python打包和反編譯

從py到exe

打包

1. 安裝Pyinstaller

pip install pyinstaller
//太慢可切源
pip install -i https://pypi.douban.com/simple/ pyinstaller #豆瓣源
pip install -i https://pypi.tuna.tsinghua.edu.cn/simple pyinstaller #清華源

1. 在文件所在的位置啟動cmd，命令如下

Pyinstaller -F -w -i chengzi.ico py_word.py

其中-F參數代表製作獨立的可執行程式。

• w是指程式啟動的時候不會打開命令行。如果不加-w的參數，就會有黑洞洞的控制台視窗出來。比如在剛纔的腳本里我加一行print('Hello World!')，那麼就不要放-w參數了，不然運行會報錯，畢竟Hello World!需要在命令行里列印出來。此外，w參數在GUI界面時非常有用。
• 但是！！！註意，如果這裡python文件有input的話，就會報錯（報錯的框框標題是Unhandled exception in script)，所以要把w給去掉。

最後的-i chengzi.ico就是指設置自己的圖標圖案，因為預設打包圖片是下圖這樣的。這個參數也可以寫成--icon=chengzi.ico

1. 然後就在disk下麵找到

ps: Linux同，指令一樣的，生成elf文件

• 直接把exe拖進ida

  可以在strings裡面發現__main__、__file__、py開頭的東西

  這個是python打包之後的exe文件的特征

從exe到pyc

pyi-archieve_viewer

直接在文件所在的地方啟動cmd，鍵入即可

（前面下好了Pyinstaller就可以直接用哇）

pyi-archive_viewer abc.exe

下麵的是pyi-archieve_viewer的其他選項：

-h, --help
Show help. 顯示幫助。

-l, --log
Quick contents log. 快速內容日誌。

-b, --brief
Print a python evaluable list of contents filenames.
列印 python 可評估的內容文件名列表。

-r, --recursive
Used with -l or -b, applies recursive behaviour.
與 -l 或 -b 一起使用，應用遞歸行為。

在鍵入pyi-archive_viewer abc.exe之後會在最後面有一個?，在?後面鍵入以下指令就好。

?
U: go up one level
//返回上一級，返回查看包含的文檔
O <name>: open embedded archive with given name
//打開嵌入的壓縮包的名稱（如果省略會提示，列如當查看單文件可執行文件時，可以打開其中的PYZ-00.pyz存檔
X <name>: extract file with given name
//提取，省略同樣會提示。會提示輸入輸出名，如果沒有給出，則將該文件提取到標準輸出。
S: list the contents of current archive again
//再列舉一遍之前出現的
Q: quit
//退出然後到普通的命令行

然後就大概這樣哇

D:\aDate\2024-1\春節\123\open it!>pyi-archive_viewer begin~.exe
Contents of 'begin~.exe' (PKG/CArchive):
 position, length, uncompressed_length, is_compressed, typecode, name
 0, 248, 344, 1, 'm', 'struct'
//上面這個就是其中一個可以提取出來的pyc文件（一般第一個就是可以提取的pyc文件。都是叫struct）
 248, 4015, 8269, 1, 'm', 'pyimod01_archive'
 4263, 10363, 24574, 1, 'm', 'pyimod02_importers'
 14626, 2863, 7035, 1, 'm', 'pyimod03_ctypes'
 17489, 1087, 2017, 1, 'm', 'pyimod04_pywin32'
 18576, 1064, 1840, 1, 's', 'pyiboot01_bootstrap'
 19640, 970, 1679, 1, 's', 'pyi_rth_inspect'
 20610, 1242, 3625, 1, 's', '1'
//這個是另外一個可以提取出來的pyc文件（這個是py文件打包前的名字，如果不知道的也可以通過其前後文件的特征來判斷，前面的是一堆pyi_文件開頭，後面的就是VCR文件）
 21852, 56219, 109440, 1, 'b', 'VCRUNTIME140.dll'
 78071, 45317, 84760, 1, 'b', '_bz2.pyd'
 123388, 121913, 253720, 1, 'b', '_decimal.pyd'
 245301, 29903, 65304, 1, 'b', '_hashlib.pyd'
 275204, 88053, 159000, 1, 'b', '_lzma.pyd'
 363257, 38299, 79640, 1, 'b', '_socket.pyd'
 401556, 70493, 176920, 1, 'b', '_ssl.pyd'
 472049, 6321, 12240, 1, 'b', 'api-ms-win-core-console-l1-1-0.dll'
 478370, 6121, 11736, 1, 'b', 'api-ms-win-core-datetime-l1-1-0.dll'
 484491, 6159, 11728, 1, 'b', 'api-ms-win-core-debug-l1-1-0.dll'
 490650, 6209, 11728, 1, 'b', 'api-ms-win-core-errorhandling-l1-1-0.dll'
 496859, 7254, 15328, 1, 'b', 'api-ms-win-core-file-l1-1-0.dll'
 504113, 6177, 11728, 1, 'b', 'api-ms-win-core-file-l1-2-0.dll'
 510290, 6288, 11744, 1, 'b', 'api-ms-win-core-file-l2-1-0.dll'
 516578, 6156, 11736, 1, 'b', 'api-ms-win-core-handle-l1-1-0.dll'
 522734, 6333, 12256, 1, 'b', 'api-ms-win-core-heap-l1-1-0.dll'
 529067, 6203, 11728, 1, 'b', 'api-ms-win-core-interlocked-l1-1-0.dll'
 535270, 6513, 12752, 1, 'b', 'api-ms-win-core-libraryloader-l1-1-0.dll'
 541783, 7050, 14800, 1, 'b', 'api-ms-win-core-localization-l1-2-0.dll'
 548833, 6351, 12240, 1, 'b', 'api-ms-win-core-memory-l1-1-0.dll'
 555184, 6277, 11728, 1, 'b', 'api-ms-win-core-namedpipe-l1-1-0.dll'
 561461, 6431, 12752, 1, 'b', 'api-ms-win-core-processenvironment-l1-1-0.dll'
 567892, 6939, 14288, 1, 'b', 'api-ms-win-core-processthreads-l1-1-0.dll'
 574831, 6377, 12240, 1, 'b', 'api-ms-win-core-processthreads-l1-1-1.dll'
 581208, 6139, 11728, 1, 'b', 'api-ms-win-core-profile-l1-1-0.dll'
 587347, 6363, 12240, 1, 'b', 'api-ms-win-core-rtlsupport-l1-1-0.dll'
 593710, 6225, 11728, 1, 'b', 'api-ms-win-core-string-l1-1-0.dll'
 599935, 6758, 13776, 1, 'b', 'api-ms-win-core-synch-l1-1-0.dll'
 606693, 6412, 12240, 1, 'b', 'api-ms-win-core-synch-l1-2-0.dll'
 613105, 6456, 12768, 1, 'b', 'api-ms-win-core-sysinfo-l1-1-0.dll'
 619561, 6339, 12240, 1, 'b', 'api-ms-win-core-timezone-l1-1-0.dll'
 625900, 6160, 11728, 1, 'b', 'api-ms-win-core-util-l1-1-0.dll'
 632060, 6507, 12752, 1, 'b', 'api-ms-win-crt-conio-l1-1-0.dll'
 638567, 7566, 15824, 1, 'b', 'api-ms-win-crt-convert-l1-1-0.dll'
 646133, 6341, 12240, 1, 'b', 'api-ms-win-crt-environment-l1-1-0.dll'
 652474, 6964, 13776, 1, 'b', 'api-ms-win-crt-filesystem-l1-1-0.dll'
 659438, 6489, 12752, 1, 'b', 'api-ms-win-crt-heap-l1-1-0.dll'
 665927, 6445, 12240, 1, 'b', 'api-ms-win-crt-locale-l1-1-0.dll'
 672372, 9429, 20944, 1, 'b', 'api-ms-win-crt-math-l1-1-0.dll'
 681801, 6544, 12752, 1, 'b', 'api-ms-win-crt-process-l1-1-0.dll'
 688345, 7743, 16336, 1, 'b', 'api-ms-win-crt-runtime-l1-1-0.dll'
 696088, 8182, 17872, 1, 'b', 'api-ms-win-crt-stdio-l1-1-0.dll'
 704270, 8354, 18384, 1, 'b', 'api-ms-win-crt-string-l1-1-0.dll'
 712624, 7051, 14288, 1, 'b', 'api-ms-win-crt-time-l1-1-0.dll'
 719675, 6486, 12240, 1, 'b', 'api-ms-win-crt-utility-l1-1-0.dll'
 726161, 1847308, 5157656, 1, 'b', 'libcrypto-3.dll'
 2573469, 283575, 789784, 1, 'b', 'libssl-3.dll'
 2857044, 2278651, 5765912, 1, 'b', 'python311.dll'
 5135695, 17464, 30488, 1, 'b', 'select.pyd'
 5153159, 479880, 1035728, 1, 'b', 'ucrtbase.dll'
 5633039, 417379, 1141016, 1, 'b', 'unicodedata.pyd'
 6050418, 566204, 1847837, 1, 'x', 'base_library.zip'
 6616622, 1356103, 1356103, 0, 'z', 'PYZ-00.pyz'
? x struct
//這裡直接輸入目錄裡面顯示的名字就好，不用加尾碼
Output filename? struct.pyc
//然後就會顯示讓你取一個名字，這裡就要加上我們的尾碼了
? x 1
Output filename? 1.py
? q

