py_exe逆向——工具逆向

本文使用工具下载时间皆为2025/1/1时的最新版本,过去版本的工具出现的bug和需要微调的部分将不会在此讲解,请确保工具是在附件所指链接(官方仓库链接)中的最新版本。

判断exe是由python生成

  1. 由题目或名称推断
  2. py转化默认图标判断
  3. ida查看String中存在大量Py开头的数据

使用脚本

下载pyinstxtractor.py脚本到exe统计目录下,然后执行

python pyinstxtractor.py

在当前目录下将会生成名为的xxx_extracted的文件夹文件夹中存在这几个部分

  • (外部/本地)dll库/pyd库/pyc/库文件夹/库压缩包
  • 对应版本dll 如:pythonXX.dll
  • exe同名pyc(程序主函数本体)
  • struct.pyc 结构体

之后就是pyc和pyd逆向了😊