保护python代码免受逆向工程

Question

我正在用 python (2.7) 创建一个程序，我想保护它免受逆向工程。

我使用cx_freeze 编译它（提供基本的安全性-混淆和反调试）

如何添加混淆、打包、反调试、加密代码识别VM等保护。

我想也许可以加密到有效载荷并在运行时对其进行解密，但我不知道该怎么做。

Answer 1

一般来说，只要黑客有足够的动机，你几乎不可能让你的程序牢不可破。

但是你仍然可以让逆向工程变得更加困难，尝试使用 cython 将你的核心代码编译成pyd 或so 文件。

Answer 2

故事时间：我长期从事 Python 程序员工作。最近我加入了一家公司，担任 Python 程序员。我猜我的经理是一名 Java 程序员有十年了。他给了我一个项目，在最初的审查中，他问我我们是否混淆了代码？我说，我们不会在 Python 中做那种事情。他说我们在 Java 中做这种事情，我们希望在 python 中实现同样的事情。最终我设法混淆了代码，只是删除了 cmets 和空格并重命名了局部变量）但整个 python 调试过程都搞砸了。

然后他问我，我们可以使用 ProGuard 吗？我不知道那是什么鬼。经过一番谷歌搜索后，我说它适用于 Java，不能在 Python 中使用。我还说过，无论我们正在构建什么，我们都部署在自己的服务器中，因此我们不需要实际保护代码。但他很不情愿地说，我们有一套程序，部署前必须遵守。

在厌倦了说服他们 Python 不是 Java 一年之后，我最终辞掉了工作。我也没有兴趣让他们在那个时候以不同的方式思考。

TLDR; 由于 Python 的开源特性，没有可行的工具可用于混淆或加密您的代码。我也不认为这不是问题，只要您将代码部署在自己的服务器中（提供软件即服务）。但是，如果您实际上将产品提供给客户，则可以使用一些工具来包装您的代码或字节码，并将其作为可执行文件提供。但如果他们愿意，总是可以查看您的代码。或者，如果绝对有必要保护您的代码，您可以选择提供更好保护的其他语言。再次记住，总是可以对代码进行逆向工程。

Answer 3

现在没有办法确保任何数字安全。

你能做的就是让它变得很难做到令人沮丧，但我承认我不知道 python 特定的方法来实现这一点。您的程序的安全量实际上不是程序安全性的函数，而是心理学。

是的，心理学。

鉴于这是破解者和反破解者之间的军备竞赛，双方都在不断地试图超越对方，唯一能做的就是尽量让它变得令人沮丧。我们如何做到这一点？

后背痛！

您为确保您的代码难以破译而采取的每一个额外步骤都是一个好的步骤。

例如，您能否将您的程序转换为一个已编译的字节码块，您可以从程序内部调用它。使用外部库事先对其进行加密，然后再对其进行解密。对函数代码块执行相同的额外步骤。或者，准备好预编译块中的函数，但已损坏。在运行时，利用 byteplay，根据不同函数的其他字节，用字节修复字节码，这将在修改时停止你的程序工作。

有很多方法可以弄乱人们的头脑，虽然我不能告诉你任何 python 特定的方法，但如果你在“如何变得困难”的背景下思考，你会发现让它成为最奇怪的方法乱处理你的代码。

有趣的是，这在汇编中比 python 容易得多，所以也许你应该考虑通过 ctypes 或其他方式执行外部代码。

召唤你内心的巨魔！