python逆向

• pyc文件头部：
  前4个字节：03f3 0d0a，表示python版本
  5-8个字节：0e6b 905d，表示pyc文件修改时间

• PyCodeObject对象二进制编译结果：

  第9字节：63，TYPE_CODE字段，也就是字符c，值为99，即0x63，表示接下为是一个 PyCodeObject对象

• PyCodeObject对象----全局参数:
  然后4个字节是0x00 0000 00，code block的位置参数个数co_argument，这里是0；
  再接着4个字节是0x00 0000 00， code block中的局部变量个数co_nlocals，这里是0；
  再接着4个字节是0x01 0000 00， code block需要的栈空间co_stacksize，这里是1；
  再接着4个字节是0x40 0000 00， co_flags，这里是64；

• PyCodeObject对象----code block:
  1个字节0x73为TYPE_CODE字段， 表示该字段为string格式；
  4个字节0x1a00 0000表示code block段的数据部分占用0x1a个字节，即长度为26；
  接下来26个字节6400 … 6402 0053为该TYPE_CODE字段（数据类型string）部分，也就是pyc文件中包含的字节码指令

• 再往下的逐个TYPE_CODE字段都是重复结构的，用来表示PyCodeObject对象中的一些其他参数
  python逆向
  python打包的.exe转为.pyc

标签：逆向,code,0000,字节,python,PyCodeObject,CODE,block
来源： https://blog.csdn.net/qq_45892899/article/details/120335288