记录一下第一次逆向py写的exe,得到py文件

已于 2024-04-08 18:50:25 修改
阅读量887 收藏 26
点赞数 18
文章标签: windows
于 2024-04-08 18:48:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46962272/article/details/137517470
版权
本文讲述了作者尝试解密一个非专业人士制作的exe文件,通过Uncompyle6处理并遇到缺少pyc文件和magicnumber问题。通过研究发现magicnumber与Python版本相关,作者使用WinHex手动补全并成功解决未知magicnumber问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景:

exe是朋友发来的,据悉不是专业人士做的exe,过程还算比较简单;

现在开始说一些步骤:

1;拿到exe,通过py的Uncompyle6得到.pyc   网上是这么说的,我也是这么做的,虽然我的结果中没看见.pyc文件,问题不大。

pip install uncompyle6

uncompyle6 -o test.py test.pyc

 这个照做别人的教程做就好了,得到一下结果:

一个exe文件名_extracted的文件夹

里面东西很多,

找到然后按照网上说的这里面应该有.pyc文件 然后拿着pyc文件去线上网站解析一下就行,我这里并没有.pyc文件

所以我直接把我的文件diverity这个改成diverity.pyc拿去解析,并不行。

又看见网上教程说是因为

原因是文件头magic number没有对上
magic number(前4个字节)可以在struct里面找到,直接把到E3前面的二进制都复制过去就可以了

然而我的sruct里也是从E3开始的,并没有magic number。

搜索了一下  和我问题相同的还挺多。

重点来了

magic number前四个和python版本相关,后面八个是时间等一些东西。可以补0.

于是找到了pyhon版本和number的对应表 直接从3.7开始试试


enum PycMagic {
    MAGIC_1_0 = 0x00999902,
    MAGIC_1_1 = 0x00999903, /* Also covers 1.2 */
    MAGIC_1_3 = 0x0A0D2E89,
    MAGIC_1_4 = 0x0A0D1704,
    MAGIC_1_5 = 0x0A0D4E99,
    MAGIC_1_6 = 0x0A0DC4FC,
 
    MAGIC_2_0 = 0x0A0DC687,
    MAGIC_2_1 = 0x0A0DEB2A,
    MAGIC_2_2 = 0x0A0DED2D,
    MAGIC_2_3 = 0x0A0DF23B,
    MAGIC_2_4 = 0x0A0DF26D,
    MAGIC_2_5 = 0x0A0DF2B3,
    MAGIC_2_6 = 0x0A0DF2D1,
    MAGIC_2_7 = 0x0A0DF303,
 
    MAGIC_3_0 = 0x0A0D0C3A,
    MAGIC_3_1 = 0x0A0D0C4E,
    MAGIC_3_2 = 0x0A0D0C6C,
    MAGIC_3_3 = 0x0A0D0C9E,
    MAGIC_3_4 = 0x0A0D0CEE,
    MAGIC_3_5 = 0x0A0D0D16,
    MAGIC_3_5_3 = 0x0A0D0D17,
    MAGIC_3_6 = 0x0A0D0D33,
    MAGIC_3_7 = 0x0A0D0D42,
    MAGIC_3_8 = 0x0A0D0D55,
    MAGIC_3_9 = 0x0A0D0D61,
    MAGIC_3_10 = 0x0A0D0D6F,
    MAGIC_3_11 = 0x0A0D0DA7,
    MAGIC_3_12 = 0x0A0D0DCB,
 
    INVALID = 0,
原文链接:https://blog.youkuaiyun.com/OrientalGlass/article/details/134612786

