探索Python序列化的新维度:Fickling

最新推荐文章于 2025-05-06 10:48:22 发布
最新推荐文章于 2025-05-06 10:48:22 发布
阅读量887 收藏 20
点赞数 25
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00078/article/details/139541324

探索Python序列化的新维度:Fickling

ficklingA Python pickling decompiler and static analyzer项目地址:https://gitcode.com/gh_mirrors/fi/fickling

当你在处理Python的pickle序列化数据时,是否曾好奇过它们的内部运作机制?Fickling 是一个为了解答这一疑问而诞生的开源工具。它是一个强大的反编译器、静态分析器和字节码重写工具,专用于解析Python pickle对象序列化。

项目介绍

Fickling揭示了pickle对象背后的神秘面纱,将那些晦涩难懂的二进制流转化为可读性强的Python代码。通过Fickling,你可以清晰地看到原本隐藏在序列化过程中的指令,甚至可以将这些指令安全地执行或修改。

这个项目的灵感来源于Python内置的"Pickle Machine"虚拟机,它负责解释pickle对象的字节码。Fickling则通过反编译,让你有机会深入理解这个黑盒操作的过程。

了解更多关于Fickling的信息,可以阅读我们的博客文章,或者观看我们在DEF CON 2021上的演讲视频

项目技术分析

Fickling的核心功能包括:

  • 反编译(Decompilation): 将pickle字节码转换成易于理解的Python代码。
  • 静态分析(Static Analysis): 检查潜在的安全风险,如恶意的execos.system调用。
  • 字节码重写(Bytecode Rewriting): 允许你对pickle文件注入安全的自定义Python代码。

应用场景

  • 安全性检查: 在解序列化之前,确保pickle文件不含有任何恶意代码。
  • 教育与学习: 帮助开发者理解和调试pickle序列化过程。
  • 数据分析: 理解复杂的数据序列化结构,优化存储和恢复流程。
  • 软件漏洞检测: 对pickle对象进行深度分析,识别可能的安全漏洞。

项目特点

  • 易安装: 支持Python 3.6至3.9版本,依赖项少,可通过pip轻松安装。
  • 多样化接口: 提供命令行界面和编程接口两种使用方式。
  • 安全性增强: 可以对pickle文件进行安全检查,并提供运行时安全追踪。
  • 灵活性高: 支持向现有pickle文件注入自定义代码,不影响其原始功能。

要开始你的Fickling之旅,只需输入以下命令:

pip3 install fickling

然后尝试一下其提供的各种功能,你会发现pickle世界远比你想象的更有趣。

总之,Fickling是你探索Python序列化的必备工具,无论你是想要提升代码安全性,还是希望深入理解pickle的工作原理,它都将带给你独一无二的体验。现在就加入Fickling社区,一同揭开pickle的神秘面纱吧!

许可证信息

该项目由Trail of Bits开发,并遵循GNU Lesser General Public License v3.0协议。如需获得许可例外,请发送邮件到opensource@trailofbits.com咨询。

© 2021,Trail of Bits。

ficklingA Python pickling decompiler and static analyzer项目地址:https://gitcode.com/gh_mirrors/fi/fickling

