180627 逆向-pyc还原脚本

最新推荐文章于 2025-06-06 09:04:21 发布
原创 最新推荐文章于 2025-06-06 09:04:21 发布 · 2.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

针对suctf的Python大法好一题,通过解析内容还原pyc的脚本

对于不同的解析内容需要另加修改,但原理一致–将元素按照 格式标识符-len-内容的形式递归填入即可

值得说明的一点是脚本无法还原出原来一模一样的pyc,但可以还原出相同的py文件
这是因为python在编译pyc的时候,会将一些同样的字符串,通过引用来使用,即格式标识符“R”;另外还有一些字符串使用的是Interend,格式标识符’t’
这些表现出来的形式与常规字符串’s’相同,因此不易区分。而pyc中用常规字符串来解析,在运行和反编译的时候也是没有区别的

原理是这样的:引用字符串只是为了压缩pyc的大小,使得同样的字符串不用出现多次。而未经优化的pyc也是可以正常使用的。

脚本如下:

from struct import pack
def p32(i):
    return pack("<i", i)

def string(d, fout):
    l = len(d)
    fout.write(b"s")
    if(type(d)==type("1")):
        if(d!="" and d[0]=="'"):
            d = d.strip("'")
            l -= 2
        d = d.encode()
    l = p32(l)
    fout.write(l)
    fout.write(d)

def tumple(d, fout):
    l = p32(len(d))
    fout.write(b"(")
    fout.write(l)
    for s in d:
        string(s, fout)

def tumple_line(i, l, fout):
    fout.write(b'(')

    fout.write(p32(l))
    while(data[i][:5]!="names"):
        # print(data[i])
最低0.47元/天 解锁文章

