180627 逆向-pyc还原脚本

最新推荐文章于 2025-06-06 09:04:21 发布
原创 最新推荐文章于 2025-06-06 09:04:21 发布 · 2.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

针对suctf的Python大法好一题,通过解析内容还原pyc的脚本

对于不同的解析内容需要另加修改,但原理一致–将元素按照 格式标识符-len-内容的形式递归填入即可

值得说明的一点是脚本无法还原出原来一模一样的pyc,但可以还原出相同的py文件
这是因为python在编译pyc的时候,会将一些同样的字符串,通过引用来使用,即格式标识符“R”;另外还有一些字符串使用的是Interend,格式标识符’t’
这些表现出来的形式与常规字符串’s’相同,因此不易区分。而pyc中用常规字符串来解析,在运行和反编译的时候也是没有区别的

原理是这样的:引用字符串只是为了压缩pyc的大小,使得同样的字符串不用出现多次。而未经优化的pyc也是可以正常使用的。

脚本如下:

from struct import pack
def p32(i):
    return pack("<i", i)

def string(d, fout):
    l = len(d)
    fout.write(b"s")
    if(type(d)==type("1")):
        if(d!="" and d[0]=="'"):
            d = d.strip("'")
            l -= 2
        d = d.encode()
    l = p32(l)
    fout.write(l)
    fout.write(d)

def tumple(d, fout):
    l = p32(len(d))
    fout.write(b"(")
    fout.write(l)
    for s in d:
        string(s, fout)

def tumple_line(i, l, fout):
    fout.write(b'(')

    fout.write(p32(l))
    while(data[i][:5]!="names"):
        # print(data[i])
最低0.47元/天 解锁文章

