Python逆向（五）—— Python字节码解读

一、前言

前些章节我们对python编译、反汇编的原理及相关模块已经做了解读。读者应该初步掌握了通过反汇编获取python程序可读字节码的能力。python逆向或者反汇编的目的就是在没有源码的基础上，通过字节码来理解源代码的运行内容，并且进一步对源码的远行进行调试。因此本次我们尝试对python字节码进行解读。

二、字节码结构

字节码结构如下：
源码行号 | 跳转注释符 | 指令在函数中的偏移 | 指令符号（助记符） | 指令参数 | 实际参数值

上图表示：

• 该字节码指令在源码中对应59行
• 此处是跳转的目的地址
• 82该字节指令的字节码偏移
• 操作指令对应的助记符为LOAD_GLOBAL
• 操作参数为6
• 操作参数对应的实际值为disassemble

三、字节码实战

3.1常量

加载常量只有一行LOAD_CONST，对应源码第1行，字节码偏移地址0字节，常量数组中索引0，实际常量值‘123’

3.2局部变量

加载局部变量a：LOAD_CONST加载常量1，调用STORE_NAME（参数a），并将变量a存储为1
同理加载局部变量b

3.3全局变量

加载全局变量a，与加载局部变量不同的是通过STORE_GLOBAL在存储变量。

3.4数据类型list

先将所有的list元素加载，调用BUILD_LIST方法生成list于内存中，通过STORE_NAME将堆栈中的list存储于局部变量a中

3.5数据类型dict

BUILD_MAP声明字典元素数量，通过两次LOAD_CONST后，调用STORE_MAP生成键值对存于堆栈，最终通过STORE_NAME将堆栈中长度为2的两个键值对最为字典数据类型存储在a中

3.6数学运算

字节码中显示先对局部变量a、b赋值，通过LOAD_NAME加载局部变量，调用加法BINARY_ADD，生成结果存储与堆栈中，使用STORE_NAME将堆栈中的计算结果存储与局部变量c
加减乘除的运算字节码相似，不不再赘述，读者可以自行分析，如下图：

上图中为对a、b做加减乘除的字节码，因为没有存储计算结果，所以每次运算完没有使用STORE_NAME方法存储，解释器默认调用POP_TOP方法将计算结果从堆栈顶部弹出，以保证堆栈平衡。

3.7循环FOR

上图显示一个FOR循环的过程。SETUP_LOOP表明循环开始，参数说明此循环知道字节码偏移28字节的指令结束（也就是28字节开始不是循环）。调用range方法生成generator存于堆栈。FOR_ITER调用堆栈，声明generator作用到字节码偏移位置27字节。从第16字节起到27为generator迭代作用域。其中为一个print函数。

3.8判断IF

以一个简单的IF判断为例，先加载需要比较的常量，调用COMPARE_OP指令对堆栈中两个常量进行比较，将结果存入堆栈。调用POP_JUMP_IF_FALSE指令，判断栈顶值来决定程序运行顺序实现判断功能。

四、参考

本文试图让读者能够通过简单的例子具备阅读字节码的能力，上文只是对字节码的阅读做了简单的讲解，文章难免有疏漏敬请包涵。如果读者对字节码的阅读有更多的解读需求可以前往这里：https://bbs.pediy.com/thread-246683.htm。通过官方文档https://docs.python.org/2/library/dis.html可以对更多的字节码指令了解。