我正在用Python开发一款软件,它将分发给我雇主的客户。我的雇主想用一个有时间限制的许可证文件来限制软件的使用。
如果我们分发.py文件甚至.pyc文件,将很容易(反编译和)删除检查许可证文件的代码。
另一个方面是,我的雇主不希望我们的客户读到代码,担心代码可能被窃取,或者至少是“新颖的想法”。
有什么好办法来解决这个问题吗?
当前回答
无论是Cython还是Nuitka都不是答案,因为当运行用Nuitka或Cython编译成.pyd或.exe文件的解决方案时,会生成一个缓存目录,所有的.pyc文件都会复制到缓存目录中,因此攻击者可以简单地反编译.pyc文件并查看您的代码或更改它。
其他回答
发布.pyc文件有它的问题-它们与创建它们时使用的python版本以外的任何其他python版本都不兼容,这意味着您必须知道产品将运行的系统上运行的python版本。这是一个非常有限的因素。
另一种让代码更难被窃取的方法是使用jython,然后使用java混淆器。
这应该工作得很好,因为jythonc将python代码转换为java,然后将java编译为字节码。因此,如果混淆了类,就很难理解反编译后会发生什么,更不用说恢复实际的代码了。
jython的唯一问题是你不能使用用c编写的python模块。
用同样的方法保护c/c++的二进制文件,即对可执行文件或库二进制文件中的每个函数体进行混淆,在每个函数项的开头插入指令“跳转”,跳转到特定的函数来恢复混淆的代码。字节码是Python脚本的二进制代码,所以
首先编译python脚本代码对象 然后迭代每个代码对象,将每个代码对象的co_code混淆如下所示
0 JUMP_ABSOLUTE n = 3 + len(bytecode)
3
...
... Here it's obfuscated bytecode
...
n LOAD_GLOBAL ? (__pyarmor__)
n+3 CALL_FUNCTION 0
n+6 POP_TOP
n+7 JUMP_ABSOLUTE 0
将混淆的代码对象保存为.pyc或.pyo文件
那些模糊的文件(。Pyc或.pyo)可以被普通的python解释器使用,当这些代码对象第一次被调用时
First op is JUMP_ABSOLUTE, it will jump to offset n At offset n, the instruction is to call a PyCFunction. This function will restore those obfuscated bytecode between offset 3 and n, and put the original byte-code at offset 0. The obfuscated code can be got by the following code char *obfucated_bytecode; Py_ssize_t len; PyFrameObject* frame = PyEval_GetFrame(); PyCodeObject *f_code = frame->f_code; PyObject *co_code = f_code->co_code; PyBytes_AsStringAndSize(co_code, &obfucated_bytecode, &len) After this function returns, the last instruction is to jump to offset 0. The really byte-code now is executed.
有一个工具Pyarmor可以通过这种方式混淆python脚本。
我认为还有一种方法可以保护你的Python代码;模糊处理方法的一部分。我相信有一个像Mount and Blade之类的游戏,改变并重新编译了他们自己的python解释器(原始的解释器,我相信是开源的),只是改变了OP代码表中的OP代码,使其与标准的python OP代码不同。
所以python源代码没有被修改,但是文件扩展名*。Pyc文件是不同的,并且操作代码与公共python.exe解释器不匹配。如果你检查游戏数据文件,所有数据都是Python源格式。
通过这种方式,可以用各种肮脏的伎俩来对付不成熟的黑客。阻止一群没有经验的黑客很容易。你不太可能打败专业黑客。但我想大多数公司不会长期雇佣专业黑客(可能是因为东西被黑客攻击了)。但不成熟的黑客到处都是(可以理解为好奇的IT人员)。
例如,你可以在一个修改过的解释器中,允许它检查源代码中的某些注释或文档字符串。对于这样的代码行,可以使用特殊的OP代码。例如:
OP 234是源行“#版权是我写的” 或者将这一行编译成等同于"if False:" if "# Copyright"缺失的操作代码。基本上是为了一些模糊的原因禁用了一整块代码。
重新编译修改后的解释器可能可行的一个用例是,应用程序不是你写的,应用程序很大,但你有偿保护它,比如当你是一个金融应用程序的专用服务器管理员时。
我发现让源代码或操作码开放以吸引眼球有点矛盾,但对网络通信使用SSL。SSL也不是100%安全。但它被用来阻止大多数眼睛阅读它。采取一点预防措施是明智的。
此外,如果有足够多的人认为Python源代码和操作码太明显了,很可能最终会有人为它开发至少一个简单的保护工具。因此,越来越多的人问“如何保护Python应用程序”只会促进这种发展。
使用Cython。它将您的模块编译为高性能的C文件,然后这些C文件可以编译为本机二进制库。与.pyc字节码相比,这基本上是不可逆转的!
我已经写了一篇关于如何为Python项目设置Cython的详细文章,请查看:
使用Cython保护Python源代码
推荐文章
- 证书验证失败:无法获得本地颁发者证书
- 当使用pip3安装包时,“Python中的ssl模块不可用”
- 无法切换Python与pyenv
- Python if not == vs if !=
- 如何从scikit-learn决策树中提取决策规则?
- 为什么在Mac OS X v10.9 (Mavericks)的终端中apt-get功能不起作用?
- 将旋转的xtick标签与各自的xtick对齐
- 为什么元组可以包含可变项?
- 如何合并字典的字典?
- 如何创建类属性?
- 不区分大小写的“in”
- 在Python中获取迭代器中的元素个数
- 解析日期字符串并更改格式
- 使用try和。Python中的if
- 如何在Python中获得所有直接子目录
