Les codes fantastiques : utilisation d’un bytecode Python invalide

Tag(s)

Python

Obfuscation

Continuons cette série sur les codes fantastiques avec un exemple tiré d’une histoire vécue : retrouver les sources d’un plug-in Python obfusqué...

En Python, un fichier avec l’extension .pyc représente un fichier de bytecode, spécifique à une version de Python. Tout code Python passe par cet état (au moins en mémoire) avant d’être interprété. Fournir un fichier dans un tel format au lieu d’un fichier source n’apporte guère de protection en termes d’obfuscation de code : il est plutôt facile de régénérer les sources à partir d’un fichier de bytecode, en utilisant un outil comme uncompyle6, tout juste perd-on les commentaires...

La créativité humaine n’ayant pas de limite, je vous propose cette protection anti-reverse découverte en analysant un plug-in Python qui avait été volontairement obfusqué. Commençons avec un code des plus simple en apparence :

# hello.py

try: print("bye")

except Exception: print("hello")

Son exécution affiche sans surprise bye dans la console. On peut forcer sa compilation en bytecode :

python -m py_compile hello.py

Et inspecter le bytecode associé à l’aide du script suivant :

import dis, marshal

with open('__pycache__/hello.cpython-36.pyc', 'rb') as f:

f.seek(12) ; dis.dis(marshal.load(f))

Sans rentrer dans les détails du format pyc, disons qu’on saute les 12 premiers octets d’en-tête pour atterrir sur le code Python qu’on charge avec marshal et désassemble avec dis, ce qui nous donne (extrait) :

1 0 SETUP_EXCEPT 12 (to 14)

2 2 LOAD_NAME 0 (print)

4 LOAD_CONST 0 ('bye')

6 CALL_FUNCTION 1

8 POP_TOP

10 POP_BLOCK

12 JUMP_FORWARD 28 (to 42)

3 >> 14 DUP_TOP

Maintenant, remplaçons l’opcode associé à LOAD_CONST par un 0x10, c’est-à-dire changeons l’opcode associé pour un opcode qui n’aurait pas de sens ici, par exemple BINARY_MATRIX_MULTIPLY, que l’on sauve dans hello.pyc :

python -c 'c = open("__pycache__/hello.cpython-36.pyc", "rb").read(); open("hello.pyc", "wb").write(c[:42] + b"\x10\x00" + c[44:])'

Quand on exécute hello.pyc, malgré la séquence invalide, aucune erreur ne ressort, et le programme affiche hello dans la console.

Que s’est-il passé ? BINARY_MATRIX_MULTIPLY attend deux arguments sur la pile, il a pris ce qu’il y trouvait qui n’a pas de sens (dans ce cas, une string et une fonction, pas le top pour un produit matriciel), il lève alors une exception, que l’on attrape. Et uncompyle6 ne parviendra pas à désassembler le bytecode, échouant sur un joli :

Parse error at or near `BINARY_MATRIX_MULTIPLY' instruction at offset 4

Article rédigé par

38 articles

Par le(s) même(s) auteur(s)

Les codes fantastiques : rester dans la moyenne

GNU/Linux Magazine

n°

274

mars 2025

Par

Continuons cette série sur les codes fantastiques avec un problème apparemment simple : calculer la moyenne de deux entiers.

Les codes fantastiques : une fonction symbolique

GNU/Linux Magazine

n°

272

novembre 2024

Par

Continuons cette série sur les codes fantastiques avec deux drapeaux qui interagissent avec l’interposition de symboles.

Des soucis à la chaîne

MISC

HS n°

octobre 2024

Par

Sécurité du code

L’histoire, ou plutôt l’Histoire, est une coquine. Et quand Dennis Ritchie et Ken Thompson inventent le langage C en 1972, ils prennent une décision anodine, une micro-optimisation qui fait gagner quelques octets, mais qui aura un impact important sur la sécurité de nombreux systèmes : en C, les chaînes de caractères sont terminées par un octet positionné à zéro.

Plus d'article de cet auteur

Les derniers articles Premiums

Les derniers articles Premium

Bun.js : l’alternative à Node.js pour un développement plus rapide

Contenu Premium

Par

Blachowiak Thomas

Web

Dans l’univers du développement backend, Node.js domine depuis plus de dix ans. Mais un nouveau concurrent fait de plus en plus parler de lui, il s’agit de Bun.js. Ce runtime se distingue par ses performances améliorées, sa grande simplicité et une expérience développeur repensée. Peut-il rivaliser avec Node.js et changer les standards du développement JavaScript ?

PostgreSQL au centre de votre SI avec PostgREST

Contenu Premium

Par

Auverlot Olivier

Data / Big Data

Web

Dans un système d’information, il devient de plus en plus important d’avoir la possibilité d’échanger des données entre applications. Ce passage au stade de l’interopérabilité est généralement confié à des services web autorisant la mise en œuvre d’un couplage faible entre composants. C’est justement ce que permet de faire PostgREST pour les bases de données PostgreSQL.

La place de l’Intelligence Artificielle dans les entreprises

Contenu Premium

Par

Blachowiak Thomas

Société

L’intelligence artificielle est en train de redéfinir le paysage professionnel. De l’automatisation des tâches répétitives à la cybersécurité, en passant par l’analyse des données, l’IA s’immisce dans tous les aspects de l’entreprise moderne. Toutefois, cette révolution technologique soulève des questions éthiques et sociétales, notamment sur l’avenir des emplois. Cet article se penche sur l’évolution de l’IA, ses applications variées, et les enjeux qu’elle engendre dans le monde du travail.

Petit guide d’outils open source pour le télétravail

Contenu Premium

Par

Samhi Jordan

Système

Ah le Covid ! Si en cette période de nombreux cas resurgissent, ce n’est rien comparé aux vagues que nous avons connues en 2020 et 2021. Ce fléau a contraint une large partie de la population à faire ce que tout le monde connaît sous le nom de télétravail. Nous avons dû changer nos habitudes et avons dû apprendre à utiliser de nombreux outils collaboratifs, de visioconférence, etc., dont tout le monde n’était pas habitué. Dans cet article, nous passons en revue quelques outils open source utiles pour le travail à la maison. En effet, pour les adeptes du costume en haut et du pyjama en bas, la communauté open source s’est démenée pour proposer des alternatives aux outils propriétaires et payants.