結束之後就可以在啟動的文件夾裡面找到提取成功的pyc文件，另外如果是上面列出來沒有的，會有如下的報錯：

? x index
Failed to extract data for entry 'index' from 'begin~.exe': 'No entry named index found in the archive!'
Output filename?

ps: 但是在同目錄下還會照樣生成錯誤的輸入的文件。

https://pyinstaller.org/en/stable/advanced-topics.html#using-pyi-archive-viewer

具體用法在官方pyinstaller文檔說明裡面。

PyInstaller Extractor

這是一個可以直接提取exe文件裡面的腳本，用於提取 PyInstaller 生成的可執行文件的內容。

用法：(在該腳本所在文件夾啟動cmd，然後就可以在該文件夾下麵發現一個以提取exe命名的文件夾，打開就是全部提取好的）

D:\re\python\pyinstxtractor-master>python .\pyinstxtractor.py .\begin~.exe
[+] Processing .\begin~.exe
[+] Pyinstaller version: 2.1+
//pyinstaller版本
[+] Python version: 3.11
//python版本
[+] Length of package: 7976141 bytes
//存檔長度
[+] Found 61 files in CArchive
//在CArchive里找到61個文件
[+] Beginning extraction...please standby
[+] Possible entry point: pyiboot01_bootstrap.pyc
[+] Possible entry point: pyi_rth_inspect.pyc
[+] Possible entry point: 1.pyc
//可能的入口點
[+] Found 102 files in PYZ archive
[+] Successfully extracted pyinstaller archive: .\begin~.exe

You can now use a python decompiler on the pyc files within the extracted directory

從pyc到py

修補文件頭

使用pyinstaller打包的文件，文件頭會被去掉。再還原的過程中，我們需要手動進行修補，這個文件頭長度一般為16位元組。用pyi-archieve_viewer來提取的pyc都會缺，但是PyInstaller Extractor的不會缺（怪）所以這裡還是推薦用後者。

然後提取出來的pyc有一個是和原本py文件同名的，那個點擊後會執行和原exe一樣的行為。

還原pyc

• 線上網站

  https://tool.lu/pyc/

• 使用uncompyle6

  先安裝：

  pip install uncomyle6
  

  然後同目錄：

  uncompyle6 -o 123.pyc
  

• 使用pycdc Decompyle++

  https://github.com/zrax/pycdc