python的exe反编译驱动人生样本为python打包的exe文件,尝试反编译为py文件。 使用pyinstxtractor.py生成pyc文件。 实际尝试发现,直接反编译会报错 看到前面利用pyinstxtractor.py反编译的错误里有个提示“not a pyinstaller archive”,而用来提取的py脚本叫archive_viewer.py(使用archive_viewer.py要安装PyInstaller,通过pip install pyinstaller即可安装) 方法一、使用archive_viewer.py提取pycarchive_viewer.py命令
用16进制编辑器打开struct文件,复制其前8个字节 添加到ii.pyc中 然后使用工具反编译pyc即可得到py。 **可用uncompyle *.pyc反编译pyc文件得到py** 方法二、使用pyinstxtractor.py提取pyc直接使用pyinstxtractor.py去提取exe文件中的pyc会报错,需要去掉签名信息后再使用pyinstxtractor.py解开 首先去掉exe文件的签名 查看pyinstaller源码得知,PyInstaller首先会通过读取程序最后的数据进行识别,如果是符合格式的才会进行解析(c/Program Files/Python/Python37/Lib/site-packages/PyInstaller/archive/reader.py)
使用16进制编辑器打开svchost.exe,从最后向前搜索MEI,找到匹配MAGIC的整个结构。 从MEI开始,选中向后88个字节长度为止,剩下后面部分全都删掉(删除格式之后的数据)。 然后就完成了去签名。 最后直接用pyinstxtractor.py提取即可。这里也需要和之前一样修复头部数据,方法和上面一样。 |
|
来自: wenxuefeng360 > 《待分类1》