Pyc字节码分析 3

2022-02-16

字数统计: 5.2k字 | 阅读时长≈ 25分

把上个博客的坑给填了。讲讲混淆与python内核调试。

Pyc字节码分析 3

Pyc字节码混淆

示例代码

还是老脚本

# test.py
s = "Hello"

def func(a, b=3, *args):
	c = 114514
	print(a, b)
	print(args)

42 0d 0d 0a 	// 版本魔数
00 00 00 00 	// 位域（暂时没用）
49 a6 04 62 	// 时间戳
5b 00 00 00		// 文件大小

// ===============主PyCodeObject===================

e3 				// TYPE_CODE | FLAG_REF 0
00 00 00 00 	// co_argcount
00 00 00 00 	// co_kwonlyargcount
00 00 00 00 	// co_nlocals
03 00 00 00 	// co_stacksize
40 00 00 00 	// co_flags（CO_NOFREE）

// co_code(作为TYPE_STRING存在)
73              // TYPE_STRING，字符串对象（其实通常是字节码对象）
12 00 00 00 	// 长度12
64 00 5a 00 64 05 64 02 64 03 84 01 5a 01 64 04 53 00 

// co_consts
29			   // TYPE_SMALLTUPLE，PyTupleObject : PySequenceObject
06			   // size
	// value[0]
	5a			   // TYPE_SHORT_ASCII_INTERNED = 'Z',
	05			   // length
	48 65 6c 6c 6f 
	// value[1]
	e9 			   // TYPE_INT'i' | FLAG_REF 1
	03 00 00 00     // 4字节int
	// value[2]
	63			   // TYPE_CODE
	02 00 00 00	    // co_argcount
	00 00 00 00     // co_kwonlyargcount
	04 00 00 00     // co_nlocals
	03 00 00 00     // co_stacksize
	47 00 00 00     // co_flags (NOFREE | VARARGS | NEWLOCALS | OPTIMIZED)
        // co_code
        73              // TYPE_STRING
        1a 00 00 00     // 长度
        64 01 7d 03 74 00 7c 00 7c 01 83 02 01 00 74 00 7c 02 83 01 01 00 64 00 53 00 
        // co_consts
        29			   // TYPE_SMALLTUPLE
        02			   // size
        	// value[0]
   		    4e		   // TYPE_NONE = 'N',
   		    // value[1]
   		    69		   // TYPE_INT
   		    52 bf 01 00 // 114514
        // co_names
        29              // TYPE_SMALLTUPLE
        01              // size
        	da              // TYPE_SHORT_ASCII_INTERNED | FLAG_REF 2
        	05              // length
        	70 72 69 6e 74 // 'print'
        	
        // co_varnames
        29              // TYPE_SMALLTUPLE
        04              // size 
        	// value[0]
        	da              // TYPE_SHORT_ASCII_INTERNED | FLAG_REF  3
        	01              // length 
        	61              // 'a' 
        	// value[1]
        	da              // TYPE_SHORT_ASCII_INTERNED | FLAG_REF  4
        	01              // length 
        	62              // 'b'
        	// value[2]
        	da              // TYPE_SHORT_ASCII_INTERNED | FLAG_REF  5
        	04              // length 
        	61 72 67 73	    // 'args'
        	// value[3]
        	da              // TYPE_SHORT_ASCII_INTERNED | FLAG_REF  6
        	01              // length 
        	63              // 'c'
        // co_freevars
        a9              // TYPE_SMALLTUPLE | FLAG_REF 	7
        00 
        // co_cellvars
        72              // TYPE_OBREF = 'r',
        07 00 00 00 	// 指向上面的co_freevars，是空的。
        // co_filename
        fa              // TYPE_SHORT_ASCII | FLAG_REF 8
        09 
        2e 5c 74 65 73 74 2e 70 79 	// r".\test.py"
        // co_name
        da              // TYPE_SHORT_ASCII_INTERNED | FLAG_REF 9
        04              // length 
        66 75 6e 63     // "func"
        // co_firstlineno
        04 00 00 00     // 4
        // co_lnotab
        73              // TYPE_STRING 
        06 00 00 00 
        00 01 04 01 0a 01 
	// value[3] -> "func"
	72 			   // TYPE_OBREF = 'r'
	09 00 00 00     // index
	// value[4]
	4e 			   // TYPE_NONE = 'N'
	// value[5]
	29 			   // TYPE_SMALLTUPLE
	01 			   // size
	    // value[0] -> 3
        72	       // TYPE_OBREF = 'r'
        01 00 00 00 	// index
// co_names
29         // TYPE_SMALLTUPLE
02         // size 
    // value[0]
    da    // TYPE_SHORT_ASCII_INTERNED | FLAG_REF 10 
    01    // length
    73    // 's'
    // value[1] -> "func"
    72 			   // TYPE_OBREF = 'r' 
    09 00 00 00     // index = 9 
// co_varnames
72 			       // TYPE_OBREF = 'r'
07 00 00 00         // index
// co_freevars -> None
72 			       // TYPE_OBREF = 'r' 
07 00 00 00         // index 
// co_cellvars -> None
72 			       // TYPE_OBREF = 'r' 
07 00 00 00         // index 
// co_filename -> r".\test.py"
72 			       // TYPE_OBREF = 'r'
08 00 00 00         // index 
// co_name
da              // TYPE_SHORT_ASCII_INTERNED | FLAG_REF  
08              // length
3c 6d 6f 64 75 6c 65 3e // "<module>"
// co_firstlineno
02 00 00 00
// co_lnotab
73              // TYPE_STRING 
02 00 00 00 
04 02

