0x00 背景
自己写的项目,又想保护源码,自己做个混淆是最方便的了。
0x01 实践
这里使用开源工具 GitHub - astrand/pyobfuscate: pyobfuscate,虽然git上才500多star,但是很好用。它的使用场景是混淆单个py文件。很多事物有开始就有结束,有混淆就有反混淆,所以为了增加反混淆难度,我这里先将py文件进行混淆,再把混淆后的py代码编译成pyc,这样反解难度就大大增加啦!
下面创建一个pyc_change.py 用于将py编译成pyc:
#!/usr/bin/env python
# encoding=utf-8'''
pyc 文件只有在文件被当成模块导入时才会生成。也就是说, Python 解释器认为,只有 import 进行的模块才需要被重用。 生成 pyc 文件的好处显而易见,当我们多次运行程序时,不需要重新对该模块进行重新的解释。主文件一般只需要加载一次,不会被其他模块导入,所以一般主文件不会生成 pyc 文件。所以这个脚本的功能是将所有py文件编译为pyc需要统一.pyc文件的名称,例如python3.6环境下util.py生成的.pyc文件名为util.cpython-36.py,此时直接使用:import util
会报错:ImportError: No module named 'util'
需要将util.cpython-36.pyc重命名为util.pyc
'''import compilealldef compile_run():'''将当前目录下的py文件预编译为pyc文件:return:'''compileall.compile_dir(r'./dest')if __name__ == '__main__':compile_run()
编写一个一键编译脚本a.bat:
del /F /S /Q dest
md dest
set name=yourcodename
python36 pyobfuscate-master/pyobfuscate.py yourcodename_suffix.py >dest/%name%.py
python36 pyc_change.py
move dest\__pycache__\%name%.cpython-36.pyc ./%name%.pyc
上面bat文件的意思是,先创建一个dest 目录,然后执行当前目录的 pyobfuscate-master 将yourcodename_suffix.py 进行混淆,混淆后的代码命名为yourcodename.py,再对yourcodename.py 编译成 yourcodename.pyc。
文件夹位置截图:
生成的结果在dest目录。注意一次只能混淆编译一个文件哦。
0x02 打包
打包这里介绍2种吧,一种是打zip包并执行它,常用于渗透测试。
例如参考这篇文章Python 的 zipapp:构建可执行的 Zip 应用程序-云社区-华为云,
python打zip包并执行:
$ zip hello.zip __main__.pyadding: __main__.py (stored 0%)$ python ./hello.zip Hello, World!
第二种是项目发布常用的打rpm包格式(要提前安装rpm):
fpm -s dir -t rpm -n release_engine -v 1.0.0 --iteration release --prefix /opt/test_engine/ --rpm-digest md5 --architecture x86_64 --description leeezp --package /tmp -C /tmp/zip/
-n 是rpm文件名,-v 版本信息 --prefix 是安装后解压到哪个目录,--description 为添加的描述,--package 为打包到哪个目录,-C 为将哪个目录下的文件打包成rpm。
0x03 后记
1.分享一下我的文件混淆的思路:
单个文件:混淆一层,编译为pyc。
多个文件:混淆主文件,编译为pyc。引用(import)的文件编译成pyc。
也就是说每个文件都要以pyc运行。
2.反编译网站(只可以解密一点)
python反编译 - 在线工具
.