您的位置:

payload_dumper: Python中最常用的反混淆技术

在Hacker和病毒作者之间的永恒斗争中,反混淆是非常重要的。在当前的计算机环境中,使用混淆技术编写恶意软件几乎是常态。一些恶意软件的开发者会使用Python作为编写它们的主要语言,Python中使用最常见的技术就是反混淆技术。

一、从payloaddumper下载

payload_dumper是Python工具集的一部分。使用这个工具,您可以反混淆Python脚本并将其输出到单个文件中。这样,您可以查看其中的明文以便进行分析。为了下载payloaddumper,请使用以下命令:

git clone https://github.com/downloads/kholia/payload_dumper/payload_dumper-0.1.zip
unzip payload_dumper-0.1.zip

解压完成后,payload_dumper将会在本地目录中可用。接下来,您需要了解payload_dumper如何工作。

二、使用payload_dumper闪退

当您尝试去分析对方用了混淆技术编写的Python恶意代码时,最常见的问题就是脚本闪退。这是由于大多数混淆技术(最常见的是PyArmor和py2exe)将代码压缩到单个可执行文件中。当你尝试去运行这个文件,解包将被执行,但Python自身没有足够的信息来解压这些代码,从而导致脚本闪退。

但是,如果您使用payload_dumper,这个问题将得到解决。Payload_dumper使用了IDA作为反混淆引擎,IDA能够解决基本的Python混淆技术。IDA中包含“PYTHON-解码器”,这个解码器将输入文件中混淆过的Python代码解码并输出到一个新的文件中。使用反混淆技术将混淆的代码恢复为非混淆的代码是一件非常困难的事情,但是相比于完全重构,这是一种比较可行的方式。

三、深入payload_dumper

1. 导入IDA数据库

import idc
import idaapi
import idautils

def load_database(database_path):
    return idaapi.load_database(database_path, False)

在导入IDA数据库时,您应该指定工作目录中的文件名,然后将它传给'load_database'函数。如果该文件不存在,将返回None。如果成功导入,将返回已打开数据库的文件句柄。

2. 访问内存地址

def read_mem(addr, size):
    buf = idaapi.dbg_read_memory(addr, size)
    return buf

使用“dbg_read_memory”函数可以很容易地访问IDA中的内存地址。您传递地址和大小作为参数,然后函数将返回一个字符串,其中包含您请求的字节数。

3. 导出程序中的函数

def export_functions(database, export_path):
    ea = idc.get_inf_attr(idc.INF_MIN_EA)
    end_ea = idc.get_inf_attr(idc.INF_MAX_EA)
    file = open(export_path, "w")

    for ea in range(ea, end_ea):
        fname = idc.get_func_name(ea)

        if fname != '':
            file.write(str(hex(ea)) + ' ' + fname + '\n')

    file.close()

使用这个函数,您可以将IDA数据库中找到的函数导出到一个文件中。您需要指定要导出的函数地址,以及要写入函数名称的文件名。函数名称和地址是使用空格分隔的,以便您在之后进行分割。

4. 导出IDA数据库

def save_database(database, database_path):
    new_database_path = database_path + '_new'
    idaapi.save_database_as(new_database_path)
    os.rename(new_database_path, database_path)

最后,您会需要导出修改后的IDA数据库文件。在这个函数中,将新的IDA数据库命名为“_new”,然后将其改名为源文件名。这样就可以保存修改后的文件。

这些函数提供了调用payload_dumper时需要的基础。如果您需要更高级的功能,例如对Python解释器的特定功能进行分析,您可以查找IDA文档或者寻求专业的帮助来获取更多的帮助。但是,对于标准的Python反混淆功能,payload_dumper是一个可靠的选择。祝您好运!

payload_dumper: Python中最常用的反混淆

2023-05-18
java反编译处理混淆代码,js混淆反编译

2022-11-17
java代码混淆插件jocky(java 混淆器)

2022-11-14
JavaScript反混淆

2023-05-19
Android混淆:保障代码安全,防止反编译

Android开发过程中,为了保护代码的安全性,防止代码被反编译,开发人员需要对代码进行混淆。混淆可以通过修改代码的名称、调整代码的逻辑结构等方式来隐藏代码的真实含义,使得反编译者难以获取代码的信息,

2023-12-08
crack.js反混淆,js代码反混淆

2022-11-24
java混淆器的设计与实现(java代码混淆器)

2022-11-08
如何破解混淆的js代码,js破解混淆代码的方法

本文目录一览: 1、js混淆解密 2、js混淆后的代码如何解密? 3、如何破解混淆的js代码 js混淆解密 今天因为朋友需要查看一串js,那js经过混淆后实在是很难受,就去找解密解密的方式,很多说就说

2023-12-08
js混淆反编译,js代码反混淆

2022-11-24
javascript混淆解密详解

2023-05-17
JS反混淆工具

2023-05-19
java混淆,java混淆 看雪

2023-01-07
Python反编译技巧

2023-05-10
Proguard混淆工具

2023-05-18
Allatori混淆器——源代码保护利器

2023-05-19
Python 中的名称混淆

2022-07-24
Android代码混淆技巧,提高应用安全性

2023-05-14
java混淆,java混淆代码防止反编译

2022-11-30
Android代码混淆指南

2023-05-17
python逆向工程笔记(Python逆向工程)

2022-11-15