想法

直接patch脚本，修改PyCodeObject对象中co_code的size和具体内容，来实现魔改。

一（尝试，无混淆）

魔改func的co_code，使得print(a,b)能够执行两次

原来

>>> dis.dis(b.co_consts[2].co_code)
          # c = 114514
          0 LOAD_CONST               1 (1)	# push 114514
          2 STORE_FAST               3 (3)  # c = 114514
          # print(a, b)
          4 LOAD_GLOBAL              0 (0)  # push global_obj co_names[0] == "print"
          6 LOAD_FAST                0 (0)  # push a
          8 LOAD_FAST                1 (1)  # push b --> 这个在最顶端
         10 CALL_FUNCTION            2      # 其中最右边的参数在最顶端，即从左往右push；区别于C式栈，从右往左push
         12 POP_TOP                         # 不要返回值，直接弹掉
          # print(args)
         14 LOAD_GLOBAL              0 (0)  # push global_obj co_names[0] == "print"
         16 LOAD_FAST                2 (2)  # push args
         18 CALL_FUNCTION            1
         20 POP_TOP
        
          # return None
         22 LOAD_CONST               0 (0)  # push None
         24 RETURN_VALUE

现在

>>> dis.dis(b.co_consts[2].co_code)
          # c = 114514
          0 LOAD_CONST               1 (1)	# push 114514
          2 STORE_FAST               3 (3)  # c = 114514
          # print(a, b)
          4 LOAD_GLOBAL              0 (0)  # push global_obj co_names[0] == "print"
          6 LOAD_FAST                0 (0)  # push a
          8 LOAD_FAST                1 (1)  # push b --> 这个在最顶端
         10 CALL_FUNCTION            2      # 其中最右边的参数在最顶端，即从左往右push；区别于C式栈，从右往左push
         12 POP_TOP                         # 不要返回值，直接弹掉
          # ============================魔改部分==========================================
          # print(a, b)
          4 LOAD_GLOBAL              0 (0)  # push global_obj co_names[0] == "print"
          6 LOAD_FAST                0 (0)  # push a
          8 LOAD_FAST                1 (1)  # push b --> 这个在最顶端
         10 CALL_FUNCTION            2      # 其中最右边的参数在最顶端，即从左往右push；区别于C式栈，从右往左push
         12 POP_TOP                         # 不要返回值，直接弹掉
          # =============================================================================
          # print(args)
         14 LOAD_GLOBAL              0 (0)  # push global_obj co_names[0] == "print"
         16 LOAD_FAST                2 (2)  # push args
         18 CALL_FUNCTION            1
         20 POP_TOP
        
          # return None
         22 LOAD_CONST               0 (0)  # push None
         24 RETURN_VALUE

很简单其实就是复制了一番。

现在体现在二进制字节码上：

原来

1	b'd\x01}\x03t\x00\|\x00\|\x01\x83\x02\x01\x00t\x00\|\x02\x83\x01\x01\x00d\x00S\x00'

