Python on Windows爆炸

版权声明:本文为博主原创文章,转载请注明出处。

前言

这几天做了一个基于python的project,使用pyinstaller进行打包。

在项目即将完成之际,经过三台PC的测试,并没有什么问题。

但是,当放到老板的两台PC上,均出现了无法运行的问题!

于是乎,离deadline也就剩下两三天了,翻车翻车。

安全性

这种虚拟机语言的安全性当然是妙不可言了,能直接反编译成源代码。

网上那些所谓的加密成pyc什么的,都是胡扯,完全没有意义。

什么?用pyinstaller做成exe?抱歉,那也没用,pyinstaller只是把py编译成pyc,然后打包放进exe壳里(如下,这些壳里面我估计嵌了个python虚拟机)。

1
2
3
4
5
6
7
8
9
Ojo-Laptop:PyInstaller hsojo$ find bootloader -type f -name "*.exe"
bootloader/Windows-32bit/run.exe
bootloader/Windows-32bit/runw_d.exe
bootloader/Windows-32bit/runw.exe
bootloader/Windows-32bit/run_d.exe
bootloader/Windows-64bit/run.exe
bootloader/Windows-64bit/runw_d.exe
bootloader/Windows-64bit/runw.exe
bootloader/Windows-64bit/run_d.exe

使用pyinstxtractor就能把pyc包分离出来,然后使用uncompyle(可使用pip安装),就能把pyc反编译回源码。

我尝试使用evb(The Enigma Protector),对Directory方式打包的exe进行打包,以为能防住pyinstxtractor了,但结果还是不行。

由于pyinstaller是把数据写在文件尾部的,但evb打包,只是在文件资源部分做手脚(估计在文件头部-中部),尾部的数据没有进行保护,所以还是轻易的被pyinstxtractor解包了。

而且修改了exe尾部数据的话,会导致pyinstaller生成的exe无法加载其打包的脚本,也就是使用pyinstaller的话,你就没有办法对脚本进行加密。

如果要进行加密,首先,得把pyinstaller的壳(exe)改造一下并重新编译,然后修改pyinstaller打包的实现部分。

当然,这样子只能防住解包工具(也许别人能通过ollydbg之类的工具,从内存里把你解密的pyc文件导出来)。

如果要真正意义上的加密,那应该就要修改python源代码了,当然这很不现实(修改之后,对现有模块的兼容性呢?),而且修改之后还要给pyinstaller重新做一套壳,这tm不就扯淡么。

而且我做的项目,一般都是小项目呀,哪受得了这样子大动干戈呀。

兼容性

安全部分吹完了,轮到在Windows下的dog shit兼容性。

是的没错,就是说windows兼容性差,我在win7和win10的机器都测试过,pyinstaller+evb打包的程序能正常运行,当我放到老板机器上的win7和win10,就全部凉了,运行全部出错。

  • win7:直接崩溃,由于没开那个什么问题报告服务,所以具体哪个组件出问题也不清楚。(后来排查发现是evb导致崩溃的,使用pyinstaller自带的File方式打包是没问题的。)
  • win10:无法加载pyqt,始终找不到原因。

当然这里面包含的原因有很多,比如:

  1. 使用精简版系统,一些核心的dll被删掉了。
  2. 被xx安全软件杀掉了。
  3. 没有装vc2015运行库(pyinstaller的壳用这套环境)。

然而老板的机器上,vc2015已经安装了,安全软件也关了,剩下的只可能是其系统有问题了。

那怎么办,我也很无奈呀,老板机器的系统总不能给你重装了吧。

windows不像linux系统那样使用包管理来安装、管理系统组件,丢文件,安装失败残余文件,被误删文件,这种情况鲜有发生。

像是python这种胶水,依托着各种各样的组件,只要缺了一个文件,导致哪个模块无法运行,那么整个程序都无法运行,然后崩溃。

所以python程序不适合作为那种无法操作目标运行环境的客户端软件,客户的操作系统是千奇百怪的(Windows的锅),而且文件过于零碎,缺了哪些也不知道,也没法修复。

而且,用户不可能因为你做的一个小程序,然后去安装整套python环境,还要用pip去安装各种模块,而且最重要的是,一般用户只知道有图标就能点,甚至在压缩包内打开程序,其他东西一概不会。

总结

python只适合做目标环境可控的软件,对于变幻莫测的客户端(仅限windows),是真的无能为力。

代码安全性堪忧,开发的软件一般只能自己用,发布出去=开源,当然如果你做的是开源软件的话,那就没关系啦。

当然,有这种安全性问题的并不只是python,什么java、c#之类的脚本语言,基本上都难逃反编译了。

所以如果要做闭源的商业软件,得上Qt/C++。

Comments

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×