python的exe反編譯
驅動人生樣本為python打包的exe文件,嘗試反編譯為py文件。
使用pyinstxtractor.py生成pyc文件。
實際嘗試發現,直接反編譯會報錯
看到前面利用pyinstxtractor.py反編譯的錯誤里有個提示“not a pyinstaller archive”,而用來提取的py腳本叫archive_viewer.py(使用archive_viewer.py要安裝PyInstaller,通過pip install pyinstaller即可安裝)
方法一、使用archive_viewer.py提取pyc
archive_viewer.py命令
#這里是archive_viewer.py可以使用的命令,這里我們用“X”提取文件
U: go Up one level
O <name>: open embedded archive name
X <name>: extract name
Q: quit
由於用PyInstaller打包后,pyc文件的前8個字節會被抹掉,所以最后要自己添加回去。
前四個字節為python編譯的版本,后四個字節為時間戳。(四個字節的magic number、四個字節的timestamp)
想要獲得編譯版本可以查看打包文件里struct的信息,so這里還是提取出struct這個文件
用16進制編輯器打開struct文件,復制其前8個字節
添加到ii.pyc中
然后使用工具反編譯pyc即可得到py。
*可用uncompyle .pyc反編譯pyc文件得到py
方法二、使用pyinstxtractor.py提取pyc
直接使用pyinstxtractor.py去提取exe文件中的pyc會報錯,需要去掉簽名信息后再使用pyinstxtractor.py解開
首先去掉exe文件的簽名
查看pyinstaller源碼得知,PyInstaller首先會通過讀取程序最后的數據進行識別,如果是符合格式的才會進行解析(c/Program Files/Python/Python37/Lib/site-packages/PyInstaller/archive/reader.py)
MAGIC是文件末尾開始識別的地方。
pyinstaller2.0是包括MAGIC在內的24個字節長度
pyinstaller2.1是包括MAGIC在內的88個字節長度
\014\013\012\013\016 是8進制,可轉換為16進制查看
使用16進制編輯器打開svchost.exe,從最后向前搜索MEI,找到匹配MAGIC的整個結構。
從MEI開始,選中向后88個字節長度為止,剩下后面部分全都刪掉(刪除格式之后的數據)。
然后就完成了去簽名。
最后直接用pyinstxtractor.py提取即可。這里也需要和之前一樣修復頭部數據,方法和上面一樣。
