PyArmor-Unpacker：Python代码恢复的多维度解决方案

2026-04-11 09:30:02作者：董宙帆

问题引入：PyArmor加密的技术挑战

在Python开发领域，代码保护与逆向工程始终存在技术对抗。PyArmor作为广泛使用的代码加密工具，通过对字节码进行混淆和加密，有效阻止了未授权的代码访问。然而，当开发者需要对加密脚本进行维护、审计或迁移时，便面临着代码恢复的技术难题。PyArmor-Unpacker作为专注于Python代码恢复的专业工具，提供了动态解密技术与静态分析工具相结合的完整解决方案，帮助开发者在合法授权范围内实现加密代码的逆向解析。

核心优势：多方法协同的技术架构

PyArmor-Unpacker的核心竞争力在于其提供的三种差异化解密路径，形成了覆盖不同场景需求的技术矩阵：

动态注入解密（方法一）

技术特点：实时内存拦截与代码捕获
适用场景：新手用户、简单加密脚本
操作复杂度：低（需基础注入工具使用能力）
解密完整性：部分解密，需后续验证

完整转储解密（方法二）

技术特点：进程内存完整快照
适用场景：中等复杂度加密项目
操作复杂度：中（需理解进程内存结构）
解密完整性：高（生成完整.pyc文件）

静态分析解密（方法三）

技术特点：Python审计日志 hook 机制
适用场景：Python 3.9+环境、无运行权限场景
操作复杂度：中（需命令行操作能力）
解密完整性：高（直接处理.pyc文件）

实施路径：系统化解密流程

环境校验阶段

在开始解密操作前，必须完成以下环境准备工作：

确认目标加密脚本的Python版本
安装匹配版本的Python环境
准备必要的辅助工具：
- Process Hacker 2（方法一、二需要）
- 终端模拟器（方法三需要）
- 反编译工具（如decompyle3，结果验证需要）

关键注意事项：Python版本不匹配是导致解密失败的首要原因，建议使用python --version命令双重确认运行环境。

核心方法实施

方法一：动态注入解密实施步骤

文件部署

# 复制方法一所需文件到目标目录
cp -r methods/method\ 1/* /path/to/target/

启动目标程序

# 在单独终端运行加密脚本
python encrypted_script.py

注入操作
- 打开Process Hacker 2
- 定位目标Python进程
- 注入PyInjector模块

执行解密

# 在目标目录运行解密脚本
python method_1.py

部分验证

# 使用run.py测试解密结果
python run.py

方法三：静态分析解密实施步骤（推荐Python 3.9+）

文件准备

# 复制静态解密工具到目标目录
cp methods/method\ 3/bypass.py /path/to/target/

执行解密命令

# 直接处理加密的.pyc文件
python3 bypass.py encrypted_file.pyc

结果定位

解密文件将生成在当前目录的dumps文件夹中

结果验证阶段

文件完整性检查

# 确认解密文件存在且非空
ls -l dumps/

反编译验证

# 使用decompyle3反编译.pyc文件
decompyle3 dumps/decrypted_file.pyc > decrypted_source.py

功能测试

# 运行解密后的代码进行功能验证
python decrypted_source.py

原理剖析：技术实现深度解析

动态解密技术原理

动态解密方法（方法一、二）基于内存拦截技术，核心在于捕获PyArmor解密后的代码对象。PyArmor在执行加密代码时，会通过__armor_enter__和__armor_exit__函数进行加解密操作。我们的工具通过在这些关键函数执行时注入钩子，实现对解密后代码对象的捕获。

动态解密流程：

目标程序加载加密模块
PyArmor调用__armor_enter__解密代码
注入工具拦截解密后的代码对象
将代码对象转储为.pyc文件
修复代码对象中的偏移量和引用

静态分析技术原理

静态分析方法（方法三）利用Python 3.9.7+引入的审计日志功能。当PyArmor调用marshal.loads加载加密代码对象时，审计钩子会被触发，使我们能够直接获取解密后的代码内容。

静态解密流程：

设置Python审计钩子
监控marshal.loads调用
捕获解密后的代码对象
保存完整代码对象到文件系统

三种方法技术对比

技术维度	动态注入解密	完整转储解密	静态分析解密
运行依赖	需运行目标程序	需运行目标程序	无需运行目标程序
Python版本要求	无特殊要求	无特殊要求	3.9.7+
内存占用	中	高	低
解密速度	快	中	快
抗检测能力	低	中	高

场景拓展：任务驱动式应用指南

任务一：解密单个PyArmor加密脚本

适用场景：独立脚本解密，快速获取源代码

实施步骤：

采用方法三静态解密流程
执行python3 bypass.py target.pyc
在dumps目录获取解密文件
使用decompyle3反编译为.py文件

任务二：处理多模块加密项目

适用场景：包含多个加密模块的复杂项目

实施步骤：

部署方法二完整转储工具
启动项目主程序
执行完整内存转储

运行批量处理脚本提取所有模块

# 假设存在批量处理脚本
python batch_extract.py dumps/

统一反编译并重组项目结构

任务三：绕过高级限制模式

适用场景：带有反调试、时间限制的加密脚本

实施步骤：

使用方法一动态注入流程

加载restrict_bypass.py模块

# 在method_1.py中导入限制绕过模块
import restrict_bypass
restrict_bypass.apply_patches()

执行解密流程
验证限制是否已绕过

问题排查指南

常见错误及解决方案

解密文件为空
- 检查Python版本是否匹配
- 确认目标程序是否正常运行
- 验证注入时机是否正确
反编译后代码无法运行
- 使用uncompyle6替代decompyle3尝试
- 检查是否存在异步代码对象
- 手动修复明显的语法错误
静态解密无反应
- 确认Python版本≥3.9.7
- 检查目标文件是否为有效.pyc文件
- 尝试使用--verbose参数查看详细日志

高级调试技巧

内存地址跟踪

# 在method_1.py中添加内存跟踪
import sys
def trace_memory(frame, event, arg):
    if event == 'call' and 'armor' in frame.f_code.co_name:
        print(f"Armor function called at {hex(id(frame))}")
sys.settrace(trace_memory)

代码对象验证

# 检查代码对象完整性
import marshal
with open('dumps/decrypted.pyc', 'rb') as f:
    f.read(16)  # 跳过魔术数和时间戳
    code_obj = marshal.load(f)
    print(f"Code object size: {len(code_obj.co_code)} bytes")

功能拓展建议

自动化工具链构建

集成反编译流程

# 创建解密-反编译一键脚本
cat > decrypt_and_decompile.sh << 'EOF'
#!/bin/bash
python3 bypass.py $1
decompyle3 dumps/$(basename $1 .pyc).pyc > $(basename $1 .pyc)_decrypted.py
EOF
chmod +x decrypt_and_decompile.sh

批量处理脚本

# batch_decrypt.py
import os
from subprocess import call

for root, dirs, files in os.walk('.'):
    for file in files:
        if file.endswith('.pyc'):
            call(['python3', 'bypass.py', os.path.join(root, file)])