Хола, хацкер, хотел когда-то узнать, что скрывается за скомпилированным приложением? Сегодня мы рассмотрим способ реверса скомпилированного (pyinstaller'ом) exe-шника. Поехали!
Что нам понадобится?
-
https://sourceforge.net/projects/pyinstallerextractor/
-
https://github.com/rocky/python-uncompyle6
-
https://mh-nexus.de/en/hxd/ / Или другой
https://www.google.com/search?q=hex+editors редактор.
Для начала скачиваем скрипт Extractor. После устанавливаем Uncompyle6 при помощи pip'a:
Code:
pip install uncompyle6
Установка UnCompyle6.
Теперь мы можем приступить к реверсу.
Мне в руки попал РАТника на питоне, скомпилированного pyinstaller'ом. Собственно, порядок действий не будет отличаться от любого другого файла. Приступим.
Сначала нам нужно получить все файлы/библиотеки/dll из исполняемого файла. Для этого нам нужен pyExtractor. Запускаем скрипт следующим образом:
Code:
python pyinstxtractor.py имяфайла.exe
Пример успешного выполнения.
Рядом с exe-шником создалась папка: File.exe_extracted
ут, в моём случае мне понадобится файл BlackSec, в ином это будет имя файла без расширения. (К примеру ваш файл назывался build.exe, после Extractor'a конечный файл будет просто build).
Файл BlackSec - pyc без "магического" числа.
pyc - Это скомпилированный байт-код. Если вы импортируете модуль, python построит файл *.pyc, который содержит байт-код, чтобы упростить импорт
Что такое "магическое" число говорить не буду, но вот ссылочка на Вику, она вам всё расскажет.
Нам нужно получить pyc файл для получения кода. Для этого запускаем HEX редактор и переносим туда файл без расширения, в моём случае это BlackSec:
Сейчас нам нужно присвоить нашему файлу магическое число, его мы возьмём из соседних файлов в папке PYZ-00.pyz_extracted. Копируем любой файл из папки, (я всегда использую__future__.pyc) в HEX редактор:
Теперь нам нужно скопировать байты, в которых содержится магическое число, чтобы всё прошло успешно, нужно чтобы первая строка двух файлов (BlackSec & __future__.pyz) были одинаковыми. Копируем первые 12 байтов:
И вставляем в начало нашего файла:
Далее нажимаем на: Файл => Сохранить как... И сохраняем с расширением .pyc:
По сути всё практически готово, осталось декомпилировать .pyc файл при помощи uncompyle, для этого в cmd запускаем команду:
Code:
uncompyle6 -o source.py ИмяВашегоФайла.pyc
Всё, возле нашего pyc файла появился файл содержащий код exe-шника.
Mission Passed!
Заключение.
Как видишь, хацкер, python тоже поддаётся декомпиляции. В сторону защиты кода следует использовать обфускаторы/протекторы, для питона порекомендую pyArmor, он превращает код в "непонятный" набор символов.
На этом статья заканчивается, до связи, хацкер.
@ Dark $ide
02-19-2025, 08:20 PM
Linear Mode
