![640?wx_fmt=jpeg](https://i-blog.csdnimg.cn/blog_migrate/472fa8f234b4d541316e55fbe4dd5f66.jpeg)
(由Python大本营付费下载自视觉中国)
作者 | Prodesire
来源 | Python猫(ID: python_cat)
0 前言
去年11月在PyCon China 2018 杭州站分享了 Python 源码加密,讲述了如何通过修改 Python 解释器达到加解密 Python 代码的目的。
然而因为笔者拖延症发作,一直没有及时整理成文字版,现在终于战胜了它,才有了本文。
本系列将首先介绍下现有源码加密方案的思路、方法、优点与不足,进而介绍如何通过定制 Python 解释器来达到更好地加解密源码的目的。
由于 Python 的动态特性和开源特点,导致 Python 代码很难做到很好的加密。
社区中的一些声音认为这样的限制是事实,应该通过法律手段而不是加密源码达到商业保护的目的;
而还有一些声音则是不论如何都希望能有一种手段来加密。
于是乎,人们想出了各种或加密、或混淆的方案,借此来达到保护源码的目的。
常见的源码保护手段有如下几种:
-
发行 .pyc 文件
-
代码混淆
-
使用 py2exe
-
使用 Cython
下面来简单说说这些方案。
1 发行 .pyc 文件
1.1 思路
大家都知道,Python 解释器在执行代码的过程中会首先生成 .pyc 文件,然后解释执行 .pyc文件中的内容。
当然了,Python 解释器也能够直接执行 .pyc 文件。
而 .pyc 文件是二进制文件,无法直接看出源码内容。
如果发行代码到客户环境时都是 .pyc 而非 .py 文件的话,那岂不是能达到保护 Python 代码的目的?
1.2 方法
把 .py 文件编译为 .pyc 文件,是件非常轻松地事情,可不需要把所有代码跑一遍,然后去捞生成的 .pyc 文件。
事实上,Python 标准库中提供了一个名为 compileall 的库,可以轻松地进行编译。
执行如下命令能够将遍历 <src> 目录下的所有 .py 文件,将之编译为 .pyc 文件:
python -m compileall <src> 然后删除 <src> 目录下所有 .py 文件就可以打包发布了:
1.3 优点
-
简单方便,提高了一点源码破解门槛
-
平台兼容性好,.py 能在哪里运行,.pyc 就能在哪里运行
1.4 不足
-
解释器兼容性差,.pyc 只能在特定版本的解释器上运行
-
有现成的反编译工具,破解成本低
python-uncompyle6 就是这样一款反编译工具,效果出众。
执行如下命令,即可将 .pyc 文件反编译为 .py 文件:
2 代码混淆
如果代码被混淆到一定程度,连作者看着都费劲的话,是不是也能达到保护源码的目的呢?
2.1 思路
既然我们的目的是混淆,就是通过一系列的转换,让代码逐渐不让人那么容易明白,那就可以这样下手:
- 移除注释和文档。
没有这些说明,在一些关键逻辑上就没那么容易明白了。
- 改变缩进。
完美的缩进看着才舒服,如果缩进忽长忽短,看着也一定闹心。
- 在tokens中间加入一定空格。
这就和改变缩进的效果差不多。
- 重命名函数、类、变量。
命名直接影响了可读性,乱七八糟的名字可是阅读理解的一大障碍。
- 在空白行插入无效代码。
这就是障眼法,用无关代码来打乱阅读节奏。
2.2 方法
方法一:使用 oxyry 进行混淆
http://pyob.oxyry.com/ 是一个在线混淆 Python 代码的网站,使用它可以方便地进行混淆。
假定我们有这样一段 Python 代码,涉及到了类、函数、参数等内容:
经过
Oxyry
的混淆,得到如下代码:
混淆后的代码主要在注释、参数名称和空格上做了些调整,稍微带来了点阅读上的障碍。
方法二:使用 pyobfuscate 库进行混淆
pyobfuscate 算是一个颇具年头的 Python 代码混淆库了,但却是“老当益壮”了。
对上述同样一段 Python 代码,经 pyobfuscate 混淆后效果如下:
相比于方法一,方法二的效果看起来更好些。
除了类和函数进行了重命名、加入了一些空格,最明显的是插入了若干段无关的代码,变得更加难读了。
2.3 优点
-
简单方便,提高了一点源码破解门槛
-
兼容性好,只要源码逻辑能做到兼容,混淆代码亦能
2.4 不足
-
只能对单个文件混淆,无法做到多个互相有联系的源码文件的联动混淆
-
代码结构未发生变化,也能获取字节码,破解难度不大
3 使用 py2exe
3.1 思路
py2exe 是一款将 Python 脚本转换为 Windows 平台上的可执行文件的工具。
其原理是将源码编译为 .pyc 文件,加之必要的依赖文件,一起打包成一个可执行文件。
如果最终发行由 py2exe 打包出的二进制文件,那岂不是达到了保护源码的目的?
3.2 方法
使用 py2exe 进行打包的步骤较为简便。
1)编写入口文件。
本示例中取名为hello.py:
2)编写 setup.py:
3)生成可执行文件
生成的可执行文件位于 dist\hello.exe。
3.3 优点
-
能够直接打包成 exe,方便分发和执行
-
破解门槛比 .pyc 更高一些
3.4 不足
-
兼容性差,只能运行在 Windows 系统上
-
生成的可执行文件内的布局是明确、公开的,可以找到源码对应的 .pyc 文件,进而反编译出源码
4 使用 Cython
4.1 思路
虽说 Cython 的主要目的是带来性能的提升,但是基于它的原理:
将
.py
/.pyx
编译为 .c 文件,再将 .c 文件编译为 .so(Unix) 或 .pyd(Windows),其带来的另一个好处就是难以破解。
4.2 方法
使用 Cython 进行开发的步骤也不复杂。
1)编写文件 hello.pyx 或 hello.py:
2)编写 setup.py:
3)编译为 .c,再进一步编译为 .so 或 .pyd:
执行 python -c "from hello import hello;hello()" 即可直接引用生成的二进制文件中的 hello() 函数。
4.3 优点
-
生成的二进制 .so 或 .pyd 文件难以破解
-
同时带来了性能提升
4.4 不足
-
兼容性稍差,对于不同版本的操作系统,可能需要重新编译
-
虽然支持大多数 Python 代码,但如果一旦发现部分代码不支持,完善成本较高
出处:https://zhuanlan.zhihu.com/p/54296517
(本文由Python大本营转载,转载请联系原作者)
◆
精彩推荐
◆
早鸟票
倒计时最后3天
,扫码购票立减2600元!
2019 中国大数据技术大会(BDTC)再度来袭! 豪华 主席 阵容及 百位技术专家 齐聚, 15 场 精选 专题技术和行业论坛, 超强干货+技术剖析+行业实践立体解读 ,深入解析热门技术在行业中的实践落地。
2019 中国大数据技术大会(BDTC)再度来袭! 豪华 主席 阵容及 百位技术专家 齐聚, 15 场 精选 专题技术和行业论坛, 超强干货+技术剖析+行业实践立体解读 ,深入解析热门技术在行业中的实践落地。
![640?wx_fmt=jpeg](https://i-blog.csdnimg.cn/blog_migrate/38809847e71faa2c9ac4e83723184ec1.jpeg)
推荐阅读
![640?wx_fmt=png](https://i-blog.csdnimg.cn/blog_migrate/2cba20d74577dec51dc9daf89a6a59e5.png)
你点的每个“在看”,我都认真当成了喜欢