Всем привет!
Я всегда задумывался разобрать exe‑файл, собранный через Nuitka. Я понимал, что уже существуют инструменты по типу IDA PRO, Cremniy, HxD, но я решил попробовать сделать опен‑сурс проект. Вот так я и создал DeNuitkanizator.
Важно: DeNuitkanizator — это анализатор, а не декомпилятор. Он извлекает только доступную информацию из бинарника
Содержание
Зачем это нужно?
История создания
Что умеет DeNuitkanizator?
Как это работает: краткий технический разбор
Пример использования
Установка программы
Инструкция по использованию
История создания
Я сначала думал, что уже такие декомпиляторы существуют. Ну лично я не нашёл таковых. Поэтому я начал думать, как бы можно такой сделать. Я вспомнил про библиотеки pefile и Capstone. После того, как я всё‑таки смог что‑то сделать, то понял, что моя программа умеет разбирать и Pyinstaller'ные exe‑файлы, и даже нативные. Для меня это показалось очень круто, вот поэтому я и выложил на гитхаб.
Зачем это нужно?
Многие разработчики используют Nuitka для компиляции Python‑скриптов в исполняемые файлы.
Nuitka транслирует Python код в C++, а затем уже компилирует его в.exe файл. И благодаря этому вес файла уменьшается, а скорость запуска повышается.
Но в отличии от Pyinstaller, где можно воспользоваться pydumpck полная обратная декомпиляция практически нереальная, ведь у него защита от реверс‑инженеринга будет лучше. Но из него можно извлечь полезные данные, например, пути, URL, email‑адреса; имена модулей и переменных; метаданные о компиляторе и защите; признаки антиотладочных техник; сжатые блоки данных (zstd, zlib) и другое.
Именно для этого я и создал DeNuitkanizator
Что умеет DeNuitkanizator?
Инструмент имеет (мне так кажется) хороший функционал. Данная программа умеет определять упаковщик, которым упаковали.exe файл (сейчас пока детектит Nuitka это или нет).
Имеет функцию определения версии Python кода (по крайней мере в моей программе есть магические числа разных версий). Для полного анализа она извлекает имена модулей и переменных и анализирует механизмы защиты (DEP, ASLR) и ищет антиотладку (антиотладочные механизмы).
Умеет работать с данными, а именно распаковывает их (zstd, zlib) и ищет сжатые блоки (gzip, bzip2, zip). Умеет дизассемблировать точку входа с комментариями и находит кросс‑ссылки на строки.
Также она вычисляет хэши (MD5, SHA1, SHA256) и определяет компилятор (MinGW GCC, MSVC, Clang/LLVM). Способна проверить архитектуру (x86/x64) и ищет упакованные секции или секции с высокой энтропией.
Но также она умеет автоматически проверять обновления через GitHub API.
Подробно можете ознакомиться в репозитории
Как это работает: краткий технический разбор
Вот как данная программа работает:
Первым делом файл читается в память, pefile парсит PE‑заголовки, затем идёт поиск сигнатур Nuitka (8 паттернов) + анализ энтропии.rsrc. Далее происходит regex‑поиск строк, модулей, путей, IP/URL/email. А затем происходит поиск magic‑чисел Python (42 0D 0D 0A и др.) + marshal.load, а также поиск и распаковка zstd (28 B5 2F FD), и zlib (78 9C, 78 01 и др.).
Думаю в будущем добавить LZ4 и распаковку LZMA (он её ищет, но пока ничего не делает).
Также тут реализован дизассемблинг через Capstone с автоопределением x86/x64. Благодаря Casptone ещё происходит построение xrefs: поиск lea/mov/push → сопоставление со строками. Ну а затем уже идёт анализ: anti‑debug, packed sections, энтропия, компилятор
Установка самой программы
Способ 1: Готовый.exe
Скачайте DeNuitkanizator.exe из Releases и запустите.
Способ 2: Из исходников
git clone https://github.com/2M12/DeNuitkanizator.git
cd DeNuitkanizator
pip install -r requirements.txt
python DeNuitkanizator.pyИнструкция по использованию
Зайдите в программу
DeNuitkanizator.exeили если вы скачали python‑файл, тоDeNuitkanizator.py.Далее введите путь.exe файла или просто напишите сразу
python DeNuitkanizator.py "путь".Затем начнётся анализ файла и появится результат в папке DeNuitkanizator_Output.
Вы можете дальше сами рассматривать файлы. В summary.txt лежит только сводка.
Hash‑суммы для v1.1
MD5 dc888def9701b2cdb0c3b68dd86b4002
SHA-256 110b33f81e7e1770049f378d4fe4e66a23669b9ff8daebe053de8fc479b17777❗ Важные замечания
Как я и сказал результат не всегда гарантированны.
Программа умеет анализировать обычный exe‑файл (нативный), который написан не на Python.
PyInstaller выдаёт более подробную информацию, так как устроен проще и не транслирует код в C++, а упаковывает просто интерпретатор вместе со скриптом.
Заключение
DeNuitkanizator может быть для вас хорошим инструментом и по крайней мере — экспериментом. Он умеет довольно хорошие функции и всё автоматизирует. В будущем проект будет улучшаться и обновляться, а именно добавление новых функций.
Я надеюсь, вы оцените мой проект на гитхабе.
P. S. Какой упаковщик вы используете?