如何防止反编译或检查 python 代码？

Question

让我们假设有一个大型商业项目（a.k.a Project），它在后台使用 Python 来管理插件，以配置可以由 Project 附加和使用的新控制界面。

有一个小的信息泄露，项目的 Python API 的某些部分泄露给了公共信息，人们能够编写 Python 脚本，这些脚本被底层 Python 实现调用作为项目插件加载机制的一部分。

进一步，使用inspect 模块和原始__dict__ 读数，人们能够找出 Project 底层 Python 实现的主要部分。

有没有办法让 Python 密码保密？

快速浏览 Python 的文档发现了一种以这种方式抑制 inspect 模块导入的方法：

import sys
sys.modules['inspect'] = None

是否彻底解决了问题？

Answer 1

不，这不能解决问题。有人可以将检查模块重命名为其他内容并将其导入。

您尝试做的事情是不可能的。 python 解释器必须能够获取您的字节码并执行它。总有人能够反编译字节码。他们将始终能够生成 AST 并查看带有变量和类名的代码流。

请注意，此过程也可以使用已编译的语言代码完成；不同之处在于您将获得组装。一些工具可以从程序集中推断 C 结构，但我没有足够的经验来评论细节。

您想隐藏哪些具体信息？您能否保留算法服务器端，并将您的软件变成接触您的 Web 服务的客户端？将代码保存在您控制的机器上是真正控制代码的唯一方法。你不能给某人一个上锁的盒子，盒子的钥匙，并阻止他们在必须打开盒子才能运行它时打开它。这与 DRM 不起作用的原因相同。

话虽如此，逆向工程仍然可能困难，但当客户端拥有可执行文件时，这绝不是不可能的。

Answer 2

没有办法让您的应用程序代码绝对保密。

坦率地说，如果一群敬业而坚定的黑客（在良好的意义上，而不是贬义的意义上）能够破解 PlayStation 的代码签名安全模型，那么您的应用就没有机会了。一旦您将应用交到公司以外的人手中，就可以对其进行逆向工程。

现在，如果你想努力让它变得更难，你可以编译你自己的嵌入式 python 可执行文件，去掉不必要的模块，混淆编译后的 python 字节码并将其包装在一些拒绝启动你的应用程序的恶意软件 rootkit 中如果调试器正在运行。

但您应该真正考虑一下您的商业模式。如果您认为对您的产品充满热情的人是一种威胁，如果您认为那些愿意花时间和精力来定制您的产品以个性化他们的体验的人是一种危险，那么您可能需要重新考虑您的安全方法.假设您不从事 DRM 业务，或者有类似的模式需要从不情愿的消费者那里榨取资金，请考虑开发一种与用户共享信息并允许他们协作改进您的产品的方法。

Answer 3

有没有办法让 Python 密码保密？

没有。

Python 特别容易逆向工程，但其他语言，即使是编译的语言，也很容易逆向。

Answer 4

您无法完全防止软件的逆向工程 - 如果归根结底，人们总是可以分析您的程序所包含的汇编指令。

但是，您可以使该过程显着复杂化，例如通过弄乱 Python 内部结构。但是，在跳到如何 去做之前，我建议你评估一下是否 去做。通常，“窃取”您的代码（毕竟，需要完全理解它们才能扩展它们）比自己编写代码更难。然而，一个纯粹的、未混淆的 Python 插件界面对于围绕您的程序创建一个完整的生态系统至关重要，远远超过让某人窥视您可能设计不完美的编码内部结构可能带来的不利影响。