Pyarmor项目代码混淆技术详解

Pyarmor项目代码混淆技术详解

pyarmor A tool used to obfuscate python scripts, bind obfuscated scripts to fixed machine or expire obfuscated scripts. 项目地址: https://gitcode.com/gh_mirrors/py/pyarmor

前言

在Python开发领域，代码保护一直是一个重要课题。Pyarmor作为一款专业的Python代码混淆工具，能够有效保护Python源代码不被轻易反编译和篡改。本文将深入解析Pyarmor的核心功能和使用方法，帮助开发者更好地保护自己的Python项目。

环境准备

首先确保已安装Pyarmor 8.0+版本，可通过以下命令验证：

pyarmor --version

Pyarmor 8.0+支持Python 3.7及更高版本。如果版本不匹配，建议升级到最新版本以获得最佳体验。

项目结构示例

假设我们有一个典型Python项目结构如下：

project/
    ├── foo.py
    ├── queens.py
    └── joker/
        ├── __init__.py
        ├── queens.py
        └── config.json

调试与日志追踪

调试模式

当遇到问题时，可使用调试模式获取详细日志：

pyarmor -d gen foo.py
cat pyarmor.debug.log

追踪日志

追踪日志能详细记录哪些代码被混淆：

pyarmor cfg enable_trace=1
pyarmor gen foo.py
cat pyarmor.trace.log

日志格式示例：

trace.co             foo:1:<module>
trace.co             foo:5:hello
trace.co             foo:9:sum2
trace.co             foo:12:main

脚本保护进阶选项

对于独立脚本，推荐使用以下组合选项增强保护：

pyarmor gen --enable-jit --mix-str --assert-call --private foo.py

各选项作用：

• --enable-jit：运行时生成C函数处理敏感数据
• --mix-str：混淆长度大于8的字符串常量
• --assert-call：确保函数被混淆，防止被替换
• --private：防止明文脚本访问模块属性

效果示例

原始代码：

data = "abcefgxyz"

def fib(n):
    a, b = 0, 1
    while a < n:
        print(a, end=' ')
        a, b = b, a+b

混淆后代码：

data = __mix_str__(b"******")

def fib(n):
    a, b = 0, 1
    while a < n:
        print(a, end=' ')
        a, b = b, a+b

包保护进阶选项

对于Python包，推荐使用以下组合：

pyarmor gen --enable-jit --mix-str --assert-call --assert-import --restrict joker/

新增选项：

• --assert-import：确保导入的模块是混淆后的版本
• --restrict：限制模块只能在包内使用

导出特定模块

如需允许外部访问特定模块：

pyarmor cfg -p joker.queens restrict_module=0

数据文件处理

处理包中的非Python数据文件有两种方式：

1. 手动复制：

mkdir dist/joker
cp -a joker/* dist/joker
pyarmor gen -O dist -r joker/

2. 自动复制：

pyarmor cfg data_files=*
pyarmor gen -O dist -r joker/

或仅复制特定类型文件：

pyarmor cfg data_files="*.yaml *.json"

运行时密钥管理

定期检查

每小时检查一次运行时密钥：

pyarmor gen --period 1 foo.py

多设备绑定

绑定到多个设备的MAC地址：

pyarmor gen -b "66:77:88:9a:cc:fa" -b "f8:ff:c2:27:00:7f" foo.py

外部密钥存储

使用外部文件存储运行时密钥：

1. 生成带外部密钥的脚本：

pyarmor gen --outer foo.py

2. 生成3天有效的密钥：

pyarmor gen key -e 3
cp dist/pyarmor.rkey dist/pyarmor_runtime_000000/

3. 更新为10天有效的密钥：

pyarmor gen key -O dist/key2 -e 10
cp dist/key2/pyarmor.rkey dist/pyarmor_runtime_000000/

错误信息本地化

自定义运行时错误消息：

1. 创建配置文件：

mkdir .pyarmor
vi .pyarmor/messages.cfg

2. 编辑内容示例：

[runtime.message]
error_1 = 此许可证密钥已过期
error_2 = 此许可证密钥不适用于此设备
error_3 = 缺少运行脚本的许可证密钥

打包混淆脚本

单文件打包

pyarmor gen --pack onefile foo.py
./dist/foo

单目录打包

pyarmor gen --pack onedir foo.py
./dist/foo/foo

使用.spec文件

pyarmor gen --pack foo.spec -r foo.py joker/
./dist/foo

结语

Pyarmor提供了全面的Python代码保护方案，从基础混淆到高级保护功能，能够满足不同安全级别的需求。通过合理配置各项参数，开发者可以在保护代码安全的同时，保持应用的正常运行。建议根据项目实际需求选择适当的保护策略，并在开发环境中充分测试后再部署到生产环境。

pyarmor A tool used to obfuscate python scripts, bind obfuscated scripts to fixed machine or expire obfuscated scripts. 项目地址: https://gitcode.com/gh_mirrors/py/pyarmor