Воруем чужой код

  • Автор темы Admin

Admin

#1
Администратор
Регистрация
31.12.2019
Сообщения
7,569
Реакции
36
lxXO-yqrRmiCYp8ylyyO3Q.png

Хола, хацкер, хотел когда-то узнать, что скрывается за скомпилированным приложением? Сегодня мы рассмотрим способ реверса скомпилированного (pyinstaller'ом) exe-шника. Поехали!

Что нам понадобится?

- PyInstaller Extractor.

- Uncompyle6.

- HxD / Или другой HEX редактор.

Для начала скачиваем скрипт Extractor. После устанавливаем Uncompyle6 при помощи pip'a:

Код:
pip install uncompyle6
KDNina-IRf_ef4_MAoJkNg.png

Установка UnCompyle6.

Теперь мы можем приступить к реверсу.

Мне в руки попал РАТника на питоне, скомпилированного pyinstaller'ом. Собственно, порядок действий не будет отличаться от любого другого файла. Приступим.

Сначала нам нужно получить все файлы/библиотеки/dll из исполняемого файла. Для этого нам нужен pyExtractor. Запускаем скрипт следующим образом:

Код:
python pyinstxtractor.py имяфайла.exe
UOAkSctbQa2NcnqnqHqgpQ.png

Пример успешного выполнения.
Рядом с exe-шником создалась папка: File.exe_extracted


U5JcntoNQaqgsa3cFOYI9Q.png

Здесь в моём случае мне понадобится файл BlackSec, в ином это будет имя файла без расширения. (К примеру ваш файл назывался build.exe, после Extractor'a конечный файл будет просто build).

Файл BlackSec - pyc без "магического" числа.

pyc - Это скомпилированный байт-код. Если вы импортируете модуль, python построит файл *.pyc, который содержит байт-код, чтобы упростить импорт
Что такое "магическое" число говорить не буду, но вот ссылочка на Вику, она вам всё расскажет.
Нам нужно получить pyc файл для получения кода. Для этого запускаем HEX редактор и переносим туда файл без расширения, в моём случае это BlackSec:
jBQpWM52Rw6xcYPd629Y7A.png

Сейчас нам нужно присвоить нашему файлу магическое число, его мы возьмём из соседних файлов в папке PYZ-00.pyz_extracted. Копируем любой файл из папки, (я всегда использую__future__.pyc) в HEX редактор:
FSbcoI_sQ3a1frYw1f7rZw.png

Теперь нам нужно скопировать байты, в которых содержится магическое число, чтобы всё прошло успешно, нужно чтобы первая строка двух файлов (BlackSec & __future__.pyz) были одинаковыми. Копируем первые 12 байтов:



RikgA-PlSzeQcBfuXbQ3sQ.png

И вставляем в начало нашего файла:
iAdrClfyTliAlmgqw1EYkw.png

Далее нажимаем на: Файл => Сохранить как... И сохраняем с расширением .pyc:


VLJ0L594QemM_2TEfQfeEQ.png

По сути всё практически готово, осталось декомпилировать .pyc файл при помощи uncompyle, для этого в cmd запускаем команду:

Код:
uncompyle6 -o source.py ИмяВашегоФайла.pyc
vjjfOhKHQQuJIRQOcLfIMw.png

Всё, возле нашего pyc файла появился файл содержащий код exe-шника.
8Ym3Ics4Ql_C1Pokk1bMWA.png

Mission Passed!

Заключение.
Как видишь, хацкер, python тоже поддаётся декомпиляции. В сторону защиты кода следует использовать обфускаторы/протекторы, для питона порекомендую pyArmor, он превращает код в "непонятный" набор символов.
 

Members, viewing this thread

Сейчас на форуме нет ни одного пользователя.