用二进制编辑器winhex打开我的diverity.pyc 手动给它补上缺失的信息

像这样

要对照着反着写, MAGIC_3_7 = 0x0A0D0D42  我写是420D0D0A

改完保存

uncompyle6出现Unknown magic number 227的问题就解决了

py文件加密】将 .py 文件编译成 .pyd 文件(支持批量处理)
shinuone的博客
06-02 5354
py易读(明文),pyc不易读但易被反编译,pyd不易读且不易被反编译(密文)
easycm WP(python的exe文件逆向方法)
weixin_44013208的博客
03-13 3142
easycm WP(python的exe文件逆向方法) 这是这次61d的比赛中的逆向题之一,同时也是一个逆向pythonexe文件的一个模板。 首先查壳,无壳。 其次,注意到他是pythonexe文件,所以解题思路就是首先将其转为.pyc文件,然后再将.pyc文件转为.py文件,直接查看程序的源代码,进行分析。 第一步,将其转为.pyc文件。我们可以使用pyinstxtractor.p...
Python反编译exe获取封装源代码
所有专家都曾始于新手
01-17 1460
uncompyle6 C:\Users\lenovo\Desktop\20223102412-李凌飞\exe\merge_ALL_ALL_V1.0.exe_extracted\merge_ALL_ALL_V1.0.pyc > C:\Users\lenovo\Desktop\20223102412-李凌飞\exe\test.py。用sublime打开两个文件,看到一堆二进制,其中struct是多一行的,把struct的第一行复制到一个文件中。一共有两个,还有个struct
re学习笔记(67)SCTF-re-signin
逆向随笔
07-07 871
考察的是python的exe文件反编译成py文件这个知识点, 所用工具在我的GitHub:https://github.com/Eliauk55/CTF-tools 先用pyinstxtractor.py得到exepyc文件 进入目录下的signin.exe_extracted文件夹,用WinHex打开struct文件和main文件 发现main首字节是E3,而struct文件的E3在第17字节,所以需要将struct文件16字节粘贴到main文件,补齐一下文件头 选中16字节,ctrl+c
ESCTF赛题WP
yjh_fnu_ltn的博客
03-25 1544
4. 其实现的功能仍然是一样的,只不过将一个循环里的多个语句放在了不同的子模块中,再通过子模块之间的相互控制,来达到原有程序的效果。5. 知道控制流平坦化后,可以使用符号化执行来简化程序,使程序的可读性增强,便于反汇编,使用deflat.py脚本即可去除平坦化:命令如下。7. 这里可以看到,去平坦化后的程序刻度性增强,不过其中还有一些出题人塞进去的虚假指令(恒真/假),永远不会执行。脚本的逻辑**:将jnz指令的条件跳转修改为直接跳转,因为后面的。,后面的while循环同理,只会执行一次,因此利用脚本将。
Python Uncompyle6 反编译工具使用 与 Magic Number 详解
热门推荐
Zheng__Huang的博客
01-08 4万+
Python Uncompyle6 反编译工具使用 与 Magic Number 详解   最近在i春秋刷MISC题的时候,做到了好几道有pyc文件需要反编译的题,也了解到了一个非常神的Python反编译工具——Python Uncompyle6。虽然只用到了其中的一个功能,但它留给我的印象却十分友善。通过命令行调用,较为方便;支持Python编译器版本丰富,几乎涵盖了所有版本;最主要的优点是:不会卡Bug。(与Pycdc相比友善很多~~(可能只是我技术比较菜)~~)。   另外,在部分题目中,使用py
python文件py,ipynb, pyi, pyc, pyd, pyo都是什么文件
南风以南
06-08 4558
py文件Python 最基本的源代码文件格式,用于存储纯文本形式的 Python 代码。它是开发者编程序的主要场所,包含函数、类、变量定义以及执行逻辑。Python 解释器直接读取并执行.py文件中的指令。例如 ,创建一个简单的hello.py")探索Python编程的多面性,从基础的.py源代码到交互式的.ipynb笔记,再到高效的.pyi类型提示文件,本文深入解析了Python文件的类型与应用。
南邮CTF逆向题第三道Py交易解题思路
iqiqiya的博客
12-23 3614
首先看题 下载后显示为Py.pyc 尝试notepad++打开显示乱码      所以直接百度 选择https://tool.lu/pyc/ 进行解密    #!/usr/bin/env python # encoding: utf-8 import base64  def encode(message):
auto-py-to-exe打包 pyd文件
最新发布
04-26
### 使用 auto-py-to-exe 打包包含 pyd 文件Python 程序 当使用 `auto-py-to-exe` 工具来打包包含 `.pyd` 文件Python 项目时,可能会遇到一些特定的问题,比如缺少某些库、警告信息或运行时错误。以下是详细...
magicnumber:找到神奇的数字
06-05
幻数 如何安装 npm install magicnumber 如何使用 检索神奇数字 var magicNumber = require('magicnumber'); magicNumber.findSmallest(); 检查数字 (123) 是否是幻数的候选者 var magicNumber = require('magicnumber'); console.log('Is 123 a candidate for the magic number? ' + magicNumber.create(123).isValid()); 如何执行单元测试 nodeunit test/magicNumberFinder.js
解决uncompyle6反编译报错KeyError
Welcome To Myon'Blog !
11-21 3794
报错内容:KeyError:'3.11.0' (这个是我自己的Python版本号)关于这个问题的解决方法我将放在下一篇博客,也是在Python专栏,欢迎大家来参考!至此,我们解决了uncompyle6反编译报错KeyError的问题。可以看到没有出现报错,而是提示我们需要输入用于反编译的文件。可以看到反编译成功,pyc文件被成功反编译为py源码。进行添加,我的Python版本是3.11(我的是在这个路径下:D:\Python\。它的路径大概在:D:\Python\。接下来再次尝试使用命令。
python exe文件解包方法
波波日常工作学习的笔记本
02-16 1万+
在将Python文件打包成exe文件的过程中,会抹去pyc文件面的部分信息,所以我们在反编译之需要检查并添加上这部分信息。对于上述这些加密,在工作中,常见将一些Python的脚本、程序使用Pyinstaller打包为exe文件的居多,因为即使对方没有python环境,也可以运行程序,具有较好的兼容性。遇到这种情况后,在面步骤1中,找到PYZ-00.pyz_extracted文件夹中任意一个pyc文件,记住面的4个字节,在目标文件第一行输入4个字节,后续补0。可以先尝试用方法1,失败后用方法2。
Magic Number 在编程中的使用
余璜的技术博客
08-23 3182
MAGIC_NO,好方法!调试无锁线程池代码过程中,采用了一种很有意思的技术,和大家share一下。她的名字叫:MAGIC NUMBER。假设我们有了一大块缓冲区(以下称buffer),say,1M,这一块缓冲区将用来满足很多小的顺序到来的内存请求,并且,其释放先后次序和申请次序一致。我们可以考虑采用环形队列来解决这个问题。为了记录分配出去的内存块(以下称buflet)的大小、状态等信息,
uncompyle6出现Unknown magic number 227
Barzar的博客
01-15 1万+
最近碰到的问题,记录一下 C:\Users\zzzz>uncompyle6 xxxx.pyc Traceback (most recent call last): File "C:\python3\Lib\site-packages\xdis\load.py", line 143, in load_module_from_file_object float_version = f...
Magic Numbers
LEVIATHANq的博客
04-03 128
Python逆向全版本MagicNumber表
OrientalGlass的博客
11-25 2951
参考pycdc的项目源码。
记一次python逆向:反编译pyinstaller打包生成的exe
qq_42944740的博客
08-06 4142
首先声明一点,逆向这块我是纯小白,我是通过看各种博客,反复折腾才搞出来的,的有错误的地方,还请各位大佬多多指正。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值