大家都很忙,谁有时间看你的的烂代码! 如果真的怕泄露,别用python. 我以前做过这类事情,而且当时更严格,需要打包部署到客户的服务只在有效期内有效,超过有效期必须更新证书才行。 Python代码用任何方法都没法保证保密性,这个时候你可以考虑用一个工具「nuitka」,这个工具会把你的python源代码映射为c++然后编译为二进制,因此对方是无论如何得不到你的源代码的。 代价就是nuitka这个工具并不完美,有一些限制并不能100%完美的转换所有python代码。 1.用Cython编译python成 Windows的pyd
文件或Linux的so文件,二进制文件相对安全性较高。 2.用源码混淆器把代码搞的又臭又长。。。混淆完了再用Cython编译为二进制。。。这样静态反编译逆向难度也不小。 3.同其他语言程序一样,可以对调试状态进行检测,当处于调试状态时退出程序或进入混乱代码耗费逆向工程人员心神。 4.分享一个跨平台反调试手段,检测函数运行时间,加断点会导致函数运行时间变长,也可感知正在被调试。 Python是提倡开源的,既然选择Python还是拥抱开源才好~ 都开源还担心逆向工程嘛没有不能逆的软件。 只要汇编语言过关,逆向工程都是可以实现的,不要有其它想法。 你唯一可以做的,就是不让别人用python读取源代码而已。那样实现起来比较简单。 python 适合开发服务器程序,或者自己科研使用的程序,如果是 作为用户程序,安装到 pc 或手机上,还是 其它 c++ 或java 比较合适 1)可以把需要保护的部分用c语言实现,从而编译成so等文件,这样逆向的成本会比较高,可以防止直接打开python文件看到代码逻辑。 2)so文件通过ida等工具也是可以反汇编的,可以通过对c语言进行代码混淆,花指令等操作,提高通过ida等反汇编工具的分析难度。 3)不存在绝对无法逆向的技术手段,因此只能是看具体需求,选择具体的防逆向的技术手段。 有工具类似py2exe转成可执行程序,隐藏全部源代码,虽然bytecode还是可以反编译,但是难度大多了 1. 最稳的就是你改cpython加载代码的过程,改zip包读取最稳。 2. 借助一些加密工具在编译pyc之前进行一定的混淆,可以防君子,自我安慰一下。 商用一般都是用第一种办法,小打小闹用第二种。可以考虑使用pymod工具,使用pymod pack 将
模块加密打包,发布的时候一个模块就一个文件。 先睹为快,看看一个
项目发布的时候,只有几个文件, main.py 项目程序入口 setting.py 项目配置 apps 项目模块 plusins 项目插件目录创建项目 pymod create demo1 cd demo1 创建模块 pymod add mod1 启动pycharm 开始编写功能模块 一个模块默认由三个文件组成 __init__.py 、 handlers.py 、param_schemas.py 业务逻辑主要在handlers.py中编写 __init__.py from pymod.blueprint import Blueprint api = Blueprint("/mod1") from .handlers import * param_schemas.py schema_sfz = { "type": "object", "required": ["sfz", "nl"], "properties": { "sfz": { "type": "string", "minLength": 18, "maxLength": 18, "description": "身份证明号码" }, "nl": { "type": "integer", "minimum": 0, "maximum": 150, "description": "年龄" } } } handlers.py from . import api from pymod.ext import RequestHandler, params_validate,TrueResponse,FalseResponse from .param_schemas import schema_sfz from pymod.plugins import sfz_check @api.add_route('/hello') class Hello(RequestHandler): def get(self): self.write('Hello World') @params_validate(schema_sfz) def post(self): sfz = self.get_json_arg("sfz") nl =self.get_json_arg("nl") # self.write(TrueResponse(sfz=sfz, nl=nl)) if sfz_check.check_sfzmhm(sfz): self.write(TrueResponse(hint="身份证明号码验证通过")) else: self.write(FalseResponse(hint="身份证明号码验证失败")) 三、项目部署 程序调试 修改setting.py # 开发模式下 运行的模块名称必须填写 modules = ["mod1"] modules_config ={ "mod1": { "deny_ip": "", "allow_ip": "*" } } 启动程序 python main.py 调试没有问题,进入发布模式 在项目目录下 pymod pack mod1 在target目录下生成mod1.mod文件,将其复制到apps目录中 修改setting.py # 开发模式下 运行的模块名称必须填写 modules = [] 再次运行 python main.py 测试 一切OK,系统就可以发布了。说不能保密的,是没有研究过python的机制的。我做个一个项目,所有源代码自定义加密,运行时解密。
可以使用pymod对代码加密部署
先睹为快,看看一个项目发布的时候,只有几个文件,
main.py 项目程序入口
setting.py 项目配置
apps 项目模块
plusins 项目插件目录
项目发布目录一览
二、创建项目
创建项目 pymod create demo1
cd demo1
创建模块 pymod add mod1
启动pycharm 开始编写功能模块
一个模块默认由三个文件组成
__init__.py 、 handlers.py 、param_schemas.py
业务逻辑主要在handlers.py中编写
__init__.py
from pymod.blueprint import Blueprintapi = Blueprint("/mod1")from .handlers import *
param_schemas.py
schema_sfz = {
"type": "object",
"required": ["sfz", "nl"],
"properties": {
"sfz": {
"type": "string",
"minLength": 18,
"maxLength": 18,
"description": "身份证明号码"
},
"nl": {
"type": "integer",
"minimum": 0,
"maximum": 150,
"description": "年龄"
}
}
}
handlers.py
from . import api
from pymod.ext import RequestHandler, params_validate,TrueResponse,FalseResponse
from .param_schemas import schema_sfz
from pymod.plugins import sfz_check
@api.add_route('/hello')
class Hello(RequestHandler):
def get(self):
self.write('Hello World')
@params_validate(schema_sfz)
def post(self):
sfz = self.get_json_arg("sfz")
nl =self.get_json_arg("nl")
# self.write(TrueResponse(sfz=sfz, nl=nl))
if sfz_check.check_sfzmhm(sfz):
self.write(TrueResponse(hint="身份证明号码验证通过"))
else:
self.write(FalseResponse(hint="身份证明号码验证失败"))
三、项目部署
程序调试 修改setting.py
# 开发模式下 运行的模块名称必须填写
modules = ["mod1"]
modules_config ={
"mod1": {
"deny_ip": "",
"allow_ip": "*"
}
}
启动程序 python main.py
调试没有问题,进入发布模式
在项目目录下
pymod pack mod1
在target目录下生成mod1.mod文件,将其复制到apps目录中
修改setting.py
# 开发模式下 运行的模块名称必须填写
modules = []
再次运行 python main.py 测试
一切OK,系统就可以发布了。
pymod 使用指南,访问 https://pymod.cn