python exe文件解包方法總結(jié)

更新時(shí)間：2025年03月18日 09:18:06 作者：大牛軟件開發(fā)

這篇文章總結(jié)了如何從Python EXE文件中提取和反編譯Python腳本（.pyc文件）的過程,包括使用pyinstxtractor.py或archive_viewer.py進(jìn)行解包,感興趣的小伙伴跟著小編一起來看看吧

一、步驟

1. exe → pyc

方法1：pyinstxtractor.py

執(zhí)行python pyinstxtractor.py <待解包文件名> ，如果成功，即可獲得<待解包文件名>_extracted 文件夾。

注：執(zhí)行時(shí)會(huì)提示python版本問題，想要正常解包必須使用正確的python版本。

方法2：archive_viewer.py

執(zhí)行python archive_viewer.py <待解包文件名> ，會(huì)打印EXE文件中包含的所有文件信息

使用x <文件名>命令將想要提取出的文件提取出來，q 命令退出。

兩者的區(qū)別

方法1可以一次性提取出所有文件，方法2只能逐個(gè)提取文件。但是在個(gè)人使用時(shí)，方法2的成功率相對(duì)較高?？梢韵葒L試用方法1，失敗后用方法2。

2. pyc → py

步驟1獲得的文件是pyc文件，還需要進(jìn)一步反編譯獲得py文件。

注：我遇到過直接獲得py文件的情況，所以在反編譯之前可以先查看一下是不是已經(jīng)成功了。

2.1 pyc文件恢復(fù)

注：最新版pyinstxtractor.py支持自動(dòng)恢復(fù)pyc，但是經(jīng)實(shí)驗(yàn)不能保證準(zhǔn)確性?；蛘哒f需要使用準(zhǔn)確的python版本才行。

在將python文件打包成exe文件的過程中，會(huì)抹去pyc文件前面的部分信息，所以在反編譯之前需要檢查并添加上這部分信息。

抹去的信息內(nèi)容可以從struct文件中獲取：

struct文件：

struct文件

pyc文件：

pyc文件

Q1：需要添加多少字節(jié)？

多個(gè)參考文章中提到的添加字節(jié)數(shù)都不一致，這應(yīng)該與使用的python版本有關(guān)。但是在已知的幾個(gè)例子中，可以看出pyc文件開頭的幾個(gè)字節(jié)與struct文件中的字節(jié)是一樣的。比如說上圖中pyc文件是以E3 00 00 00開頭，而這部分字節(jié)就和struct文件的第二行起始字節(jié)相同。

因此在此例中，需要復(fù)制添加的字節(jié)就是struct文件中第一行的16個(gè)字節(jié)

Q2：添加的方法是什么？

在010editor中，選擇Edit→Insert/Overwrite→InsertBytes，Start Address填0，Size填16。

然后將字節(jié)復(fù)制進(jìn)去即可。

2.2 反編譯

反編譯工具

Easy Python Decompiler
這是一個(gè)GUI界面的可執(zhí)行文件，下載下來直接用就可以，但是并不是每次都能成功，有些magic value不能識(shí)別。
uncompyle6
該工具需要使用pip安裝，使用腳本執(zhí)行。成功率較高。

反編譯提示magic value有問題怎么辦？

在上面我們添加的16個(gè)字節(jié)中，前四個(gè)字節(jié)表示的就是magic value，其中前兩個(gè)字節(jié)表示的是python的版本號(hào)，一般來說magic value的問題就是版本號(hào)有問題，編譯工具沒有識(shí)別出來該版本號(hào)表示的python版本。

如果使用的是Easy Python Decompiler，那么就可以直接轉(zhuǎn)用uncompyle6了。

如果用的已經(jīng)是uncompyle6，那么需要先看一下它可以識(shí)別的版本號(hào)都有哪些，這個(gè)信息可以在xdis包的magics.py文件中找到，具體方法如下：