Всем привет, сегодня мы препарируем Melonity Spoofer, и, поверьте, это будет интереснее, чем звучит.

Почему Melonity Spoofer?

Честно? Просто попался под руку.

Введение

Первым шагом в анализе любого исполняемого файла является изучение его сигнатур. Это могут быть визуальные признаки (названия секций, нестандартная точка входа) или алгоритмические подходы (расчет энтропии, поиск специфических последовательностей байтов).

И что же видим? Иначально он был написан на Python, а затем упакован в единый исполняемый файл. Это типичная практика, преследующая две цели:

1. Избавить пользователей от головной боли с зависимостями (как мило с их стороны).
2. Обфускация: усложнение анализа кода посторонними.

Что же такое PyInstaller?

Теперь, когда мы знаем, что имеем дело с PyInstaller'ом, давайте разберемся, что у него внутри:

Ключевые вещи, на что стоит взглянуть:

1. CArchive: Содержит упакованные файлы, включая Python скрипты и модули.
2. Table of Contents (TOC): Список всех файлов и их метаданные.
3. Cookie: Важная информация для распаковки, метаданные условно

Чтобы распаковать наш файл нам нужно написать скрипт, который сделает пару этапов: