使用 Python 编写的程序通常以源码的形式发布，也可以将所有依赖都打包到一个可执行文件中。那么如何解包 Python 恶意可执行文件呢？

 

打包

打包与加壳不同，打包 Python 程序的目的是创建一个可以在操作系统上独立运行的可执行文件。使用例如 PyInstaller 这类打包工具时，会执行以下操作：

将所有.py 源文件编译为 python 字节码文件（.pyc文件）

整合所有 python 编译的源代码和 python 依赖，包括依赖于操作系统的 python 解释器（Linux 上的 libpython3.9.so.1.0 或 Windows 上的 python37.dll）

将所有资源都打包在一起，执行时将这些资源都解压到内存中，然后使用解释器解释执行原始 python 代码

以 Windows 平台为例，将示例代码使用 PyInstaller 进行打包：

示例代码

直接运行脚本文件是很容易的：

运行情况

打包如下所示：

打包情况

打包得到的 evil_program.exe可以直接运行，可得到与脚本相同的运行结果。此时，程序可以移动到另一个完全没有 Python 环境的机器上一样可以执行

运行情况

在 Windows 上解包 Python<3.9

如果样本中可以看到很多以 py 开头的字符串，基本可以断定是一个打包的 Python 程序。

字符串

对于 PyInstaller 来说，还有独特字符串 MEIPASS。

监控运行程序时在临时文件夹中创建了哪些文件，就能够知道使用的 Python 版本。例如 python38.dll 意味着使用的是 Python 3.8 版本。

监控文件系统

想要恢复源代码，必须要保证：

解压得到所有文件，特别是编译后的字节码文件（.pyc）

反编译感兴趣的 .pyc 文件

解压可以使用 pyinstxtractor，使用相同版本的 Python 即可解压得到文件：

解压文件

pyinstxtractor 还额外提供了哪些是 Python 程序文件的信息，尽管存在误报但是也有很大的帮助。可以看到主文件是 evil_program.pyc：

提取文件

接着使用 uncompyle6进行反编译，值得注意的是 uncompyle6 只支持到 Python 3.8。

反编译

在 Linux 上解包 Python>=3.9

再次使用 pyinstxtractor 解压样本文件。由于样本是 64 位 ELF 文件，不能直接使用 pyinstxtractor 需要将文件的 pydata 转存到一个单独的文件再执行 pyinstxtractor。

转存文件

解包成功如下所示，也需要配合相应的 Python 版本：

解压文件

解压后的数据中有一个 RansomWare.pyc，就是需要关注的内容。由于使用 Python 3.9，需要 Decompyle++进行反编译。该工具美中不足的就是没有文档讲解如何进行构建，如下所示：

构建反编译工具

如果想要从任何地方调用 pycdc 命令，也可以运行 sudo make install。

pycdc 是反编译命令，使用它来恢复 RansomWare.pyc 的源代码：

反编译

当然，某些情况下也会遇到反编译失败的问题。但大部分代码还是可以正常进行反编译的：

反编译失败

反编译失败时，可以使用 pycdas 命令来恢复“反汇编”的字节码。

write_key() 函数的字节码反汇编

结论

本文介绍了如何解压和反编译使用 PyInstaller 打包的 Python 程序，在应对使用 Python 编写的恶意软件时可以在源码级进行分析，可以大大提高效率。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，需要点击下方链接即可前往获取 

 读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）

同时每个成长路线对应的板块都有配套的视频提供： 

大厂面试题

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料

所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或链接免费领取~ 

 读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）

特别声明：

此教程为纯技术分享！本教程的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失。