现在

1	b'd\x01}\x03t\x00\|\x00\|\x01\x83\x02\x01\x00t\x00\|\x00\|\x01\x83\x02\x01\x00t\x00\|\x02\x83\x01\x01\x00d\x00S\x00'

就是复制了里面的一小段。

然后patch到具体文件上。

同时修改size，要加10。

导入模块，检验：

>>> import rhstestobfus
>>> rhstestobfus.func(1,2)
1 2
1 2
()

成功了。

二——基于不可到达分支

增添JUMP_FORWARD_A指令，使得能够向后跳转，从而实现忽略几个字节。

1	110 JUMP_FARWARD_A

所以构造

1	b'\x6e\x0e'

即

1	JUMP_FORWARD 14

算上自身2字节，即一共跳了16字节。

在co_code代码段内任意一个地方塞上这个，然后再添加14字节的随机数据

且记得将size加16。

导入后和以前一样，不影响逻辑且能正常使用。

反编译/反汇编测试

pydisasm/pycdas

5:           0 LOAD_CONST           (114514)
             2 STORE_FAST           (c)

6:           4 LOAD_GLOBAL          (print)
             6 LOAD_FAST            (a)
             8 LOAD_FAST            (b)
            10 CALL_FUNCTION        (2 positional arguments)
            12 JUMP_FORWARD         (to 28)

7:          14 <0>
            16 <0>
            18 <0>
            20 <0>
            22 <0>
            24 <0>
            26 <0>
       >>   28 POP_TOP
            30 LOAD_GLOBAL          (print)
            32 LOAD_FAST            (a)
            34 LOAD_FAST            (b)
            36 CALL_FUNCTION        (2 positional arguments)
            38 POP_TOP
            40 LOAD_GLOBAL          (print)
            42 LOAD_FAST            (args)
            44 CALL_FUNCTION        (1 positional argument)
            46 POP_TOP
            48 LOAD_CONST           (None)
            50 RETURN_VALUE

一般的反汇编器由于是线性扫描的，2字节2字节的，所以我们这样正好凑偶数地址偶数跳转，就能够正常反汇编。

垃圾数据没识别出来的，直接显示成<invalid>，不会导致完全失败。

pycdc

反汇编直接报错。说明反汇编器对于pyc代码的纯净度要求特别高。

可以算作是50%的成功，但是确实没能对付好反汇编器的线性扫描。

三——基于奇数地址跳转

一开始的设想是跳转到奇数地址。

我构造的是

1	JUMP_FORWARD 13

那么包括自己2个字节，就会跳到+15的位置执行。

但是按照这样的思路是错的，因为Python3解释器是默认偶数地址执行，所以实际上地址会向前取偶，即从+14开始执行。

这样实现，还是能保证14-2-2=10个字节可以用于垃圾数据，但是后续的指令仍然能够很正常完美的被反汇编器打印出来。

不过用settrace找出这个特性已经很不错了，我愿意称作半个成功。

四——基于溢出

py27的实现方式

Py27版本的时候，有参汇编指令是3字节的，2个参数字节，所以最大能到65535。有的混淆脚本就是基于这个实现的。

比如

1	LOAD_CONST [64 FF FF] 65535

反汇编器去根据索引乖乖的找数据，结果就会溢出而报错。

py3的尝试

应该也是可以实现的，只不过最大那就只能有255了，因为只有1字节参数。

构造一个

1 2	JUMP_FORWARD 2 LOAD_CONST FF

试试，即

6E0264FF

pydisasm测试

python原生反汇编器会炸，因为它不检查越界问题

pycdas测试

不会炸，而是会直接显示<INVALID>，说明已经考虑到越界问题了。

pycdc/uncompyle6测试

会炸。经典的tuple out of range

五——虚假分支（存根，未实现）

通过字节码混淆来保护Python代码_Keep going-CSDN博客_python 项目代码混淆

比较经典的通过异常处理来实现的路径混淆。

#flag可以是一些计算的结果
#或者是隐藏在某处的预置常量
#也可以是某次函数调用的返回值
if flag is condition:
    normal_processing()
else
    useless_but_complicated_obfuscating_code()
    or_even_invalid_code()

try:
    some_processing()
    raise_exeception = __import__('module_does_not_exist')
    #上面的调用将抛出一个'ImportError'的意外，控制流将转向except分支
    useless_but_complicated_obfuscating_code()
except:
    continue_normal_processing()

try:
    some_processing()
    raise_exeception = __import__('sys').non_exist_function()
    #上面的调用将抛出一个'AttributeError'的意外，控制流将转向except分支
    useless_but_complicated_obfuscating_code()
except:
    continue_normal_processing()

try:
    some_processing()
    raise_exeception = 1/0
    #上面的语句将抛出一个'ZeroDivisionError'的意外，控制流将转向except分支
    useless_but_complicated_obfuscating_code()
except:
    continue_normal_processing()