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

数据科学家成为带有静默后门的恶意 Hugging Face ML 模型的目标
技术超强的网络安全平台
08-26 687
在人工智能协作领域,Hugging Face 占据主导地位。但它会成为基于模型的攻击的目标吗?JFrog 最近的发现表明了一种令人担忧的可能性,促使人们更仔细地审视该平台的安全性,并预示着人工智能研究进入了谨慎的时代。关于人工智能机器语言 (ML) 模型安全性的讨论仍然不够广泛,这篇博文旨在扩大围绕该主题的讨论。JFrog 安全研究团队正在分析如何利用机器学习模型通过代码执行来破坏 Hugging Face 用户的环境。这篇文章深入探讨了我们发现的恶意机器学习模型的调查。
fickling:Python酸洗反编译器和静态分析器
05-04
ick Fickling是用于Python对象序列化的反编译器,静态分析器和字节码重写器。 腌制的Python对象实际上是字节代码,由内置于Python的基于堆栈的虚拟机(称为“ Pickle Machine”)解释。 Fickling可以提取腌制的数据流并将其反编译为人类可读的Python代码,这些代码在执行时将反序列化为原始的序列化对象。 作者没有对“ Fickling”中的“ F”规定任何含义; 它可能代表“善变”,或其他。 区分其含义是个人谨慎的旅程,留给读者练习。 安装 Fickling已通过Python 3.9在Python 3.6上进行了测试,并且几乎没有依赖项。 可以通过pip安装: pip3 install fickling 这将同时安装库和命令行实用程序。 用法 可以通过编程方式来执行以下操作: >> > import ast >> > import pick
Fickling 开源项目使用教程
gitblog_00464的博客
08-25 779
Fickling 开源项目使用教程 ficklingA Python pickling decompiler and static analyzer项目地址:https://gitcode.com/gh_mirrors/fi/fickling 1. 项目的目录结构及介绍 Fickling 项目的目录结构如下: fickling/ ├── CODEOWNERS ├── LICENSE ├── Ma...
python不安全的包和方法,计算机科学教授发布将Python不安全的pickle文件武器化的工具:希望引起所有人的注意!...
weixin_28856787的博客
03-25 186
Evan Sultanik是Trail of Bits的计算机安全研究人员,还是美国德雷塞尔大学的兼职计算机科学教授。他拆解Python界广泛使用的pickle数据格式后发现,这种数据格式令人反感。他并不是头一个这么做的人,他也承认这一点,在最近的一篇博文中特别指出: 几年前,计算机安全界开始渐渐讨厌pickling,这种二进制协议用于对Python对象结构进行序列化和反序列化。连Python自己...
Fickling - 分析和检测 Python pickle 序列化数据安全问题的工具
Reset
05-06 1024
Fickling的核心功能包括:反编译(Decompilation): 将pickle字节码转换成易于理解的Python代码。静态分析(Static Analysis): 检查潜在的安全风险,如恶意的exec或os.system调用。字节码重写(Bytecode Rewriting): 允许你对pickle文件注入安全的自定义Python代码。
Python周刊492期
bl_yang的博客
04-20 635
Python周刊 欢迎阅读《 Python周刊》第492期。 写在前面:翻译不易,欢迎阅读;水平有限,万望海涵。部分链接可能需要特殊的上网方式(????)。欢迎关注微信公众号“Python小灶,和我一起每天学习Python知识” 文章目录闻文章、教程和讲座有趣的项目,工具和库版本即将举行的活动和虚拟网络研讨会我们的其他通讯 闻 想要接种疫苗吗?认识Python程序员 会有所帮助程序员已经找到方法来帮助家人和朋友在预约疫苗方面获得优势,但他们也意识到并非每个人都具有这种优势。 Python Pack
ACSL竞赛笔记:Bit-String Flicking
Raine_Yang的博客
02-15 1803
Bit-String顾名思义,就是由bit构成的字符串,如11001010. 逻辑运算符: AND 如两个值都为1,输出1,否则输出0 OR 如两个值其中一个为1,输出1,如两个值都为0,输出0 NOT如这个值为1输出0,如为0输出1 XOR如两值不同输出1,相同输出0 //只有长度相同的bit字符串才可以使用逻辑运算符, //如果长度不同加前导0 位移运算符 LSHIFT-x把bit字符串左移,移出的值丢失,右边用0补齐。如(LSHIFT-3 10011011 == 11011000) RSHIFT-x把
Hack The Box-Blurry
m0_52742680的博客
06-12 1804
HackTheBox S5赛季靶场第八篇
htb_Blurry
weixin_62621015的博客
06-13 1002
hack the box linux
Blurry - hackthebox
tanbinn的博客
06-18 1180
hackthebox的blurry靶场
FicklingPython序列化对象的反编译与静态分析工具
Fickling的作用在于能够把Pickle序列化的字节码数据流提取并反编译,转换成人类可读的Python代码形式。通过这个过程,用户可以理解被序列化对象的结构和内容,甚至可以对序列化的数据进行修改。 Fickling的设计没有...
The Art and Science of Computer Animation
02-23
、Program Now杂志、3C Systems、Gromark Ltd等公司,以及众多专业人士,如Roger Fickling、Dr. Wendy Milne等,他们在审阅书稿后提供了宝贵的反馈意见。此外,还提到了许多个人和机构慷慨地提供了用于制作图表、...
python人脸识别医院考勤系统(编号:70359507).zip
最新发布
06-28
python人脸识别医院考勤系统(编号:70359507)
认识VisualFoxPro专题培训.pptx
06-28
认识VisualFoxPro专题培训.pptx
2021办公自动化实习工作总结报告范文.docx
06-28
2021办公自动化实习工作总结报告范文.docx
VB数组版.pptx
06-28
VB数组版.pptx
数据挖掘综述.pptx
06-28
数据挖掘综述.pptx
电子商务实训基地建设方案.doc
06-28
电子商务实训基地建设方案.doc
试题青少年编程等级考试∶Python编程三级试卷6.doc
06-28
试题青少年编程等级考试∶Python编程三级试卷6.doc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

傅尉艺Maggie

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值