??

驅(qū)動人生樣本為python打包的exe文件，嘗試反編譯為py文件。

使用pyinstxtractor.py生成pyc文件。

實際嘗試發(fā)現(xiàn)，直接反編譯會報錯

看到前面利用pyinstxtractor.py反編譯的錯誤里有個提示“not a pyinstaller archive”，而用來提取的py腳本叫archive_viewer.py(使用archive_viewer.py要安裝PyInstaller，通過pip install pyinstaller即可安裝)

archive_viewer.py命令 #這里是archive_viewer.py可以使用的命令，這里我們用“X”提取文件 U: go Up one level O : open embedded archive name X : extract name Q: quit

由于用PyInstaller打包后，pyc文件的前8個字節(jié)會被抹掉，所以最后要自己添加回去。

前四個字節(jié)為python編譯的版本，后四個字節(jié)為時間戳。(四個字節(jié)的magic number、四個字節(jié)的timestamp)

想要獲得編譯版本可以查看打包文件里struct的信息，so這里還是提取出struct這個文件

用16進制編輯器打開struct文件，復(fù)制其前8個字節(jié)

添加到ii.pyc中

然后使用工具反編譯pyc即可得到py。

**可用uncompyle *.pyc反編譯pyc文件得到py**

直接使用pyinstxtractor.py去提取exe文件中的pyc會報錯，需要去掉簽名信息后再使用pyinstxtractor.py解開

首先去掉exe文件的簽名

查看pyinstaller源碼得知，PyInstaller首先會通過讀取程序最后的數(shù)據(jù)進行識別，如果是符合格式的才會進行解析(c/Program Files/Python/Python37/Lib/site-packages/PyInstaller/archive/reader.py)

MAGIC是文件末尾開始識別的地方。

pyinstaller2.0是包括MAGIC在內(nèi)的24個字節(jié)長度

pyinstaller2.1是包括MAGIC在內(nèi)的88個字節(jié)長度

\014\013\012\013\016 是8進制，可轉(zhuǎn)換為16進制查看

使用16進制編輯器打開svchost.exe，從最后向前搜索MEI，找到匹配MAGIC的整個結(jié)構(gòu)。

從MEI開始，選中向后88個字節(jié)長度為止，剩下后面部分全都刪掉(刪除格式之后的數(shù)據(jù))。

然后就完成了去簽名。

最后直接用pyinstxtractor.py提取即可。這里也需要和之前一樣修復(fù)頭部數(shù)據(jù)，方法和上面一樣。

總結(jié)

以上是生活随笔為你收集整理的python打包exe反编译源码_python的exe反编译的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。