文章总结： 本文介绍了Python字节码反编译工具Decompyle++（pycdc）的功能与使用方法。该工具可将.pyc文件转换为可读的Python源代码，支持反汇编和反编译两种模式。文章详细展示了在Ubuntu20.04下的编译安装步骤，并说明了其在代码恢复、安全审计等场景的应用，同时提醒用户注意版本兼容性和输出结果可能需要人工调整。 综合评分： 78 文章分类： 逆向分析,安全工具,二进制安全,应用安全,恶意软件

Python字节码反编译工具(逆向分析)

原创

云天实验室 云天实验室

哆啦安全

2025年9月12日 18:38 四川

在小说阅读器读本章

去阅读

Decompyle++（也称为 pycdc）是一款专为Python字节码反编译而设计的强大工具。它能够将编译后的Python字节码文件（.pyc）转换回可读性较高的Python源代码（.py）。

1.Ubuntu20.04环境

2.查看python和cmake版本

git clone https://github.com/zrax/pycdc.git

3.编译pycdc

cd pycdcmkdir buildcmake ..make -j$(nproc)

4.测试验证

make check JOBS=4

5.使用方法

编译成功后，使用pycdas和pycdc

(1).反汇编器pycdas

生成字节码的汇编形式，适合进行低级分析。

./pycdas path/to/your/file.pyc

(2).反编译器pycdc

最常用的功能，尝试将字节码重建为Python源代码。

# 基本用法：输出到标准输出./pycdc path/to/your/file.pyc
# 输出到文件./pycdc path/to/your/file.pyc > decompiled_source.py

(3).处理Marshal序列化对象

对于通过 marshal.dumps(compile(…))生成的序列化代码对象（缺乏Python版本元数据），需要使用 -c参数并手动指定Python版本

./pycdc -c -v 3.8 marshalled_code_object.bin

4.主要应用场景

(1).恢复丢失的源代码

当原始的 .py文件丢失或损坏，但仍有 .pyc文件时，可用于恢复代码。

(2).学习和分析

理解第三方库或框架的内部工作机制（注意：请遵守相关许可证和法律法规）。

(3).安全审计

分析可疑的或已编译的Python程序，检查是否存在恶意行为。

反编译是一个复杂的过程，生成的代码可能无法完全等同于原始源代码，尤其在处理经过混淆或优化的代码时。输出结果可能需要人工检查和调整。

版本兼容性

尽管Decompyle++目标支持所有Python版本，但不同版本间的支持完善度可能有所不同。对于非常旧或非常新的Python版本，可能会遇到问题。

推荐阅读

魔改frida绕过App检测

Dex2C把Java转Native(Android代码加固)

深入内核交互使用strace分析Android系统调用

深入ART Dex加载流程，玩转Android通用脱壳点

Android反调试攻防实战(多重检测手段解析与内核级绕过方案)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：哆啦安全 云天实验室 云天实验室《Python字节码反编译工具(逆向分析)》