Forwarded from dnaugsuz
解析器果然是最浅的一层呢,不过也很有用
脱糖&类型检查&翻译通用指令结构的结束
代码生成真正复杂工作的开始
一些时候都没有前后端的区分,只是通过某种处理和顺序写出指令而已 感觉不多写几次很难写好啊……
脱糖&类型检查&翻译通用指令结构的结束
代码生成真正复杂工作的开始
一些时候都没有前后端的区分,只是通过某种处理和顺序写出指令而已 感觉不多写几次很难写好啊……
Forwarded from dnaugsuz
汇编层面的 CPS 会是什么样啊…… 记得 cps 理论是不 return 的,那么就是内联 continu...
不对, CPS 代表好像是 (call-with-current-continuation
不对, CPS 代表好像是 (call-with-current-continuation
Forwarded from dnaugsuz
这么看实现一门编程语言有时很简单有时很难,而难易和语言本身特性量是没有绝对关系的
懂编译原理的人未必对其它领域也很懂,其它领域的人也未必不能在短时间内设计编译器或其它目的的翻译器
完成编译器后的高亮规则也不难完成,其与各种工具的适配也有临时解决方案,所以编译器没有什么独特的地方,就像学算法也不代表能写出好东西?🤔 明白了这件事
原来人是不应该限制自己的编程领域的,不可能一招鲜吃遍天,必须广有涉猎并且也能深究一类问题 才是最好的。
懂编译原理的人未必对其它领域也很懂,其它领域的人也未必不能在短时间内设计编译器或其它目的的翻译器
完成编译器后的高亮规则也不难完成,其与各种工具的适配也有临时解决方案,所以编译器没有什么独特的地方,就像学算法也不代表能写出好东西?🤔 明白了这件事
原来人是不应该限制自己的编程领域的,不可能一招鲜吃遍天,必须广有涉猎并且也能深究一类问题 才是最好的。
#Android #net #Security #reveng pin 证书 保护服务端客户端通信不被系统信任骚扰
自己包装静态链接的 libcurl 在里面把 pin 证书做好
再使用 HikariObfuscator/Hikari
某10:
getFixedSocketFactory?
我记得我之前干小米的时候 一是干了https://github.com/android-async-http/android-async-http/blob/ca93ab08f63c7adc6743cadb8031b719f4a71e3f/library/src/main/java/com/loopj/android/http/AsyncHttpClient.java#L306
二是干了X509TrustManager
分别对应Loopj 和okhttp3 小米同时用了俩库嗯
自己包装静态链接的 libcurl 在里面把 pin 证书做好
再使用 HikariObfuscator/Hikari
某10:
getFixedSocketFactory?
我记得我之前干小米的时候 一是干了https://github.com/android-async-http/android-async-http/blob/ca93ab08f63c7adc6743cadb8031b719f4a71e3f/library/src/main/java/com/loopj/android/http/AsyncHttpClient.java#L306
二是干了X509TrustManager
分别对应Loopj 和okhttp3 小米同时用了俩库嗯
GitHub
android-async-http/android-async-http
This project under develop. Contribute to android-async-http/android-async-http development by creating an account on GitHub.
Forwarded from dnaugsuz
啊,所以说 ssl 也挺有用啊,不接系统证书就反 MITM 了,路由器也不能读取
不过其实不管 Java 还是 Native , frida.re 都有脚本解决证书信任问题 😐 感觉这个需求蛮 general 的
抓包好像并不都要设代理,但是换证书是肯定的。
问题是 lsposed 能搞 java , stripped curl ssl 基于开源又容易被搜索吧🤔 要是对方找到相应函数地址就可以 memdump 了
不过说起来只要 webapi Client 做在 Java 就很难解决 偷窥 问题吧😒 URL 要传过去,搞不好人家用别的 HTTP 客户端 replay 一次你就白费心思了
不过其实不管 Java 还是 Native , frida.re 都有脚本解决证书信任问题 😐 感觉这个需求蛮 general 的
抓包好像并不都要设代理,但是换证书是肯定的。
问题是 lsposed 能搞 java , stripped curl ssl 基于开源又容易被搜索吧🤔 要是对方找到相应函数地址就可以 memdump 了
不过说起来只要 webapi Client 做在 Java 就很难解决 偷窥 问题吧😒 URL 要传过去,搞不好人家用别的 HTTP 客户端 replay 一次你就白费心思了
Forwarded from dnaugsuz
是啊,查出 API 什么的利益可以说是足够大,又流行🤔 不会吝啬时间
一般做不完美就选择折中加行代码,少 effort 完事了吧
一般做不完美就选择折中加行代码,少 effort 完事了吧
Forwarded from dnaugsuz
关于 webapi 的封闭化我见过一次,感觉 coolapk.com 的方案也挺有效的,验证 Token 就能从源头上解决问题了。 包尽管抓,反正客户端只能是官方就行🌝
初版是 JNI 黑箱生成 verify token ,后来被盗 load 加了个包名验证
可是后来他们 publish 了一次 debug build ,正巧当时我在看这个,就给 JNI 生成的重写了
GitHub.com/duangsuse/wowcoolapk 😒 不过没有调试符号我敢保证很安全
初版是 JNI 黑箱生成 verify token ,后来被盗 load 加了个包名验证
可是后来他们 publish 了一次 debug build ,正巧当时我在看这个,就给 JNI 生成的重写了
GitHub.com/duangsuse/wowcoolapk 😒 不过没有调试符号我敢保证很安全
GitHub
duangsuse-valid-projects/WowCoolApk
😃 Compute coolapk.com API X-App-Token with Scala CLI Application - duangsuse-valid-projects/WowCoolApk
Forwarded from dnaugsuz
只能说是搞开发的有点心大,真觉得汇编就无懈可击了。忘记20年前老冯诺依曼还说不能用 assembler 呢😒
Forwarded from dnaugsuz
感觉自己对动态类型有偏见, Python 的 namedtuple 和 structs 挺方便的,但我觉得组合起来不好,不如在 Kotlin 里写一大堆传统方法的定义🤔
其实明明动态对象处理起来非常方便,也不需要反射,但就是觉得不够用还是性能可移植性差一样
其实明明动态对象处理起来非常方便,也不需要反射,但就是觉得不够用还是性能可移植性差一样
Forwarded from dnaugsuz
但是动态就有一个好,就是无需任何设计模式就能实现巨高复用
动态系语言不仅支持 coroutine 什么的,还从没有受到 JavaEE 的害,非常纯真
只有必要的定义和事件入口,没有 Adapter 什么的大堆名词
动态系语言不仅支持 coroutine 什么的,还从没有受到 JavaEE 的害,非常纯真
只有必要的定义和事件入口,没有 Adapter 什么的大堆名词
Forwarded from dnaugsuz
其实我经常用 interface cast(
静态语言当动态的用
但是碰到高复用还是只能反射
静态语言当动态的用
但是碰到高复用还是只能反射
Forwarded from dnaugsuz
类型的显隐式是相对的,强弱是相对的,而动态静态是指有没有独立的检查期,能提前查错就是静态。