180627 逆向-pyc还原脚本

针对suctf的Python大法好一题,通过解析内容还原pyc的脚本

对于不同的解析内容需要另加修改,但原理一致–将元素按照 格式标识符-len-内容的形式递归填入即可

值得说明的一点是脚本无法还原出原来一模一样的pyc,但可以还原出相同的py文件
这是因为python在编译pyc的时候,会将一些同样的字符串,通过引用来使用,即格式标识符“R”;另外还有一些字符串使用的是Interend,格式标识符’t’
这些表现出来的形式与常规字符串’s’相同,因此不易区分。而pyc中用常规字符串来解析,在运行和反编译的时候也是没有区别的

原理是这样的:引用字符串只是为了压缩pyc的大小,使得同样的字符串不用出现多次。而未经优化的pyc也是可以正常使用的。

脚本如下:

from struct import pack
def p32(i):
    return pack("<i", i)

def string(d, fout):
    l = len(d)
    fout.write(b"s")
    if(type(d)==type("1")):
        if(d!="" and d[0]=="'"):
            d = d.strip("'")
            l -= 2
        d = d.encode()
    l = p32(l)
    fout.write(l)
    fout.write(d)

def tumple(d, fout):
    l = p32(len(d))
    fout.write(b"(")
    fout.write(l)
    for s in d:
        string(s, fout)

def tumple_line(i, l, fout):
    fout.write(b'(')

    fout.write(p32(l))
    while(data[i][:5]!="names"):
        # print(data[i])
       
### Python pyc 文件逆向工程与反编译方法 #### 什么是 `.pyc` 文件? `.pyc` 文件是 Python 编译后的字节码文件,通常由解释器自动生成以便加速程序运行。这些文件包含了经过优化的中间表示形式,可以直接被 Python 虚拟机执行。 #### 如何进行 `pyc` 文件的反编译? 以下是几种常见的工具和技术用于实现对 `.pyc` 文件的逆向工程: 1. **Uncompyle6** Uncompyle6 是一种流行的反汇编工具,支持多种版本的 Python 字节码到源代码的转换。它能够解析并尽可能还原原始的逻辑结构[^1]。 安装方式如下: ```bash pip install uncompyle6 ``` 使用命令行可以轻松完成操作: ```bash uncompyle6 your_file.pyc > output.py ``` 2. **decompyle++** decompyle++ 提供了更高级的功能来处理复杂的字节码文件,并且兼容多个 Python 版本。相比其他工具,它的准确性更高,在某些情况下能更好地恢复变量名和其他细节。 下载安装过程简单明了: ```bash pip install decompyle++ ``` 运行该工具的方法类似于上述例子: ```bash decompyle++ your_file.pyc > output.py ``` 3. **Easy Python Decompiler** Easy Python Decompiler 是图形界面友好的解决方案之一,特别适合初学者或者那些希望快速获取结果而不愿深入研究命令行选项的人群[^3]。通过拖放功能即可加载目标 `.pyc` 或者打包成 EXE 的应用程序,随后一键导出对应的脚本内容。 访问其官方仓库链接可找到最新版软件包以及详细的文档说明: [GitCode Project Page](https://gitcode.com/open-source-toolkit/7451b) 4. **PyInstxtractor 和 PyInstaller 自动化流程** 如果面对的是已经过 PyInstaller 处理过的 exe 文件,则需要先将其拆解回原来的组件集合(包括资源数据和 .pyc 文件),然后再应用前述提到的各种技术手段进一步分析它们的内容[^2]。 此外需要注意的是,尽管现代工具有助于简化这一过程,但由于加密措施的存在或者其他保护机制的影响,实际效果可能会有所差异甚至失败。 --- ```python import dis def example_function(): a = 10 b = 'hello' c = [a, b] dis.dis(example_function) ``` 以上是一个简单的演示片段,利用内置模块 `dis` 来查看函数内部的具体指令序列;虽然这并不属于严格意义上的“反编译”,但对于理解底层运作原理很有帮助。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值