PyArmor-Unpacker完全使用指南:3种高效解密方法详解
【免费下载链接】PyArmor-UnpackerA deobfuscator for PyArmor.项目地址: https://gitcode.com/gh_mirrors/py/PyArmor-Unpacker
PyArmor-Unpacker是一个专门用于解密PyArmor加密Python脚本的工具集。该项目提供了三种不同的解包方法,每种方法针对不同的使用场景和Python版本,能够有效应对PyArmor的各种加密保护机制。
项目结构与核心组件
PyArmor-Unpacker采用模块化设计,主要包含以下目录结构:
PyArmor-Unpacker/ ├── methods/ # 核心解密方法目录 │ ├── method 1/ # 方法1:基于注入的解密方案 │ │ ├── code.py │ │ ├── method_1.py │ │ ├── restrict_bypass.py │ │ └── run.py │ ├── method 2/ # 方法2:改进的注入解密方案 │ │ └── code.py │ └── method 3/ # 方法3:静态解包方案 │ └── bypass.py ├── LICENSE # 开源许可证文件 └── README.md # 项目说明文档方法目录详解
方法1:基于Python代码注入的传统解密方法,需要运行被保护程序并通过注入器加载解密脚本。
方法2:在方法1基础上改进,能够完全移除PyArmor保护,生成原始的.pyc文件。
方法3:静态解包方法,无需运行被保护程序即可完成解密,特别适用于安全分析场景。
环境准备与注意事项
在使用PyArmor-Unpacker之前,请确保满足以下条件:
- 使用与被保护程序相同版本的Python环境
- 对于Python 3.10及以上版本,绝对跳转索引会被除以2以节省存储空间
- 项目目前不支持PyArmor v8+版本
重要警告:务必在整个解密过程中使用相同版本的Python,否则将导致各种问题。
三种解密方法详细操作流程
方法1:基础注入解密
方法1适用于需要部分解密的场景,操作步骤如下:
- 将方法1目录中的所有文件复制到要解密的文件所在目录
- 运行要解密的文件
- 使用注入器(推荐Process Hacker 2)注入PyInjector
- 运行
method_1.py文件 - 使用
run.py运行部分解密的程序
该方法的核心在于通过注入Python代码来获取运行时的解密代码对象。
方法2:完全解密方案
方法2在方法1的基础上实现了完全解密,生成可直接使用的.pyc文件:
- 将方法2目录中的所有文件复制到要解密的文件所在目录
- 运行要解密的文件
- 使用注入器注入PyInjector
- 在
dumps目录中可以找到完全解密的.pyc文件 - (可选)使用反编译器如pycdc获取Python源代码
方法2的优势在于能够彻底移除PyArmor保护,还原原始代码结构。
方法3:静态解包方案(推荐)
方法3是目前最推荐的解密方案,特别适用于Python 3.9.7及以上版本:
- 将方法3目录中的所有文件复制到要解密的文件所在目录
- 在终端中运行:
python3 bypass.py filename.pyc(将filename.pyc替换为实际文件名) - 在
dumps目录中可以找到完全解密的.pyc文件 - (可选)使用反编译器获取Python源代码
重要说明:不要对3.9.7以下版本使用静态解包器,因为marshal.loads审计日志仅在3.9.7及之后版本中添加。
技术原理深度解析
PyArmor加密机制
PyArmor通过遍历每个代码对象并对其进行加密来实现保护。加密后的代码包含固定的头部和尾部包装:
包装头部: LOAD_GLOBALS N (__armor_enter__) N = co_consts长度 CALL_FUNCTION 0 POP_TOP SETUP_FINALLY X (跳转到包装尾部) X = 原始字节码大小 修改后的原始字节码: 增加每个绝对跳转指令的oparg值,增加量为包装头部的大小 混淆原始字节码 ... 包装尾部: LOAD_GLOBALS N + 1 (__armor_exit__) CALL_FUNCTION 0 POP_TOP END_FINALLY解密核心技术
审计钩子利用:方法3通过Python的审计日志机制,在marshal.loads被调用时拦截并解密代码对象。
内存补丁技术:通过修改内存中的_pytransform.dll来绕过限制模式检查。
EXTENDED_ARG处理:正确计算和处理扩展参数,确保跳转指令的准确性。
常见问题与解决方案
限制模式绕过
PyArmor默认启用限制模式1,防止在REPL环境中使用解密函数。解决方案包括:
- 使用
restrict_bypass.py脚本在内存中修补_pytransform.dll - 通过修改检查逻辑来禁用限制模式
多文件支持
项目支持同时解密多个PyArmor保护文件。当检测到目录中存在多个受保护文件时,会提示用户选择是否同时解密。
异步代码对象处理
对于包含异步代码的程序(如discord机器人),需要特殊处理以确保正确调用。
进阶使用技巧
自定义输出目录
通过修改解密脚本中的输出路径参数,可以自定义解密文件的保存位置。
批量处理优化
对于需要解密大量文件的情况,可以扩展脚本逻辑实现批量自动化处理。
项目局限性说明
当前版本存在以下已知限制:
- 不支持PyArmor v8+版本
- 3.9.7以下版本不支持静态解包
- 缺少完整的单元测试套件
贡献与社区支持
PyArmor-Unpacker是一个开源项目,欢迎社区贡献。如果您在以下方面有经验,特别需要您的帮助:
- 添加对3.9.7以下版本的静态解包支持
- 改进日志记录系统
- 添加更完善的错误处理机制
通过掌握这三种解密方法,您将能够有效应对各种PyArmor保护场景,无论是进行安全分析还是代码恢复,都能找到合适的解决方案。
【免费下载链接】PyArmor-UnpackerA deobfuscator for PyArmor.项目地址: https://gitcode.com/gh_mirrors/py/PyArmor-Unpacker
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