200万优质内容无限畅学
逆python--pyc文件结构及pyc混淆基础
weixin_44222568的博客
12-26 2642
复现创客re-pyc题,理解python编译原理,pyc文件产生,PyCodeObject结构,基础解题pyc代码混淆。
CTF逆向-[羊城杯 2020]Bytecode-WP-Python字节码反编译
serfend's blog
04-12 3179
CTF逆向-[羊城杯 2020]Bytecode-WP-Python字节码反编译 来源:https://buuoj.cn/ 内容:无 附件:https://pan.baidu.com/s/15XJLq9jFV_pOtPMzNXG9XA?pwd=tlwo 提取码:tlwo 答案:GWHT{cfa2b87b3f746a8f0ac5c5963faeff73} 总体思路 反编译汇编成py源码 检查源码逻辑发现是一个约束求解(解方程) 使用z3输入条件得到flag 详细步骤 文件信息,打开发现是Python的
反编译pyc教程 还原Python源码
04-08
反编译pyc教程!简简单单还原源码!值得推荐!
如何把.pyc文件还原为.py文件!实测!可用!
热门推荐
wacebb的博客
05-01 1万+
前言: 做项目的过程中,从github下载了程序,但是阅读程序发现import 少一个py文件,相应文件夹下只有对应的pyc文件,这个问题折磨了我大概四个月的时间(原因还是因为太懒,不查资料,不思考),但实际处理只用了半个小时不到,废话不多说,来看看如何解决的吧。 基础知识: 首先.py文件大家应该都知道,我就不多赘述了。.pyc文件百度有非常详细的解释,我自己理解的就是在我们运行py文件时...
深入解析pyca/cryptography:Python加密工具库指南
最新发布
gitblog_01024的博客
06-06 353
深入解析pyca/cryptography:Python加密工具库指南 项目概述 pyca/cryptography是Python生态中一个功能强大且广泛使用的加密工具库,它提供了从高级加密配方到底层加密原语的全套解决方案。这个库的设计理念是让开发者能够轻松实现安全可靠的加密功能,同时为有特殊需求的专家用户提供足够的灵活性。 核心功能架构 cryptography库采用分层架构设计,主要分为两个层...
逆向工程:Python反编译工具的一点介绍(如何还原pyc文件)
小哈里的博客
09-19 5436
pyc是一种二进制文件,是由py文件经过编译后,生成的可执行的字节码文件。pyc文件是可以跨平台部署的,类似Java的.class文件。
pyc文件编码还原
weixin_34116110的博客
01-04 2612
今天本来是要将.py文件转换成.pyc文件,使用py_complie进行的转换,以防止有人误改了原代码,但不巧的是在操作过程中,致使一个主.py文件出现了乱码。如下图: 当时就傻了,这要重写一遍很麻烦。看了一下论坛,可使用uncompyle6反编译.pyc文件。 1.安装uncompyle6 打开powershell,使用pip自动安装PS C:\Users\Linyu> pip...
uncompyle--pyc逆向工程工具
被遗忘的遐想空间
11-20 6547
安装 最方便的就是使用pip安装  pip install uncompyle uncompyle6 --help 查看帮助  uncompyle6 models.pyc > models.py 将models.pyc反编译成py文件  uncompile -o . *.pyc 将当前文件夹中所有的pyc文件反编译成后缀名为.pyc_dis的源文件
180828 逆向-网鼎杯(3-2)
whklhhhh的博客
08-28 1202
I_like_pack IDA加载一看啥都没有,再根据题目名显然是个壳 windows下脱壳相对而言麻烦一些,ExeInfoPe查壳啊、各种壳的针对性操作啊啥的 Linux下一方面系统开源随便魔改,另一方面有一个/proc/pid/mem的文件可以直接读取进程的内存,使得dump极为容易 本题放到系统下跑起来后发现如果输入会回显“NO”,而不输入的话大概三秒就会自动结束 这显然是alar...
180626 逆向-SUCTF(Python大法好)
whklhhhh的博客
06-27 1988
时隔许久详细的复现一下~ 这个题目也挺有意思的,刺激学了一遍pyc233 题目提供了一份opcode.txt、elf二进制程序a和一个密文cipher.txt opcode打开来可以发现是pyc的解析 虽然有code,但是试着用python解析了一下发现有点复杂 读opcode是不可能的,这辈子都不可能的 本来读起来就麻烦,缺少符号信息就更恐怖了,更别说还有lambda和jo...
python 反编译 exe 还原 pyc 还原 py
miko158的博客
11-24 880
下载 pyinstxtractor.py python pyinstxtractor.py *.exe 得到目录*.exe_extracted 010编辑器打开struct.pyc *.pyc 复制E3前面的字符 替换 *.pyc 前面的值 替换前 替换后的*.pyc (删除插入16进制粘贴过来) (防止Invalid pyc/pyo file - Magic value mismatch!) pip install uncompyle uncompyle6 *.p...
patchpyc:一个用新的 co_filename 修补 PYC 文件的 python 脚本
07-08
补丁包 一个用新的 co_filename 修补 PYC 文件的 python 脚本。 测试 由于它只有一个功能非常简单,因此测试最少: python test.py 并手动验证路径是否设置。 然后对每个 Python 版本重复,因为 PYC 格式可能不同。
uncompyle的使用(python的pyc文件还原py)
若云流风的专栏
05-28 1万+
之前写过一个将py文件转换成exe的,其实整个过程根本算不上加密,最多算是压缩而已。既然有压缩那么肯定就有解压缩。 整个过程:py-->pyc-->exe uncompyle就是这样的坏小子,可以将pyc打回原形。(pyc->py,当然exe也是可以转换成pyc的) 使用方法: 在线解密:
逆向常用脚本
trojancyborg的专栏
04-17 1010
