个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
25
4
实际上,Dropbox 做得很好,他们能够保护他们用 python 制作的桌面应用程序;我对此进行了很多研究,但没有比混淆更好的解决方案了,这不是很安全的方法,你最终会看到你的代码上传到某处。
我听过 Giovanni Bajo(PyInstaller 的创始人)的一次演讲,他说 Dropbox 是这样做的:
定义下面的数字打乱
加载 8。我从来没有看过Python的源代码,所以,我不会声称我完全理解上面的话。
我需要听听专家的声音:如何做这样的事情?如果在重新编译后我将能够使用 PyInstaller 等可用工具打包我的应用程序?
更新:
我对 Dropbox 如何进行这种混淆/变异进行了一些研究,我发现了这一点:
根据 Hagen Fritsch ,他们分两个阶段进行:
他们使用 TEA 密码以及由每个 python 模块的代码对象。他们调整了翻译因此,它
a) 解密模块和
b) 防止访问解密的代码对象。
如果让 dropbox 解密所有内容并使用内置编码器转储模块,这本来是最直接的途径。
使用的另一个技巧是手动加扰操作码。不幸的是,这只能半自动修复,因此他们单字母替换密码证明在术语方面非常有效赢得一些时间。
我仍然想要更多关于如何做到这一点的见解,而且,我不知道解密是如何在这个过程中发生的......我想要所有专家的声音......普通人你在哪里。
最佳答案
我想这是关于打乱 include/opcode.h 中的数字。不过,我在那里没有看到 #define loadup,但也许它指的是一些旧的 Python 版本。我没试过这个。
这将混淆您的 .pyc 文件,以便它们无法被任何识别正常 .pyc 文件的工具检查。这可能会帮助您在程序中隐藏一些安全措施。但是,攻击者可能(例如)从您的应用程序包中提取您的自定义 Python 解释器并利用它来检查文件。 (只需启动交互式解释器并通过在模块上导入和使用 dir 来开始调查)
另请注意,您的包肯定会包含一些来自 Python 标准库的模块。如果攻击者猜测您已经打乱了操作码,他可以在您的版本和标准模块的正常版本之间进行逐字节比较,并以这种方式发现您的操作码。为了防止这种简单的攻击,可以通过适当的加密来保护模块,并尝试在解释器中隐藏解密步骤,如更新后的问题中所述。这迫使攻击者使用机器代码调试来寻找解密代码。
I don't know how the decryption happens in this process...
您将修改导入模块的解释器部分,并在那里插入您的解密 C 代码。
关于python - 通过解释器变异混淆 python 字节码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14997414/
25
4
0
我之前让 dll 注入(inject)器变得简单,但我有 Windows 7,我用 C# 和 C++ 做了它,它工作得很好!但是现在当我在 Windows 8 中尝试相同的代码时,它似乎没有以正确的方
我正在尝试制作一个名为 core-splitter 的元素,该元素在 1.0 中已弃用,因为它在我们的项目中起着关键作用。 如果您不知道 core-splitter 的作用,我可以提供一个简短的描述。
我有几个不同的蜘蛛,想一次运行所有它们。基于 this和 this ,我可以在同一个进程中运行多个蜘蛛。但是,我不知道如何设计一个信号系统来在所有蜘蛛都完成后停止 react 器。 我试过了: cra
有没有办法在达到特定条件时停止扭曲 react 器。例如,如果一个变量被设置为某个值,那么 react 器应该停止吗? 最佳答案 理想情况下,您不会将变量设置为一个值并停止 react 器,而是调用
https://code.angularjs.org/1.0.0rc9/angular-1.0.0rc9.js 上面的链接定义了外部js文件,我不知道Angular-1.0.0rc9.js的注入(in
我正在尝试运行一个函数并将服务注入(inject)其中。我认为这可以使用 $injector 轻松完成.所以我尝试了以下(简化示例): angular.injector().invoke( [ "$q
在 google Guice 中,我可以使用函数 createInjector 创建基于多个模块的注入(inject)器。 因为我使用 GWT.create 在 GoogleGin 中实例化注入(in
我在 ASP.NET Core 1.1 解决方案中使用配置绑定(bind)。基本上,我在“ConfigureServices Startup”部分中有一些用于绑定(bind)的简单代码,如下所示: s
我在 Spring MVC 中设置 initBinder 时遇到一些问题。我有一个 ModelAttribute,它有一个有时会显示的字段。 public class Model { privat
我正在尝试通过jquery post发布knockoutjs View 模型 var $form = $('#barcodeTemplate form'); var data = ko.toJS(vm
如何为包含多态对象集合的复杂模型编写自定义模型绑定(bind)程序? 我有下一个模型结构: public class CustomAttributeValueViewModel { publi
您好,我正在尝试实现我在 this article 中找到的扩展方法对于简单的注入(inject)器,因为它不支持开箱即用的特定构造函数的注册。 根据这篇文章,我需要用一个假的委托(delegate)
你好,我想自动注册我的依赖项。 我现在拥有的是: public interface IRepository where T : class public interface IFolderReposi
我正在使用 Jasmine 测试一些 Angular.js 代码。为此,我需要一个 Angular 注入(inject)器: var injector = angular.injector(['ng'
我正在使用 Matlab 代码生成器。不可能包含代码风格指南。这就是为什么我正在寻找一个工具来“ reshape ”、重命名和重新格式化生成的代码,根据我的: 功能横幅约定 文件横幅约定 命名约定 等
这个问题在这里已经有了答案: Where and why do I have to put the "template" and "typename" keywords? (8 个答案) 关闭 8
我开发了一种工具,可以更改某些程序的外观。为此,我需要在某些进程中注入(inject)一个 dll。 现在我基本上使用这个 approach .问题通常是人们无法注入(inject) dll,因为他们
我想使用 swing、spring 和 hibernate 编写一个 java 应用程序。 我想使用数据绑定(bind)器用 bean 的值填充 gui,并且我还希望它反射(reflect) gui
我有这段代码,当两个蜘蛛完成后,程序仍在运行。 #!C:\Python27\python.exe from twisted.internet import reactor from scrapy.cr
要点是 Spring Batch (v2) 测试框架具有带有 @Autowired 注释的 JobLauncherTestUtils.setJob。我们的测试套件有多个 Job 类提供者。因为这个类不
我是一名优秀的程序员,十分优秀!