对于python源码编译的exe及pyc的逆向

以2024SCTF中的ez_cython为例

ez_cython提供了一个python源码编译的exe

用这个exe在直接IDA中看会发现得不到什么有效的信息基本都是fail

需要用到三个工具

pyinstxtractor.py
任意一个Hex编辑器
uncompyle库

pyinstxtractor.py 工具的下载地址：

https://sourceforge.net/projects/pyinstallerextractor/

或

https://download.csdn.net/download/qq_63585949/86509791

Hex编辑器wxMEdit下载地址：
https://wxmedit.github.io/downloads.html
或

https://download.csdn.net/download/qq_63585949/86509705

uncompyle库为第三方库，可以使用pip命令安装：

1	pip install uncompyle6

将pyinstxtractor.py与exe置于同一个目录下

然后在当前目录打开终端，输入python pyinstxtractor.py 文件名.exe：

运行后会生成一个ez_cython.exe_extracted

在这个文件中会存在struct和ez_cython两个文件需要自己添加文件后缀pyc

同时获得的ez_cython.pyc是没有magic number的一般可以通过strcut. pyc来获取但是本题中两个都没有这个时候就需要去获取对应python版本的magic number

本题中为3.8版本的python

E3之前即为magic number

然后回到目录下，打开控制台，输入命令uncompyle6 文件名.pyc > 文件名.py回车执行，就可以看到目录下生成了.py文件了：

3.8以下可以使用uncompyle6 3.9及以上的使用pycdc

pycdc的使用参考：

Python 反编译：pycdc工具的使用-CSDN博客

ez_cython源码：

import cy

def str_hex(input_str):
   return (lambda .0: [ ord(char) for char in .0 ])(input_str)


def main():
  print('欢迎来到猜谜游戏！')
  print("逐个输入字符进行猜测，直到 'end' 结束。")
  guess_chars = []
  char = input("请输入一个字符（输入 'end' 结束）：")
  if char == 'end':
     pass
  elif len(char) == 1:
     guess_chars.append(char)
  continue
print('请输入一个单独的字符。')
  continue
  guess_hex = str_hex(''.join(guess_chars))
  if cy.sub14514(guess_hex):
    print('真的好厉害！flag非你莫属')
 
    print('不好意思，错了哦。')
    retry = input('是否重新输入？(y/n)：')
  if retry.lower() != 'y':
    pass

    print('游戏结束')

  if __name__ == '__main__':
     main()