.4

查看该版本xdismagics.py文件:

图片描述

可以看到已经有3394了。

反编译:

图片描述

成功!

注:pyc文件一定要有后缀名pyc,不然会报错

有些时候在步骤1 exe→pyc的过程中,会出现PYZ中的文件无法正常提取(archive_viewer.py),或者提取出来后显示encrypted(pyinstxtractor.py)的问题。

这个问题可以使用参考文章2和3中的方法解决:

PYZ文件加密的密钥保存在pyimod00_crypto_key文件中,该文件也是一个pyc文件,可以使用上面介绍的方法进行反编译,然后就可以获得密钥:

图片描述

之后的解密脚本有三个可供选择,均在参考文章3中,根据pyinstaller的版本不同选择不同的脚本,使用时需要替换其中的key、header以及待解密文件名和目标文件名,执行后即可获得解密后的pyc文件,再使用uncompyle6反编译即可。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-12-15 15:01 被LarryS编辑 ,原因: 增加原创标志以及调试逆向分类
上传的附件:
收藏
免费 4
支持
分享
最新回复 (5)
雪    币: 12016
活跃值: (10399)
能力值: ( LV13,RANK:660 )
在线值:
发帖
回帖
粉丝
2
微步公众号发了一篇关于python样本分析的文章,涉及到了我这篇文章中没讲到的部分,在此作为补充:
https://mp.weixin.qq.com/s/0-9iw7XZLA1DY5qgJ2__4A
2020-12-24 18:26
0
雪    币: 622
活跃值: (1231)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
大佬有没有联系方式或者群聊
2021-6-29 19:45
0
雪    币: 576
活跃值: (2035)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
感谢分享
2021-6-29 21:31
0
雪    币: 208
活跃值: (39)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
上面方法的确有效。所以 我现在PY编程,重要内容必须要编译为PYD
2021-6-30 06:59
0
雪    币: 8880
活跃值: (5101)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jgs
6
收藏,学习,以后备用。谢谢楼主
2021-6-30 10:32
0
游客
登录 | 注册 方可回帖
返回
//