PyArmor 在 BCC/RFT 模式下导致进程模块枚举功能失效问题分析

问题背景

在 PyArmor 9.0.3 至 9.1.3 版本中，当使用 BCC（Bytecode Control Flow）或 RFT（Restrict Function Table）模式对 Python 代码进行混淆时，会导致 Windows 系统下的进程模块枚举功能完全失效。这一问题主要影响需要与 Windows API 交互进行进程注入或模块枚举的 Python 程序。

技术细节

受影响的功能

问题核心出现在使用 Windows API Module32First 函数枚举进程模块时。具体表现为当代码被 PyArmor 混淆后，以下关键调用会失败：

if not self.kernel32.Module32First(snap, byref(me32)):

根本原因

PyArmor 的 BCC/RFT 模式会对 Python 字节码进行深度混淆和转换，这种转换可能干扰了以下关键环节：

1. Windows API 调用机制：BCC 模式可能修改了 Python 与 C 扩展模块交互的底层机制
2. 内存访问权限：RFT 模式可能限制了必要的内存访问权限
3. 结构体传递：混淆后结构体参数传递可能出现对齐或格式问题

解决方案

开发者最终采用了替代方案，使用 psutil 库来枚举进程中的 DLL，这避免了直接调用 Windows API。psutil 提供了更高级的跨平台接口，且不受 PyArmor 混淆影响。

经验总结

1. API 调用敏感性：直接调用 Windows API 的代码对字节码混淆更为敏感
2. 替代方案选择：优先使用纯 Python 实现的高级库（如 psutil）可提高混淆兼容性
3. 测试策略：使用 PyArmor 时应特别测试涉及系统调用的功能模块

最佳实践建议

对于需要同时使用 PyArmor 混淆和系统级操作的场景，建议：

1. 将系统调用相关代码分离到独立模块
2. 对这些模块使用较低级别的混淆设置
3. 或者考虑使用 Python 原生实现替代直接系统调用
4. 在混淆前后进行全面的功能测试

这个问题展示了在代码保护与系统级功能之间的平衡考量，提醒开发者在混淆敏感代码时需要特别注意与底层系统交互的部分。