200万优质内容无限畅学
逆python--pyc文件结构及pyc混淆基础
weixin_44222568的博客
12-26 2642
复现创客re-pyc题,理解python编译原理,pyc文件产生,PyCodeObject结构,基础解题pyc代码混淆。
CTF逆向-[羊城杯 2020]Bytecode-WP-Python字节码反编译
serfend's blog
04-12 3179
CTF逆向-[羊城杯 2020]Bytecode-WP-Python字节码反编译 来源:https://buuoj.cn/ 内容:无 附件:https://pan.baidu.com/s/15XJLq9jFV_pOtPMzNXG9XA?pwd=tlwo 提取码:tlwo 答案:GWHT{cfa2b87b3f746a8f0ac5c5963faeff73} 总体思路 反编译汇编成py源码 检查源码逻辑发现是一个约束求解(解方程) 使用z3输入条件得到flag 详细步骤 文件信息,打开发现是Python的
反编译pyc教程 还原Python源码
04-08
反编译pyc教程!简简单单还原源码!值得推荐!
如何把.pyc文件还原为.py文件!实测!可用!
热门推荐
wacebb的博客
05-01 1万+
前言: 做项目的过程中,从github下载了程序,但是阅读程序发现import 少一个py文件,相应文件夹下只有对应的pyc文件,这个问题折磨了我大概四个月的时间(原因还是因为太懒,不查资料,不思考),但实际处理只用了半个小时不到,废话不多说,来看看如何解决的吧。 基础知识: 首先.py文件大家应该都知道,我就不多赘述了。.pyc文件百度有非常详细的解释,我自己理解的就是在我们运行py文件时...
深入解析pyca/cryptography:Python加密工具库指南
最新发布
gitblog_01024的博客
06-06 353
深入解析pyca/cryptography:Python加密工具库指南 项目概述 pyca/cryptography是Python生态中一个功能强大且广泛使用的加密工具库,它提供了从高级加密配方到底层加密原语的全套解决方案。这个库的设计理念是让开发者能够轻松实现安全可靠的加密功能,同时为有特殊需求的专家用户提供足够的灵活性。 核心功能架构 cryptography库采用分层架构设计,主要分为两个层...
逆向工程:Python反编译工具的一点介绍(如何还原pyc文件)
小哈里的博客
09-19 5436
pyc是一种二进制文件,是由py文件经过编译后,生成的可执行的字节码文件。pyc文件是可以跨平台部署的,类似Java的.class文件。
pyc文件编码还原
weixin_34116110的博客
01-04 2612
今天本来是要将.py文件转换成.pyc文件,使用py_complie进行的转换,以防止有人误改了原代码,但不巧的是在操作过程中,致使一个主.py文件出现了乱码。如下图: 当时就傻了,这要重写一遍很麻烦。看了一下论坛,可使用uncompyle6反编译.pyc文件。 1.安装uncompyle6 打开powershell,使用pip自动安装PS C:\Users\Linyu> pip...
uncompyle--pyc逆向工程工具
被遗忘的遐想空间
11-20 6547
安装 最方便的就是使用pip安装  pip install uncompyle uncompyle6 --help 查看帮助  uncompyle6 models.pyc > models.py 将models.pyc反编译成py文件  uncompile -o . *.pyc 将当前文件夹中所有的pyc文件反编译成后缀名为.pyc_dis的源文件
180828 逆向-网鼎杯(3-2)
whklhhhh的博客
08-28 1202
I_like_pack IDA加载一看啥都没有,再根据题目名显然是个壳 windows下脱壳相对而言麻烦一些,ExeInfoPe查壳啊、各种壳的针对性操作啊啥的 Linux下一方面系统开源随便魔改,另一方面有一个/proc/pid/mem的文件可以直接读取进程的内存,使得dump极为容易 本题放到系统下跑起来后发现如果输入会回显“NO”,而不输入的话大概三秒就会自动结束 这显然是alar...
180626 逆向-SUCTF(Python大法好)
whklhhhh的博客
06-27 1988
时隔许久详细的复现一下~ 这个题目也挺有意思的,刺激学了一遍pyc233 题目提供了一份opcode.txt、elf二进制程序a和一个密文cipher.txt opcode打开来可以发现是pyc的解析 虽然有code,但是试着用python解析了一下发现有点复杂 读opcode是不可能的,这辈子都不可能的 本来读起来就麻烦,缺少符号信息就更恐怖了,更别说还有lambda和jo...
python 反编译 exe 还原 pyc 还原 py
miko158的博客
11-24 880
下载 pyinstxtractor.py python pyinstxtractor.py *.exe 得到目录*.exe_extracted 010编辑器打开struct.pyc *.pyc 复制E3前面的字符 替换 *.pyc 前面的值 替换前 替换后的*.pyc (删除插入16进制粘贴过来) (防止Invalid pyc/pyo file - Magic value mismatch!) pip install uncompyle uncompyle6 *.p...
patchpyc:一个用新的 co_filename 修补 PYC 文件的 python 脚本
07-08
补丁包 一个用新的 co_filename 修补 PYC 文件的 python 脚本。 测试 由于它只有一个功能非常简单,因此测试最少: python test.py 并手动验证路径是否设置。 然后对每个 Python 版本重复,因为 PYC 格式可能不同。
uncompyle的使用(python的pyc文件还原py)
若云流风的专栏
05-28 1万+
之前写过一个将py文件转换成exe的,其实整个过程根本算不上加密,最多算是压缩而已。既然有压缩那么肯定就有解压缩。 整个过程:py-->pyc-->exe uncompyle就是这样的坏小子,可以将pyc打回原形。(pyc->py,当然exe也是可以转换成pyc的) 使用方法: 在线解密:
逆向常用脚本
trojancyborg的专栏
04-17 1010
##IDA Patch内存脚本 ##将指定字符串写入指定的地址print 'import sucessfull' print 'patch(addr,base64str)' def patch(addr,base64str): b4_list = list(base64str) for i in range(b4_list.__len__()): PatchByt
简单逆向27(pyc转换,算法逆向,unpack)
m0_49936845的博客
08-10 517
诺莫27 pyc文件是中间文件,直接执行pyc文件会更快,但不是必须的: py文件转pycpyc文件转py: 1.直接使用pip install uncompyle6(目前支持python2.6-3.8) 2.添加环境变量: 将python目录下的script目录设置为环境变量,一般使用pip都设置了的。 也可以直接使用命令: path=%path%;%python_home%/script 3.使用: cmd代码: uncompyle6 -o target.py resource.pyc 或者:
逆向学习过程中使用了一些脚本命令
Coder
01-06 469
环境变量的配置 // - 修改~/.bash_profile export THEOS=~/theos export PATH=~/mybin:$THEOS/bin:$PATH 这样在任意位置中都可以访问到/mybin中的文件(和文件中的命令) 修改完环境变量后 如果希望环境变量立刻生效 则需要使用一下命令 // - 使修改的环境变量立刻生效 source ~/.bash_profile...
Python逆向及相关知识
weixin_61154173的博客
03-18 3381
Python没有严格意义上的编译和汇编过程。一般可以认为编写好的python源文件,由python解释器翻译成以.pyc为结尾的字节码文件。pyc文件是二进制文件,可以由python虚拟机直接运行。注:有的朋友可能会问,为什么我运行python,有时候生成pyc文件,有时候没有呢?Python在执行import语句时,将会到已设定的path中寻找对应的模块。并且把对应的模块编译成相应的PyCodeObject(python中的一个类)中间结果,然后创建pyc文件,并将中间结果写入该文件。
ctf 逆向 暴力破解类的脚本
cainiao78777的博客
03-15 2068
前言:在分析代码的时候常遇到不好逆向的逻辑,如求余(%)等,下面就是含有求余的两道逆向题目 例题一:buuctf [ACTF新生赛2020]rome 1.查壳 无壳32位exe. 2.ida32打开并分析main函数 发现主要函数 func() int func() { int result; // eax int v1; // [esp+14h] [ebp-44h] int v2; // [esp+18h] [ebp-40h] int v3; // [esp+1Ch] [ebp-3Ch
JS逆向hook通用脚本合集
z_ipython的博客
03-06 3900
JavaScript eval() 函数的作用是计算 JavaScript 字符串,并把它作为脚本代码来执行。如果参数是一个表达式,eval() 函数将执行表达式。如果参数是 Javascript 语句,eval() 将执行 Javascript 语句,经常被用来动态执行 JS。Cookie Hook 用于定位 Cookie 中关键参数生成位置,以下代码演示了当 Cookie 中匹配到了 v 关键字, 则插入断点。
逆向中的pyc文件
03-19
通过拖放功能即可加载目标 `.pyc` 或者打包成 EXE 的应用程序,随后一键导出对应的脚本内容。 访问其官方仓库链接可找到最新版软件包以及详细的文档说明: [GitCode Project Page]...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值