unfuck Download - unfuck Download do código-fonte

unfuck

Outras categorias

1.0.0

Baixar

foda-se

Fodeu o bytecode do Python 2.7? Vamos unfuck isso.

Visão geral

unfuck é um utilitário e uma biblioteca para desofuscar o bytecode ofuscado do Python 2.7. É essencialmente uma reimplementação da VM Python com rastreamento de contaminação. Algumas das coisas que o unfuck pode fazer:

Remover predicados opacos
Eliminação de código morto
Restaure alguns nomes de funções perdidos
Limpar nomes de variáveis ofuscados

#1 e #2 são os dois maiores itens que os descompiladores Python tropeçam ao tentar reconstruir o código-fonte original do Python.

unfuck basicamente faz seu bytecode passar disto para isto:

Código ofuscado Código desofuscado

Ou disto para isto:

Despejo hexadecimal de código ofuscado vs desofuscado

Sim, estes são exemplos do mundo real.

Recursos Wiki úteis

Truques de ofuscação
Passes de desofuscação
Depuração com falha na descompilação

Uso

unfuck pode ser usado como uma biblioteca ou um utilitário de linha de comando.

 unfuck 0.2.0

USAGE:
    unfuck [FLAGS] [OPTIONS] <input-obfuscated-file> <output-path> [graphs-dir] [SUBCOMMAND]

FLAGS:
        --dry        Dry run only -- do not write any files
    -g               Enable outputting code graphs to dot format
    -h, --help       Prints help information
    -q               Disable all logging
    -V, --version    Prints version information
    -v               Enable verbose logging

OPTIONS:
        --decompiler <decompiler>    Your favorite Python 2.7 bytecode decompiler. This program assumes the decompiler's
                                     first positional argument is the file to decompile, and it prints the decompiled
                                     output to stdout [env: UNFUCK_DECOMPILER=]  [default: uncompyle6]

ARGS:
    <input-obfuscated-file>    Input obfuscated file
    <output-path>              Output file name or directory name. If this path is a directory, a file will be
                               created with the same name as the input. When the `strings-only` subcommand is
                               applied, this will be where the output strings file is placed
    <graphs-dir>               An optional directory for graphs to be written to [default: .]

SUBCOMMANDS:
    help            Prints this message or the help of the given subcommand(s)
    strings-only

Para descompactar um único arquivo:

 # deobfuscated.pyc can also be a directory
unfuck obfuscated.pyc deobfuscated.pyc

Você também pode fornecer sinalizadores adicionais para despejar strings em um arquivo ou despejar gráficos dot que podem ser visualizados no graphviz:

 # -g is for printing graphs
unfuck -g obfuscated.pyc deobfuscated.pyc
# use the strings-only subcommand for dumping just dumping strings -- no deobfuscation is performed
unfuck deobfuscated.pyc ./strings.csv strings-only

Prédio

unfuck requer Python 2.7 no PATH do seu sistema. Depois de garantir que ele esteja presente, você poderá apenas cargo build . Se por algum motivo o interpretador correto não puder ser encontrado, tente definir o PYTHON_SYS_EXECUTABLE env var para o caminho do seu interpretador Python 2.7.

Instalando

cargo install --force unfuck

Uso da biblioteca

NOTA: unfuck não foi originalmente projetado pensando no uso da biblioteca e, portanto, traz sua própria plataforma multithreading (neste caso, Rayon).

O uso é bastante simples:

 use std :: convert :: TryInto ;
use std :: fs :: File ;

let mut pyc_contents = vec ! [ ] ;
let pyc_file = File :: open ( "obfuscated.pyc" ) ? ;
pyc_file . read_to_end ( & mut pyc_contents ) ? ;

// magic/moddate are specific to the PYC header and are required to be
// a valid PYC file
let magic = u32 :: from_le_bytes ( pyc_contents [ 0 .. 4 ] . try_into ( ) . unwrap ( ) ) ;
let moddate = u32 :: from_le_bytes ( pyc_contents [ 4 .. 8 ] . try_into ( ) . unwrap ( ) ) ;

let pyc_contents = & pyc_contents [ 8 .. ] ;

// Use a standard Python 2.7 opcode table
let deobfuscator = unfuck :: Deobfuscator :: < pydis :: opcode :: py27 :: Standard > :: new ( pyc_contents ) ;
let deobfuscator = if enable_graphs {
    deobfuscator . enable_graphs ( )
} else {
    deobfuscator
} ;

let deobfuscated_code = deobfuscator . deobfuscate ( ) ? ;

let mut deobfuscated_file = File :: create ( "deobfuscated.pyc" ) ? ;
deobfuscated_file . write_all ( & magic . to_le_bytes ( ) [ .. ] ) ? ;
deobfuscated_file . write_all ( & moddate . to_le_bytes ( ) [ .. ] ) ? ;
deobfuscated_file . write_all ( deobfuscated_code . data . as_slice ( ) ) ? ;