上面是源码实现。可以考虑编译成字节码后进行注入。

六——重叠指令（大概率在py3以上无法实现）

重叠指令在有变长指令的CISC机器（比如x86）上有广泛应用。

python27是变长的，所以似乎解释器也是会灵活变长的，从而有了这种重叠指令的操作。python3定长，且似乎强制偶数地址，似乎这种套路都不行了

尝试了构造这种字节码

1	6E 01 \| __ 6E \| 01 __

但是没有成功。

后注：偶地址对齐的缘故，这个操作大概是在py3以上完全无法实现。

七——预加密

测试代码

1 2	// hello.py print("Hello World")

编译成hello.pyc

加密

import marshal, zlib, base64

f = open('hello.pyc', 'rb')
f.seek(16)
co = marshal.load(f)
f.close()
cs = marshal.dumps(co)

messed_code = base64.b64encode(zlib.compress(cs))

"""
b'eJx7zIAEmIDYAYiLeYBEKkMKQzMjI0MKYzCDJlMVt0dqTk6+Qnh+UU6KnybjLdaCosy8kpUMRSBNYKKKSy8mA6RIr6DyFodNbn5KaU6qHSNQ5jPIcADnBhab'
"""

执行脚本

import marshal, zlib, base64
messed_code = b'eJx7zIAEmIDYAYiLeYBEKkMKQzMjI0MKYzCDJlMVt0dqTk6+Qnh+UU6KnybjLdaCosy8kpUMRSBNYKKKSy8mA6RIr6DyFodNbn5KaU6qHSNQ5jPIcADnBhab'

exec(marshal.loads(zlib.decompress(base64.b64decode(messed_code))))

奇思妙想

这样通过抽取代码直接执行，就跟使用Unicorn来模拟执行代码片段很像。于是乎我们完全可以在此基础上实现动态注入代码，动态修改代码，边解密边执行，然后重新加密等灵活操作。

总结

类RISC指令集的混淆确实不轻松。

调试

谈谈Python内核调试+settrace模块级调试

pdb就不管了，大抵是源码级别的调试器。

PVM调试

环境

1 2	python3.7.9 AMD64 Visual Studio 2019

编译

打开Visual Studio，找到PCbuild文件夹下的.sln项目工程文件。设置下位数为x64，即可生成。

点击调试，便会弹出交互界面python_d.exe开始调试。

下断点，找到相应c文件下就好了。

DEBUG编译

直接在ceval.c顶部添加

1	#define LLTRACE 1

即可。

原来一开始准备在整个项目上开启调试的，通过在pyconfig.h顶部设置

1	#define Py_DEBUG

但是似乎编译报错了。只能放弃。

settrace

import sys
import dis
import rhstestobfus3

def mytrace(frame, why, arg):
    print(frame, why, arg)
    # print( "Trace", frame, why, arg)
    return mytrace

sys.settrace(mytrace)
rhstestobfus3.func(1,2)

settrace只会监视特定动作。

call: 函数调用
return: 函数返回
line: 一行新代码
exception: 异常事件

局限性较大，且有方法能够检测Python文件正在被调试。

1	sys.gettrace()

能够返回现在程序中的trace函数，从而判断是否在被调试。

LLTRACE

这是一个内核级调试方法。

开启方法见上文。

开启

1	__ltrace__ = 1

注意是一个l。而不是两个l

测试

.\python_d.exe
Python 3.7.9 (default, Feb 14 2022, 12:55:02) [MSC v.1929 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> __ltrace__ = None
>>> print("Hello")
0: 101, 0
push <built-in function print>
2: 100, 0
push 'Hello'
4: 131, 1
Hello
ext_pop 'Hello'
ext_pop <built-in function print>
push None
6: 70
pop None
8: 100, 1
push None
10: 83
pop None
>>>

实现原理

如果定义了LLTRACE，则会开启以下代码。

// 定义了一个prtrace函数
#ifdef LLTRACE
static int lltrace;
static int prtrace(PyObject *, const char *);
#endif