##IDA Patch内存脚本 ##将指定字符串写入指定的地址print 'import sucessfull' print 'patch(addr,base64str)' def patch(addr,base64str): b4_list = list(base64str) for i in range(b4_list.__len__()): PatchByt
简单逆向27(pyc转换,算法逆向,unpack)
m0_49936845的博客
08-10 517
诺莫27 pyc文件是中间文件,直接执行pyc文件会更快,但不是必须的: py文件转pycpyc文件转py: 1.直接使用pip install uncompyle6(目前支持python2.6-3.8) 2.添加环境变量: 将python目录下的script目录设置为环境变量,一般使用pip都设置了的。 也可以直接使用命令: path=%path%;%python_home%/script 3.使用: cmd代码: uncompyle6 -o target.py resource.pyc 或者:
逆向学习过程中使用了一些脚本命令
Coder
01-06 469
环境变量的配置 // - 修改~/.bash_profile export THEOS=~/theos export PATH=~/mybin:$THEOS/bin:$PATH 这样在任意位置中都可以访问到/mybin中的文件(和文件中的命令) 修改完环境变量后 如果希望环境变量立刻生效 则需要使用一下命令 // - 使修改的环境变量立刻生效 source ~/.bash_profile...
Python逆向及相关知识
weixin_61154173的博客
03-18 3381
Python没有严格意义上的编译和汇编过程。一般可以认为编写好的python源文件,由python解释器翻译成以.pyc为结尾的字节码文件。pyc文件是二进制文件,可以由python虚拟机直接运行。注:有的朋友可能会问,为什么我运行python,有时候生成pyc文件,有时候没有呢?Python在执行import语句时,将会到已设定的path中寻找对应的模块。并且把对应的模块编译成相应的PyCodeObject(python中的一个类)中间结果,然后创建pyc文件,并将中间结果写入该文件。
ctf 逆向 暴力破解类的脚本
cainiao78777的博客
03-15 2068
前言:在分析代码的时候常遇到不好逆向的逻辑,如求余(%)等,下面就是含有求余的两道逆向题目 例题一:buuctf [ACTF新生赛2020]rome 1.查壳 无壳32位exe. 2.ida32打开并分析main函数 发现主要函数 func() int func() { int result; // eax int v1; // [esp+14h] [ebp-44h] int v2; // [esp+18h] [ebp-40h] int v3; // [esp+1Ch] [ebp-3Ch
JS逆向hook通用脚本合集
z_ipython的博客
03-06 3900
JavaScript eval() 函数的作用是计算 JavaScript 字符串,并把它作为脚本代码来执行。如果参数是一个表达式,eval() 函数将执行表达式。如果参数是 Javascript 语句,eval() 将执行 Javascript 语句,经常被用来动态执行 JS。Cookie Hook 用于定位 Cookie 中关键参数生成位置,以下代码演示了当 Cookie 中匹配到了 v 关键字, 则插入断点。
逆向中的pyc文件
03-19
### Python pyc 文件逆向工程与反编译方法 #### 什么是 `.pyc` 文件? `.pyc` 文件是 Python 编译后的字节码文件,通常由解释器自动生成以便加速程序运行。这些文件包含了经过优化的中间表示形式,可以直接被 Python 虚拟机执行。 #### 如何进行 `pyc` 文件的反编译? 以下是几种常见的工具和技术用于实现对 `.pyc` 文件的逆向工程: 1. **Uncompyle6** Uncompyle6 是一种流行的反汇编工具,支持多种版本的 Python 字节码到源代码的转换。它能够解析并尽可能还原原始的逻辑结构[^1]。 安装方式如下: ```bash pip install uncompyle6 ``` 使用命令行可以轻松完成操作: ```bash uncompyle6 your_file.pyc > output.py ``` 2. **decompyle++** decompyle++ 提供了更高级的功能来处理复杂的字节码文件,并且兼容多个 Python 版本。相比其他工具,它的准确性更高,在某些情况下能更好地恢复变量名和其他细节。 下载安装过程简单明了: ```bash pip install decompyle++ ``` 运行该工具的方法类似于上述例子: ```bash decompyle++ your_file.pyc > output.py ``` 3. **Easy Python Decompiler** Easy Python Decompiler 是图形界面友好的解决方案之一,特别适合初学者或者那些希望快速获取结果而不愿深入研究命令行选项的人群[^3]。通过拖放功能即可加载目标 `.pyc` 或者打包成 EXE 的应用程序,随后一键导出对应的脚本内容。 访问其官方仓库链接可找到最新版软件包以及详细的文档说明: [GitCode Project Page](https://gitcode.com/open-source-toolkit/7451b) 4. **PyInstxtractor 和 PyInstaller 自动化流程** 如果面对的是已经过 PyInstaller 处理过的 exe 文件,则需要先将其拆解回原来的组件集合(包括资源数据和 .pyc 文件),然后再应用前述提到的各种技术手段进一步分析它们的内容[^2]。 此外需要注意的是,尽管现代工具有助于简化这一过程,但由于加密措施的存在或者其他保护机制的影响,实际效果可能会有所差异甚至失败。 --- ```python import dis def example_function(): a = 10 b = 'hello' c = [a, b] dis.dis(example_function) ``` 以上是一个简单的演示片段,利用内置模块 `dis` 来查看函数内部的具体指令序列;虽然这并不属于严格意义上的“反编译”,但对于理解底层运作原理很有帮助。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值