公司的pyc做了加密, 前段時間研究了一下怎麼解密.
最開始的思路是反彙編pypy的dll, 找到import代碼的實現, 然後寫一個解碼的函數. 但是對反編譯的東西不熟悉, 想要找到解密的地方比較困難. 最後放棄了這個思路.
後面看到了一篇pyc文件格式的文章, 得知pyc文件其實就是文件頭+marshal編碼後的python vm字節碼, 所以嘗試了hook一下marshal.loads
import marshal count = 0
old_loads = marshal.loads def marshal_loads(s): global count pyc_hash = hashlib.md5(s).hexdigest() if pyc_hash in pyc_set: return old_loads(s) pyc_set.add(pyc_hash) count += 1 x = "O_" + str(count) with open("./dumps/%s.pyc" % x, "wb") as f: f.write(base64.b32decode('BLZQ2CR54CUFU===')) f.write(s) print(1, len(s)) return old_loads(s) marshal.loads = marshal_loads
然後去import那個pyc, 他自己修改過的python解釋器會先解碼加密過的pyc文件, 然後再走到marshal.loads, 這時候已經不是加密的內容, 所以我們可以加一個標準的pyc頭重新組裝成一個pyc, 只是不清楚當前這段bytes是哪個pyc文件的, 這個不是很重要, 反正所有import到的模塊都會被dump出來.
下來用uncompyle6反編譯就行了. 反編譯出來的代碼, 頭部會標明自己是哪個模塊, 再寫一個腳本重新rename一下, 就可以了. 不過有少數代碼會反編譯失敗.
文中那個'BLZQ2CR54CUFU===' magic number, 應該是我隨便找了一個正常的pyc文件, 應該是python 2.7的, 如果是python 3的話, 找一個正常的pyc文件看看, 替換一下就行了.
最後吐槽一下, 把pyc文件加密有什麼意義, 爲啥要把腦子浪費在這種地方上???
參考: