<think>我们正在讨论PyInstaller逆向工程的方法和技巧。根据提供的引用内容，我们可以总结出几个关键工具和步骤。主要工具是PyInstaller Extractor（或PyInstxtractor），它用于从PyInstaller打包的可执行文件中提取内容。 步骤通常包括： 1. 使用PyInstaller Extractor工具解包可执行文件，得到各种文件（包括.pyc文件）。 2. 由于提取出的.pyc文件可能缺少标准的文件头（PyInstaller打包时可能会修改文件头），我们需要修复这些.pyc文件的文件头，使其能够被反编译工具识别。 3. 使用反编译工具（如uncompyle6、pycdc等）将.pyc文件反编译为Python源代码。 此外，引用[4]提到了一个实际案例（2048游戏逆向），其中指出PyInstaller打包的文件逆向具有完整链条：从exe还原pyc再到源码。 因此，我们可以将逆向过程分为三个主要步骤：解包、修复pyc文件头、反编译。 下面我将详细介绍每个步骤的操作方法和技巧。 </think> ### PyInstaller逆向分析方法与技巧 PyInstaller打包的EXE文件逆向工程主要分为**解包提取、文件修复、反编译**三大步骤，以下是详细操作指南： --- #### **一、核心工具准备** 1. **PyInstxtractor** - 作用：解包EXE文件，提取内部资源（PYZ归档、PYC字节码等） - 使用命令： ```bash python pyinstxtractor.py target.exe ``` - 输出：生成`target.exe_extracted`目录，包含所有解包文件[^3] 2. **pycdc/pycdas**（或**uncompyle6**） - 作用：反编译PYC字节码为Python源码 - 安装：`pip install uncompyle6` - 使用：`uncompyle6 -o output.py extracted.pyc` --- #### **二、逆向操作步骤详解 ##### **步骤1：解包文件提取** 1. 运行PyInstxtractor解包EXE： ```bash python pyinstxtractor.py game.exe # 示例 ``` - 关键输出文件： - `PYZ-00.pyz`：压缩的依赖库 - `struct`：文件结构元数据 - `pyiboot01_bootstrap.pyc`：启动脚本字节码 - `main.pyc`：主程序字节码[^2] 2. **特殊文件处理**： - 若存在`PYZ-00.pyz`，需用`pyz_extractor.py`二次解压： ```bash python pyz_extractor.py PYZ-00.pyz ``` ##### **步骤2：修复PYC文件头** PyInstaller移除标准PYC文件的**16字节魔数头**，需手动修复： 1. 使用**010 Editor**或**HxD**打开PYC文件 2. 在文件开头添加对应Python版本的魔数（例如Python 3.9）： ``` Magic Hex: 61 0D 0D 0A # Python 3.9 Timestamp: 00 00 00 00 # 置零 Size: 00 00 00 00 # 置零 ``` *注：魔数列表见[Python官方文档](https://github.com/python/cpython/blob/main/Lib/importlib/_bootstrap_external.py)[^1]* ##### **步骤3：反编译与源码恢复** 1. 使用**uncompyle6**反编译修复后的PYC： ```bash uncompyle6 -o recovered_source.py main.pyc ``` - **常见问题处理**： - 报错`Unknown magic number` → 检查文件头魔数是否正确 - 报错`Decompilation failed` → 尝试**pycdc**工具（对混淆代码兼容性更好） 2. **动态调试补充**： - 使用**PyCharm调试模式**附加到EXE进程 - 配合**pyinspect**实时捕获内存中的代码对象 --- #### **三、关键技巧与注意事项** 1. **字符串与资源提取**： - 用**Resource Hacker**直接提取EXE中的图片/配置文件 - 搜索`PYIARCH`标识定位资源段[^2] 2. **跨平台处理**： - Linux/Mac打包的EXE需用`dd`命令剥离ELF头部： ```bash dd if=linux_binary bs=8 skip=1 of=cleaned.pyc ``` 3. **反编译优化**： - 对混淆代码：使用**Decompyle++**（pycdc）提升可读性 - 缺失元数据时：通过`dis`模块手动分析字节码逻辑 4. **防逆向对抗方案**： - 若遇加密：检查`pytransform`模块（PyArmor特征） - 内存DUMP：使用**frida-python**注入导出解密后的代码 --- #### **四、典型应用场景** 1. **恶意软件分析**：提取病毒通信逻辑[^1] 2. **源码恢复**：修复丢失的Python项目 3. **游戏修改**：如修改2048游戏逻辑（引用[4]案例） 4. **自动化审计**：批量检测供应链攻击 ---