// 几个原来的操作宏都多添加了prtrace()操作
#ifdef LLTRACE
#define PUSH(v)         { (void)(BASIC_PUSH(v), \
                          lltrace && prtrace(TOP(), "push")); \
                          assert(STACK_LEVEL() <= co->co_stacksize); }
#define POP()           ((void)(lltrace && prtrace(TOP(), "pop")), \
                         BASIC_POP())
#define STACKADJ(n)     { (void)(BASIC_STACKADJ(n), \
                          lltrace && prtrace(TOP(), "stackadj")); \
                          assert(STACK_LEVEL() <= co->co_stacksize); }
#define EXT_POP(STACK_POINTER) ((void)(lltrace && \
                                prtrace((STACK_POINTER)[-1], "ext_pop")), \
                                *--(STACK_POINTER))
#else
// ....

#ifdef LLTRACE
static int
prtrace(PyObject *v, const char *str)
{
    // 打印指令
    printf("%s ", str);
    // 打印PyObject
    if (PyObject_Print(v, stdout, 0) != 0)
        PyErr_Clear(); /* Don't know what else to do */
    printf("\n");
    return 1;
}
#endif

以上会打印诸如

push <built-in function print>

这样的字符串。

下面的则会打印opcode

#ifdef LLTRACE
        /* Instruction tracing */

        if (lltrace) {
            if (HAS_ARG(opcode)) {
                printf("%d: %d, %d\n",
                       f->f_lasti, opcode, oparg);
            }
            else {
                printf("%d: %d\n",
                       f->f_lasti, opcode);
            }
        }

诸如

2: 100, 0

这类。

现在能够打印字节码了。但是还不够完美。

魔改

LLTRACE有以下问题：

需要程序内部明确定义__ltrace__全局变量才会开启。
硬核打印字节码，不像dis模块那样清晰。
打印的是动态执行流，会因为循环展开等影响分析。

其中第三点并不好处理，这是动态跟踪的通病。不过其实影响并不是很大，动态CFG还是具有可读性的。

关于第一第二点，可以通过对源码进行修改来实现。

1

判断lltrace的存在，是通过

1
2
3

#ifdef LLTRACE
    lltrace = _PyDict_GetItemId(f->f_globals, &PyId___ltrace__) != NULL;
#endif

实现的。

其中f是个PyFrameObject对象。这里它检查了栈帧对象内的全局变量字典中有没有__ltrace__存在。

修改它为

#ifdef LLTRACE
    if (f->f_back) {
        lltrace = _PyDict_GetItemId(f->f_back->f_globals, &PyId___ltrace__) != NULL;
    }
    else {
        lltrace = _PyDict_GetItemId(f->f_globals, &PyId___ltrace__) != NULL;
    }
#endif

让它寻找其上一级的调用栈帧中的全局变量或者此栈帧的全局变量。

或者直接强行设定为1也行。

2

LLTRACE开启后会打印部分底层汇编和字节码代码。底层汇编打印的是PUSH，POP，STACKADJ，EXT_POP这几个比Python汇编指令还要底层的指令。且数量有限，不完全，SET_LOCAL，FAST_DISPATCH这类都无法打印。

所以这个实际上不一定能提供多少帮助，所以我们还是主要基于魔改

#ifdef LLTRACE
        /* Instruction tracing */

        if (lltrace) {
            if (HAS_ARG(opcode)) {
                printf("%d: %d, %d\n",
                       f->f_lasti, opcode, oparg);
            }
            else {
                printf("%d: %d\n",
                       f->f_lasti, opcode);
            }
        }
#endif

这打印字节码的地方，实现一个dis函数。

至于如何实现，源码下面就有个核心的switch-case虚拟机执行函数可以提供参考。

魔改后：

#ifdef LLTRACE
    /* Instruction tracing */

    if (lltrace) {
        if (HAS_ARG(opcode)) {
            printf("%4d: %4d, %4d | ",
                    f->f_lasti, opcode, oparg);
        }
        else {
            printf("%4d: %4d       | ",
                    f->f_lasti, opcode);
        }

        switch (opcode) {
            TARGET(NOP) {
                printf("NOP	");
                putchar('\n');
                break;
            }
            TARGET(LOAD_FAST) {
                printf("LOAD_FAST	");
                printf("%d | ", oparg);
                PyObject* value = GETLOCAL(oparg);
                if ((value == NULL) | (PyObject_Print(value, stdout, 0) != 0)) {
                    printf("<INVALID>");
                }
                putchar('\n');
                break;
            }
            TARGET(LOAD_CONST) {
                printf("LOAD_CONST	");
                printf("%d | ", oparg);
                PyObject* value = GETITEM(consts, oparg);
                if ((value == NULL) | (PyObject_Print(value, stdout, 0) != 0)) {
                    printf("<INVALID>");
                }
                putchar('\n');
                break;
            }
            /* more... */
        }
#endif

