Python逆向的简单笔记

文章预览

前言 在过 去 十年中，大量恶意软件是用解释型编程语言（例如Python）编写的，数量在不断增加且具有较好的免杀效果。日常工作中会遇到需要对一线反馈的恶意文件进行分析获取相关信息的流程，自己手工逆向分析时难免会遇到Python恶意文件，于是借用一些公开的分析工具针对具体遇到的案例实现分析过程，将过程简单记录下来作为笔记。 我们发现的Python恶意文件大多数是Py2exe或Pyinstaller打包的，因此手工分析的第一步是利用 pyinstxtractor.py提取pyc文件。最好是在分析环境里安装Python打包的恶意exe文件被构建时选择的Python版本，例如本例为Python3.8。提取完成后可以得到pyc后缀文件和pyd后缀文件以及一些dll文件，我们主要聚焦pyc文件，然后慢慢找到核心代码文件，这里最重要的文件是Alfre.pyc。 https://github.com/extremecoders-re/pyinstxtractor pyc文件是Python脚本 ………………………………