PyArmor-Unpacker：PyArmor加密脚本的高效解密解决方案

PyArmor-Unpacker是一款专为解密PyArmor加密脚本设计的专业工具集，提供三种不同的解密方法，帮助开发者快速恢复被保护的Python代码。无论是动态注入、完整转储还是静态分析，这款工具都能满足不同场景下的解密需求，是处理PyArmor加密文件的理想选择。

功能概述：全方位解密能力

PyArmor-Unpacker提供了三种核心解密方法，形成了一套完整的解密解决方案：

• 动态注入解密：通过内存注入技术，在程序运行时捕获解密后的代码对象
• 完整转储解密：生成完整的解密后.pyc文件，保留原始代码结构
• 静态分析解密：无需运行目标程序，直接通过静态分析实现解密（Python 3.9+专用）

工具集还包含限制模式绕过、代码对象修复等辅助功能，确保解密过程的完整性和成功率。

典型应用场景：解密需求全覆盖

学习研究场景

开发者需要分析第三方PyArmor加密库的实现原理时，PyArmor-Unpacker提供了安全合规的代码恢复途径，帮助理解加密脚本的工作机制。

软件维护场景

当原始源代码丢失但需要维护使用PyArmor加密的程序时，本工具可以帮助恢复代码，确保项目的可持续维护。

安全审计场景

安全研究人员需要对加密的Python程序进行安全审计时，可通过本工具解密代码，全面检查潜在安全隐患。

教育教学场景

在Python逆向工程教学中，PyArmor-Unpacker可作为教学工具，展示代码保护与解密的技术原理。

技术解析：解密原理深度剖析

动态注入技术原理

动态注入方法通过拦截PyArmor的加解密过程实现代码恢复。PyArmor在执行加密代码时，会调用__armor_enter__和__armor_exit__函数进行加解密操作。我们的工具通过注入代码，在这些关键节点捕获解密后的代码对象。

核心实现位于[方法一实现](https://gitcode.com/gh_mirrors/py/PyArmor-Unpacker/blob/b2cf47df05f90ed5db2742ac1bd5bf35ff952723/methods/method 1/method_1.py?utm_source=gitcode_repo_files)中，通过重写关键函数，实现对代码对象的拦截和保存。

静态分析解密机制

静态分析方法利用Python 3.9.7+引入的审计日志功能，当PyArmor调用marshal.loads加载加密代码对象时，审计钩子会被触发，从而捕获解密后的代码内容。

这种方法无需运行目标程序，通过分析字节码结构实现解密，效率更高且更安全。实现代码可参考[静态解密模块](https://gitcode.com/gh_mirrors/py/PyArmor-Unpacker/blob/b2cf47df05f90ed5db2742ac1bd5bf35ff952723/methods/method 3/bypass.py?utm_source=gitcode_repo_files)。

代码对象修复技术

解密后的代码对象通常包含PyArmor的包装代码，工具会自动执行以下修复操作：

• 移除包装头部和尾部代码
• 修复绝对跳转指令的偏移量
• 清理代码对象中的PyArmor相关名称

操作指南：三种解密方法实战

方法一：动态注入解密（推荐新手）

准备工作

1. 确保安装与目标程序相同版本的Python
2. 将method 1文件夹中的所有文件复制到目标加密脚本所在目录

执行步骤

1. 启动加密的Python脚本
2. 使用Process Hacker 2等注入工具注入PyInjector
3. 运行method_1.py文件执行解密
4. 等待解密完成

注意要点：动态注入需要目标程序处于运行状态，确保有足够的权限执行注入操作。

结果验证

运行run.py文件，验证部分解密程序是否正常工作，检查生成的解密文件完整性。

方法二：完整转储解密

准备工作

1. 确认Python环境版本匹配
2. 复制method 2文件夹中的文件到目标目录

执行步骤

1. 启动加密的Python文件
2. 使用注入工具注入PyInjector
3. 等待工具完成内存转储
4. 查看dumps目录中的解密文件

注意要点：完整转储可能需要较长时间，大型程序可能需要更多系统资源。

结果验证

检查dumps目录中生成的.pyc文件，使用反编译工具验证解密效果。

方法三：静态分析解密（Python 3.9+专用）

准备工作

1. 确保Python版本为3.9.7或更高
2. 将method 3文件夹中的文件放到目标目录

执行步骤

1. 打开终端，导航到目标目录
2. 运行命令：python3 bypass.py filename.pyc
3. 等待解密过程完成

注意要点：此方法无需运行目标程序，适用于无法执行或存在安全风险的加密文件。

结果验证

在dumps目录中找到并检查解密后的.pyc文件，确认文件大小和结构完整性。

常见问题速查

Q: 解密失败，提示Python版本不匹配怎么办？

A: 确保使用与目标程序完全相同的Python版本，PyArmor加密与Python版本高度相关，版本不匹配是解密失败的最常见原因。

Q: 静态分析方法提示不支持当前Python版本？

A: 方法三需要Python 3.9.7或更高版本，因为依赖该版本引入的审计日志功能。请升级Python或尝试其他解密方法。

Q: 解密后的代码无法正常运行怎么办？

A: 尝试使用方法二进行完整转储，或结合多种方法进行解密。部分复杂保护可能需要手动调整解密后的代码。

Q: 注入过程被杀毒软件阻止如何处理？

A: 暂时禁用实时防护或添加信任规则，确保在安全环境中操作未知来源的加密文件。

效率提升技巧

批量解密策略

对于包含多个加密文件的项目，建议编写简单的批处理脚本，自动遍历并解密所有.pyc文件，大幅提高处理效率。

解密方法选择建议

• 优先尝试方法三（静态分析），效率最高且无需执行目标程序
• 静态分析失败时，使用方法二（完整转储）获取更完整的结果
• 仅在特殊情况下使用方法一（动态注入）进行部分解密

环境配置优化

创建专用的Python虚拟环境用于解密操作，避免环境冲突。可以使用以下命令快速创建：

python -m venv unpacker-env
source unpacker-env/bin/activate  # Linux/Mac
unpacker-env\Scripts\activate  # Windows

注意事项

重要提示：使用本工具时，请确保您拥有目标文件的合法使用权，遵守相关法律法规和软件许可协议。本工具仅用于合法的学习、研究和维护目的。

• 目前不支持PyArmor v8+版本的解密
• 异步代码对象的处理可能不完善，复杂异步程序可能需要手动修复
• 解密后的代码可能需要进一步清理和重构才能完全恢复原始功能

通过PyArmor-Unpacker，您可以高效解决PyArmor加密带来的代码访问问题，无论是简单脚本还是复杂项目，都能找到合适的解密方案。掌握这些解密技术，将帮助您更好地理解Python代码保护机制，提升逆向工程能力。