SavePearlHarbor

Как заглянуть внутрь.exe, собранного через Nuitka? Новый инструмент с открытым кодом

от автора

admin

Всем привет!
Я всегда задумывался разобрать exe‑файл, собранный через Nuitka. Я понимал, что уже существуют инструменты по типу IDA PRO, Cremniy, HxD, но я решил попробовать сделать опен‑сурс проект. Вот так я и создал DeNuitkanizator.

Важно: DeNuitkanizator — это анализатор, а не декомпилятор. Он извлекает только доступную информацию из бинарника

Обложка

Обложка

Содержание

  1. Зачем это нужно?

  2. История создания

  3. Что умеет DeNuitkanizator?

  4. Как это работает: краткий технический разбор

  5. Пример использования

  6. Установка программы

  7. Инструкция по использованию

История создания

Я сначала думал, что уже такие декомпиляторы существуют. Ну лично я не нашёл таковых. Поэтому я начал думать, как бы можно такой сделать. Я вспомнил про библиотеки pefile и Capstone. После того, как я всё‑таки смог что‑то сделать, то понял, что моя программа умеет разбирать и Pyinstaller’ные exe‑файлы, и даже нативные. Для меня это показалось очень круто, вот поэтому я и выложил на гитхаб.

Зачем это нужно?

Многие разработчики используют Nuitka для компиляции Python‑скриптов в исполняемые файлы.
Nuitka транслирует Python код в C++, а затем уже компилирует его в.exe файл. И благодаря этому вес файла уменьшается, а скорость запуска повышается.
Но в отличии от Pyinstaller, где можно воспользоваться pydumpck полная обратная декомпиляция практически нереальная, ведь у него защита от реверс‑инженеринга будет лучше. Но из него можно извлечь полезные данные, например, пути, URL, email‑адреса; имена модулей и переменных; метаданные о компиляторе и защите; признаки антиотладочных техник; сжатые блоки данных (zstd, zlib) и другое.

Именно для этого я и создал DeNuitkanizator

Интерфейс TUI

Интерфейс TUI

Что умеет DeNuitkanizator?

Инструмент имеет (мне так кажется) хороший функционал. Данная программа умеет определять упаковщик, которым упаковали.exe файл (сейчас пока детектит Nuitka это или нет).
Имеет функцию определения версии Python кода (по крайней мере в моей программе есть магические числа разных версий). Для полного анализа она извлекает имена модулей и переменных и анализирует механизмы защиты (DEP, ASLR) и ищет антиотладку (антиотладочные механизмы).

Умеет работать с данными, а именно распаковывает их (zstd, zlib) и ищет сжатые блоки (gzip, bzip2, zip). Умеет дизассемблировать точку входа с комментариями и находит кросс‑ссылки на строки.

Также она вычисляет хэши (MD5, SHA1, SHA256) и определяет компилятор (MinGW GCC, MSVC, Clang/LLVM). Способна проверить архитектуру (x86/x64) и ищет упакованные секции или секции с высокой энтропией.
Но также она умеет автоматически проверять обновления через GitHub API.

Подробно можете ознакомиться в репозитории

Как это работает: краткий технический разбор

Вот как данная программа работает:
Первым делом файл читается в память, pefile парсит PE‑заголовки, затем идёт поиск сигнатур Nuitka (8 паттернов) + анализ энтропии.rsrc. Далее происходит regex‑поиск строк, модулей, путей, IP/URL/email. А затем происходит поиск magic‑чисел Python (42 0D 0D 0A и др.) + marshal.load, а также поиск и распаковка zstd (28 B5 2F FD), и zlib (78 9C, 78 01 и др.).
Думаю в будущем добавить LZ4 и распаковку LZMA (он её ищет, но пока ничего не делает).

Также тут реализован дизассемблинг через Capstone с автоопределением x86/x64. Благодаря Casptone ещё происходит построение xrefs: поиск lea/mov/push → сопоставление со строками. Ну а затем уже идёт анализ: anti‑debug, packed sections, энтропия, компилятор

Вот пример обработки файла

Вот пример обработки файла

Установка самой программы

Способ 1: Готовый.exe

Скачайте DeNuitkanizator.exe из Releases и запустите.

Способ 2: Из исходников

git clone https://github.com/2M12/DeNuitkanizator.gitcd DeNuitkanizatorpip install -r requirements.txtpython DeNuitkanizator.py

Инструкция по использованию

  1. Зайдите в программу DeNuitkanizator.exe или если вы скачали python‑файл, то DeNuitkanizator.py.

  2. Далее введите путь.exe файла или просто напишите сразу python DeNuitkanizator.py "путь".

  3. Затем начнётся анализ файла и появится результат в папке DeNuitkanizator_Output.

  4. Вы можете дальше сами рассматривать файлы. В summary.txt лежит только сводка.

Пример summary.txt отчёта

Пример summary.txt отчёта

Hash‑суммы для v1.1

MD5dc888def9701b2cdb0c3b68dd86b4002SHA-256110b33f81e7e1770049f378d4fe4e66a23669b9ff8daebe053de8fc479b17777

❗ Важные замечания

  • Как я и сказал результат не всегда гарантированны.

  • Программа умеет анализировать обычный exe‑файл (нативный), который написан не на Python.

  • PyInstaller выдаёт более подробную информацию, так как устроен проще и не транслирует код в C++, а упаковывает просто интерпретатор вместе со скриптом.

Заключение

DeNuitkanizator может быть для вас хорошим инструментом и по крайней мере — экспериментом. Он умеет довольно хорошие функции и всё автоматизирует. В будущем проект будет улучшаться и обновляться, а именно добавление новых функций.

Репозиторий на GitHub

Я надеюсь, вы оцените мой проект на гитхабе.

P. S. Какой упаковщик вы используете?

ссылка на оригинал статьи https://habr.com/ru/articles/1048908/