在这里面又嵌入了一个switch-case，用于打印字节码，模拟dis。

def func(a):
    if a == 1:
        print("a")
    else:
        print("b")
        
func(1)

得到

.\python_d.exe .\test.py
   0:  124,    0 | LOAD_FAST    0 | 1
   2:  100,    1 | LOAD_CONST   1 | 1
   4:  107,    2 | COMPARE_OP   2 | ==
        Left: 1
        Right: 1
   8:  116,    0 | LOAD_GLOBAL  0 |
        Name: 'print'
  10:  100,    2 | LOAD_CONST   2 | 'a'
  12:  131,    1 | CALL_FUNCTION        1 |
a
  14:    1       | POP_TOP
  16:  110,    8 | JUMP_FORWARD 8 | to: 26
  26:  100,    0 | LOAD_CONST   0 | None
  28:   83       | RETURN_VALUE 0 | None
  26:    1       | POP_TOP
  28:  100,    5 | LOAD_CONST   5 | None
  30:   83       | RETURN_VALUE 0 | None

格式化上还是有点问题，但是已经很OK了。

`dis.dis()`源码

和python27相比有了更多东西，但是核心代码还是没变。

def dis(x=None, *, file=None, depth=None):
    """Disassemble classes, methods, functions, and other compiled objects.

    With no argument, disassemble the last traceback.

    Compiled objects currently include generator objects, async generator
    objects, and coroutine objects, all of which store their code object
    in a special attribute.
    """
    # 无参则返回上一次的traceback
    if x is None:
        distb(file=file)
        return
    # 对象内方法
    """
    >>> class A:
    ...     def foo(self):
    ...             pass
    ...     bar = foo
    ...
    
    c = A()
    hasattr(c.foo, "__func__") # True
	"""
    if hasattr(x, '__func__'):
        x = x.__func__
    # Extract compiled code objects from...
    # 函数
    if hasattr(x, '__code__'):  # ...a function, or
        x = x.__code__
    elif hasattr(x, 'gi_code'):  #...a generator object, or
        x = x.gi_code
    elif hasattr(x, 'ag_code'):  #...an asynchronous generator object, or
        x = x.ag_code
    elif hasattr(x, 'cr_code'):  #...a coroutine.
        x = x.cr_code
    # Perform the disassembly.
    # 类会有__dict__属性，会列举出类内的所有对应成员。
    if hasattr(x, '__dict__'):  # Class or module
        items = sorted(x.__dict__.items())
        for name, x1 in items:
            if isinstance(x1, _have_code):
                print("Disassembly of %s:" % name, file=file)
                try:
                    dis(x1, file=file, depth=depth)
                except TypeError as msg:
                    print("Sorry:", msg, file=file)
                print(file=file)
    # __code__对象
    elif hasattr(x, 'co_code'): # Code object
        _disassemble_recursive(x, file=file, depth=depth)
    # 字节码对象
    elif isinstance(x, (bytes, bytearray)): # Raw bytecode
        _disassemble_bytes(x, file=file)
    # 源码字符串
    elif isinstance(x, str):    # Source code
        _disassemble_str(x, file=file, depth=depth)
    else:
        raise TypeError("don't know how to disassemble %s objects" %
                        type(x).__name__)
        
        
def _disassemble_recursive(co, *, file=None, depth=None):
    disassemble(co, file=file)	# __code__
    if depth is None or depth > 0:
        if depth is not None:
            depth = depth - 1
        for x in co.co_consts:
            if hasattr(x, 'co_code'):
                print(file=file)
                print("Disassembly of %r:" % (x,), file=file)
                _disassemble_recursive(x, file=file, depth=depth)
                
