使用Pyarmor保护Python脚本不被反向工程

译文 作者： 布加迪 2023-08-31 09:00:00开发 前端 您可能不希望关键的使用Python脚本被恶意攻击者进行反向工程。本文介绍了如何保护它的保本不被反方法。

译者 | 布加迪

审校 | 重楼

Python可读性强，向工使用广泛。使用虽然这种可读性有利于协作，保本不被反但也增加了未授权访问和滥用的向工风险。如果未采取适当的使用保护，竞争对手或恶意攻击者可以复制您的保本不被反算法和专有逻辑，这将对您软件的向工完整性和用户的信任产生负面影响。

实施可靠的使用安全措施（比如混淆和许可证验证）可以增强软件防范潜在威胁的能力。保护Python脚本不仅仅是保本不被反一种实践，还是向工确保创新的保密性和在数字环境中保持用户信任的关键策略。

了解Pyarmor

Pyarmor是使用一个命令行库。它有助于保护和混淆Python脚本和软件包。保本不被反它将原始Python代码转换成一种更难以理解的向工形式，同时保持其功能。混淆过程将变量、函数和类重命名为非描述性名称，还删除注释并重构代码。这使得代码难以被反向工程、篡改或复制。

Pyarmor可以保护单个的Python脚本和整个软件包，甚至可以为代码添加许可证验证。

安装Pyarmor库

Pyarmor在Python软件包索引（PyPI）中可用。使用pip安装它，只需运行以下命令：

pip install pyarmor

不必非得将Pyarmor安装在托管项目的同一个目录中。您可以将其安装在计算机上的任何位置，能够保护来自任何目录的任何Python脚本。

然而，如果您希望运行受保护的脚本，不必在目标机器上安装Pyarmor，则需要将其安装在托管项目的同一个目录中。这是由于受保护的脚本将包含对Pyarmor运行时环境的引用，为了运行脚本，需要有Pyarmor运行时环境。

保护单个Python脚本

使用Pyarmor保护单个脚本很简单。添加两个数字的下列脚本将充当示例。

def add_numbers(num1, num2):    result = num1 + num2 print("The sum of { } and { } is: { }".format(num1, num2, result))# Example usagenum1 = float(input("Enter the first number: "))num2 = float(input("Enter the second number: "))add_numbers(num1, num2)

使用命令行导航到已安装Pyarmor的目录。然后运行以下命令，对脚本进行加密和模糊处理。将main.py换成脚本的名称。

pyarmor gen --output dist main.py

运行该命令后，Pyarmor将创建一个名为dist的新文件夹，其中含有您的受保护脚本。

打开受保护的脚本以查看其内容。

上面的屏幕截图显示了Pyarmor对简单的加法脚本进行模糊和加密处理后的输出。现在，您无法仅通过查看脚本来判断其功能。

要运行受保护的脚本，打开终端或命令提示，并导航到含有dist目录的位置。然后使用以下命令运行脚本：

python dist/main.py

将main.py换成您脚本的名称。不用混淆处理，脚本应该可以按原状运行。全面测试它，以确保所有函数都按预期工作。

保护整个Python软件包

软件包可能含有几个模块或数百个模块，这取决于其用途。单独维护每个模块可能会很烦人。幸好，Pyarmor能够保护整个软件包，而不必单独指定每个模块。

假设您有一个名为sample_package的简单Python软件包，其结构如下：

sample_package/|-- __init__.py|-- module1.py|-- module2.py

您可以创建任意数量的模块。

要加密和混淆软件包，打开终端或命令提示，并导航到软件包所在的目录。然后执行以下命令：

pyarmor gen -O dist -r -i sample_package

将sample_package换成您软件包的名称。该命令将加密和模糊软件包目录，并将受保护的输出保存到dist目录。像使用其他任何Python软件包一样使用受保护的软件包。

比如说，要使用上面的示例软件包，在dist目录下创建一个新脚本：

from my_package import module1, module2module1.say_hello()module2.do_something()

您运行代码时，软件包应该像保护它之前一样运行。

控制对脚本的访问

您可能希望限制用户运行脚本的时间，比如在试用期间。

要限制脚本运行的时间，请在对脚本进行混淆处理时使用以下命令。

pyarmor gen -O dist -e 30 main.py

将30换成您希望脚本处于活动状态的天数。您也可以用一个确切的日期来代替。几天过后，脚本将过期。

您可以通过设置过去的日期来测试此功能。这将使运行脚本抛出一个错误。使用以下命令用过期日期对脚本进行混淆处理：

pyarmor gen -O dist -e 2022-01-01 main.py

然后运行受保护的脚本。

错误显示许可证密钥已过期，因此脚本无法运行。

兼顾安全与效率

虽然Pyarmor提供了强大的混淆机制来增强代码的安全性，但兼顾安全措施与维护软件的效率和性能非常重要。您可以这么做：

• 评估是否需要混淆：如果您的软件涉及专有算法、敏感数据或独特的业务逻辑，混淆处理大有益处。然而，针对基本上没有知识产权问题的开源脚本，安全与性能之间的权衡更倾向于效率。
• 评估性能影响：由于针对代码采取的额外操作和转换，混淆带来了额外的运行开销。这种影响对于小脚本来说可以忽略不计，但是对于大型项目来说比较明显。您应该仔细评估混淆对性能的影响，并进行测试，以确保软件保持响应能力和效率。
• 进行定期更新和维护：定期更新混淆的代码、许可证和安全机制，以防止潜在的漏洞。还要考虑尽量减少对用户造成的干扰。

有人能破解混淆处理的代码吗？

软件破解是指解除软件应用程序的复制保护或许可机制的行为，目的是为了无需付费，未经授权访问软件的全部功能。重点需要注意的是混淆处理软件并不能完全保护它避免破解。

只要有足够的决心和资源，就可以破解混淆处理的代码。这就需要您应该定期进行更新和维护，以修补任何可疑的漏洞。

原文标题：Safeguard Your Python Scripts Against Reverse Engineering With Pyarmor，作者：Denis Kuria

责任编辑：华轩 来源： 51CTO PythonPyarmor

(责任编辑：焦点)