记一次PyInstaller打包exe的python程序逆向

查看 142|回复 11
作者:失神我醉了   
最近迷上了DOTA2游廊里的一款游戏,但是太肝了,想着能不能用脚本帮我玩,于是去gayhub一顿搜,还真被我找到了,但是要激活码。。。还是你们会玩,专薅同行羊毛。。


QQ图片20240321133609_mosaic.png (57.22 KB, 下载次数: 0)
下载附件
2024-3-21 13:43 上传

看着这license,我想着python写的,应该好搞吧。。。但是网上有用信息真少,此文记录一下遇到的坑。
exe文件,首先用exeinfoPE 查壳


QQ图片20240321140552.png (174.68 KB, 下载次数: 0)
下载附件
2024-3-21 14:06 上传

可以看到是pyinstaller打包的,无壳。
破解思路
1. 直接动态调试exe文件,patch激活逻辑。
2. 既然python写的,直接反编译成源码。
关于方式1,我沉浸在python虚拟机里无法自拔,没有找到真正的程序入口。。。(太菜了),用x64dbg调试,尝试过在按钮控件下断点(没啥用),希望有经验大佬分享一下。
代码还原
本文主要讨论的是方式2。
根据网上搜到的经验,可以用pyinstxtractor.py 解包脚本进行解包,这里最好下载和源码相同的python环境,不然会出问题。
解包后,接下来就是还原源代码,这里有些坑,根据程序执行流程,我们找到与license激活的pyc文件进行源代码还原。
因为python是3.10,根据公开资料,可以找到gayhub上的pycdc项目进行源代码还原,但是如果你去试,会发现还原不全。
依照pycdc的issue,主要原因是一些opcodes支持不全。


QQ图片20240321143013.png (134.19 KB, 下载次数: 0)
下载附件
2024-3-21 14:31 上传

但是pycdas 完全支持,也就是说可以完美翻译为字节码。


QQ图片20240321143103.png (74.93 KB, 下载次数: 0)
下载附件
2024-3-21 14:33 上传

所以用pycdas直接将pyc翻译成字节码。字节码当然可以直接分析的,对于大佬来说应该不难,但对于我这种小白就很痛苦,那有没有优雅的做法?
还真被我找到了,我直接将字节码喂给chatgpt,让他帮我还原为源代码。就这么简单,惊不惊喜。。。感叹gpt是真的牛逼
import json
import os
import sys
import machineid
import requests
from dateutil.parser import parse
from controller import ConfigManager
from controller.filelog import logger
from controller.global_variables import config, path, path_rau_ma
license_key = ''
try:
    license_key = config.read_config('AutoConfig', 'license')
except:
    pass
if not license_key:
    config.save_config('AutoConfig', 'license', '2024')
days_left = 0
machine_fingerprint = machineid.id()
def activate_license(license_key):
    try:
        validation = requests.get(f'https://xxxx.net/api/license/{license_key}').json()
        # License not found
        if not validation:
            logger.info('License not found')
            days_left = 0
            return False, days_left
        for key in validation:
            if key['detail'] == 'License not found':
                logger.info('License not found')
                days_left = 0
                return False, days_left
        datenow = parse(validation['datenow'])
        expire_date = parse(validation['expire_date'])
        days_left = (expire_date - datenow).days
        global days_left
        if days_left
我还帮你们问问他为什么这么牛逼。


QQ图片20240321151309.png (127.96 KB, 下载次数: 0)
下载附件
2024-3-21 15:13 上传

还原很完美,理论用这个方法可以还原所有源代码。但是没必要。各位可以去试试调戏一下chatgpt,我prompt不太行。。
顺便让chatgpt帮我生成validation 的json响应,方便后面伪造响应。
知道了请求,知道了响应格式,按理说很简单,伪造响应就行了,但这里面还有一些坑。
主要就是requests的https抓包问题
抓包
工具使用:Proxifier,Fiddler
因为requests自己实现了http(s)协议的封装,没有用windows的WinInet库,只靠fiddler抓不到包,得用proxifier将流量导入fiddler
proxifier要注意两点
1. 设置[Profile] — [Name Resolution] — 勾选 [Resolve hostnames through proxy],通过代{过}{滤}理解析域名
2. 在Proxifier中添加127.0.0.1:8888的https代{过}{滤}理服务器,并设置rule让改exe走该代{过}{滤}理。
但是仅仅这样还不行,我们知道要想fiddler抓取https流量,是需要导入证书的,基于windows的,我们可以直接用fiddler安装,基于浏览器的,我们可以将证书导入浏览器
那么requests呢,是的,他内置了ssl证书,不走系统的。一般是记录在certifi文件夹下的cacert.pem文件里。
到这一步,我能搜到的网上的信息是是让我们改源代码,我啪啪一巴掌,能改源代码,我他妈还抓包啊。
当然主要还是我经验不足,后来想了想,都知道证书在哪儿了,我往里面添加fiddler证书不就可以了,将fiddler的cer转为pem,然后复制粘贴到cacert.pem,成功抓包
然后用fiddler的AutoResponder自动响应请求,成功欺骗。


QQ图片20240321155519_mosaic.png (137 KB, 下载次数: 0)
下载附件
2024-3-21 16:05 上传



QQ图片20240321155534_mosaic.png (61.84 KB, 下载次数: 0)
下载附件
2024-3-21 16:06 上传

但是每次运行程序都要运行proxifier和fiddler,有点ugly。。
最后,欢迎各位大佬分享一下pyinstaller打包程序的逆向想法。
Reference
pyinstxtractor
pycdc

Fiddler抓包指南:结合Proxifier工具

下载次数, 源代码

Hou   

gpt这思路真不错,我前几天也卡在高版本pyc的问题 https://www.52pojie.cn/thread-1902049-1-1.html
另外pyc文件可以直接运行的,把核心位置的的字节码交给gpt译成py,把库文件补全然后重新用pyinstaller打包一下就完美了
但是我感觉只适用代码量较少的pyc,量多gpt估计就....
失神我醉了
OP
  


hqt 发表于 2024-3-22 01:58
有点没看懂 requests.get api都出了
为什么不直接删掉直接return True,9999999

因为程序打包后是exe文件,用pyinstxtractor解压exe后是pyc文件,对pyc反编译再可以看到py源码,但是一个py项目不是只有一个py文件的,而且我不会怎么样只修改一个py文件,再回到exe。。或者反编译回所有源码直接python运行,但那样太麻烦(这个项目的py文件很多)
qsfz   

我感觉你已经是一个大佬了
敬而远之   

好在我用nuitka
hqt   

有点没看懂 requests.get api都出了
为什么不直接删掉直接return True,9999999
2370177068   


hqt 发表于 2024-3-22 01:58
有点没看懂 requests.get api都出了
为什么不直接删掉直接return True,9999999

可能是不想修改代码,所以采用抓包的方式?
winxpnt   

采用抓包的方式不错的
mstheholy   

现在也就pyinstaller好逆向,其他打包方式试了下很难
feng710   

ChatGPT太好用了
您需要登录后才可以回帖 登录 | 立即注册

返回顶部