def disassemble(co, lasti=-1, *, file=None):
    """Disassemble a code object."""
    cell_names = co.co_cellvars + co.co_freevars
    linestarts = dict(findlinestarts(co))
    # 还是调用到这个，解码co_code
    _disassemble_bytes(co.co_code, lasti, co.co_varnames, co.co_names,
                       co.co_consts, cell_names, linestarts, file=file)
    
def _disassemble_bytes(code, lasti=-1, varnames=None, names=None,
                       constants=None, cells=None, linestarts=None,
                       *, file=None, line_offset=0):
    # Omit the line number column entirely if we have no line number info
    show_lineno = bool(linestarts)
    if show_lineno:
        maxlineno = max(linestarts.values()) + line_offset
        if maxlineno >= 1000:
            lineno_width = len(str(maxlineno))
        else:
            lineno_width = 3
    else:
        lineno_width = 0
    maxoffset = len(code) - 2
    if maxoffset >= 10000:
        offset_width = len(str(maxoffset))
    else:
        offset_width = 4
    # _get_instructions_bytes遍历字节码，返回元组
    for instr in _get_instructions_bytes(code, varnames, names,
                                         constants, cells, linestarts,
                                         line_offset=line_offset):
        new_source_line = (show_lineno and
                           instr.starts_line is not None and
                           instr.offset > 0)
        if new_source_line:
            print(file=file)
        is_current_instr = instr.offset == lasti
        print(instr._disassemble(lineno_width, is_current_instr, offset_width),
              file=file)

# 用yield生成一个Instruction()对象的生成器
# 核心逻辑
def _get_instructions_bytes(code, varnames=None, names=None, constants=None,
                      cells=None, linestarts=None, line_offset=0):
    """Iterate over the instructions in a bytecode string.

    Generates a sequence of Instruction namedtuples giving the details of each
    opcode.  Additional information about the code's runtime environment
    (e.g. variable names, constants) can be specified using optional
    arguments.

    """
    labels = findlabels(code)
    starts_line = None
    for offset, op, arg in _unpack_opargs(code):
        if linestarts is not None:
            starts_line = linestarts.get(offset, None)
            if starts_line is not None:
                starts_line += line_offset
        is_jump_target = offset in labels
        argval = None
        argrepr = ''
        if arg is not None:
            #  Set argval to the dereferenced value of the argument when
            #  available, and argrepr to the string representation of argval.
            #    _disassemble_bytes needs the string repr of the
            #    raw name index for LOAD_GLOBAL, LOAD_CONST, etc.
            argval = arg
            if op in hasconst:
                argval, argrepr = _get_const_info(arg, constants)
            elif op in hasname:
                argval, argrepr = _get_name_info(arg, names)
            elif op in hasjabs:
                argval = arg*2
                argrepr = "to " + repr(argval)
            elif op in hasjrel:
                argval = offset + 2 + arg*2
                argrepr = "to " + repr(argval)
            elif op in haslocal:
                argval, argrepr = _get_name_info(arg, varnames)
            elif op in hascompare:
                argval = cmp_op[arg]
                argrepr = argval
            elif op in hasfree:
                argval, argrepr = _get_name_info(arg, cells)
            elif op == FORMAT_VALUE:
                argval, argrepr = FORMAT_VALUE_CONVERTERS[arg & 0x3]
                argval = (argval, bool(arg & 0x4))
                if argval[1]:
                    if argrepr:
                        argrepr += ', '
                    argrepr += 'with format'
            elif op == MAKE_FUNCTION:
                argrepr = ', '.join(s for i, s in enumerate(MAKE_FUNCTION_FLAGS)
                                    if arg & (1<<i))
        yield Instruction(opname[op], op,
                          arg, argval, argrepr,
                          offset, starts_line, is_jump_target)
# 这个主要是格式化打印
class Instruction():
    	# ...
        def _disassemble(self, lineno_width=3, mark_as_current=False, offset_width=4):
        """Format instruction details for inclusion in disassembly output

