一,例题链接
NSSCTF | 在线CTF平台
二,文件特征
使用工具查看文件信息,发现是pyinsatller打包的exe文件,如果硬用ida分析成汇编或c语言根本摸清楚程序的逻辑,所以思路是反编译成py文件直接分析python代码
三,pyinsatller打包的exe文件反编译流程
(一)下载pyinstxtractor工具和uncompyle6库
pyinstxtractor下载链接->GitHub - extremecoders-re/pyinstxtractor: PyInstaller Extractor
下载压缩包解压后即可使用
(注:因为GitHub是国外网站,如果访问速度过慢请参考本篇解决->如何快速访问GitHub等国外资源网站?白嫖资源必备!_github上有不需要花钱的海外代理吗-CSDN博客)
(注:这就是个py源文件,直接编译运行就可以用的)
uncompyle6库下载命令->cmd窗口输入【pip install uncompyle6】
(二) 反编译pyinsatller打包的exe文件
来到上一张图所在的文件位置,打开cmd窗口
在cmd窗口中输入命令【python pyinstxtractor.py 文件路径】
获得如下回显证明无误
此时在同目录下产生一个【xx.exe_extracted】文件夹,双击进入此文件夹,找到一个pyc文件(此处有两个文件,我们关注的是除struct.pyc外的另一个pyc文件,如下图红圈)
在此处再次打开cmd窗口,输入命令【uncompyle6 re2.pyc > re2.py】之后即可在同目录下生成反编译的python文件
用编译器打开此文件即可分析