        *lineno_width* sets the width of the line number field (0 omits it)
        *mark_as_current* inserts a '-->' marker arrow as part of the line
        *offset_width* sets the width of the instruction offset field
        """
        fields = []
        # Column: Source code line number
        if lineno_width:
            if self.starts_line is not None:
                lineno_fmt = "%%%dd" % lineno_width
                fields.append(lineno_fmt % self.starts_line)
            else:
                fields.append(' ' * lineno_width)
        # Column: Current instruction indicator
        if mark_as_current:
            fields.append('-->')
        else:
            fields.append('   ')
        # Column: Jump target marker
        if self.is_jump_target:
            fields.append('>>')
        else:
            fields.append('  ')
        # Column: Instruction offset from start of code sequence
        fields.append(repr(self.offset).rjust(offset_width))
        # Column: Opcode name
        fields.append(self.opname.ljust(_OPNAME_WIDTH))
        # Column: Opcode argument
        if self.arg is not None:
            fields.append(repr(self.arg).rjust(_OPARG_WIDTH))
            # Column: Opcode argument details
            if self.argrepr:
                fields.append('(' + self.argrepr + ')')
        return ' '.join(fields).rstrip()

Py源码混淆

源码混淆常用于解释性语言脚本中。

见到的混淆器

pyminifier

http://pyob.oxyry.com/

Python Source Obfuscation using ASTs | Development & Security (jbremer.org)

这篇文章讲的大概是如何基于AST树来进行混淆。涉及到编译原理知识，比较高级。

混淆前（举例）

class SampleClass:
    def __init__(self):
        self.data = None

    def method1SampleClass(self, arg):
        self.data = arg

def function_with_if(arg):
    if arg == True:
        pass
    else:
        pass

def function_with_if1(arg=True):
    if arg == True:
        print('True')
    else:
        print('False')

def function_with_if2():
    if True:
        print('True')
    else:
        print('False')

def function_with_try_except1():
    try:
        data = 1/0
    except:
        print('Constructed Control Flow')

def function_with_try_except2():
    try:
        pass
        print('Constructed Control Flow')
    except:
        pass

global_var1, global_var2, global_var3
pass

a = SampleClass()
a.method1SampleClass()
function_with_if(False)
function_with_if1()
del global_var1, global_var2, global_var3

混淆后

class N:
y=None
T=True
H=False
 def __init__(P):
  P.data=y
 def b(P,R):
  P.data=R
def x(R):
 if R==T:
  pass
 else:
  pass
def L(arg=T):
 if arg==T:
  print('True')
 else:
  print('False')
def I():
 if T:
  print('True')
 else:
  print('False')
def d():
 try:
  n=1/0
 except:
  print('Constructed Control Flow')
def E():
 try:
  pass
  print('Constructed Control Flow')
 except:
  pass
global_var1,global_var2,global_var3
pass
a=N()
a.method1SampleClass()
x(H)
L()
del global_var1,global_var2,global_var3
# Created by pyminifier (https://github.com/liftoff/pyminifier)

Pyc各版本结构体比较

待解决

如何发现在被`sys.settrace`调试√

如何完全定制Python解释器实现一体化混淆

总结

Python字节码混淆可能对于Py27效果更好一些。

参考

逆python–pyc文件结构及pyc混淆基础_招财猫的小叮当的博客-CSDN博客

如何破解一个Python虚拟机壳并拿走12300元ETH - evilpan

通过字节码混淆来保护Python代码_Keep going-CSDN博客_python 项目代码混淆

如何编译和调试Python内核源码？ - shine-lee - 博客园 (cnblogs.com)

本文作者： Taardis
本文链接： https://taardisaa.github.io/2022/02/16/Pyc Reverse 3/
版权声明： 本博客所有文章除特别声明外，均采用 Apache License 2.0 许可协议。转载请注明出处！

Pyc字节码分析 3

Pyc字节码混淆

示例代码

想法

一（尝试，无混淆）

二——基于不可到达分支

反编译/反汇编测试

pydisasm/pycdas

pycdc

三——基于奇数地址跳转

四——基于溢出

py27的实现方式

py3的尝试

pydisasm测试

pycdas测试

pycdc/uncompyle6测试

五——虚假分支（存根，未实现）

六——重叠指令（大概率在py3以上无法实现）

七——预加密

测试代码

加密

执行脚本

奇思妙想

总结

调试

PVM调试

环境

编译

DEBUG编译

settrace

LLTRACE

开启

测试

实现原理

魔改

1

2

dis.dis()源码

Py源码混淆

见到的混淆器

混淆前（举例）

混淆后

Pyc各版本结构体比较

待解决

如何发现在被sys.settrace调试√

如何完全定制Python解释器实现一体化混淆

总结

参考

`dis.dis()`源码

如何发现在被`sys.settrace`调试√