Pull to refresh
18
0
Павел @pfalcon

User

Send message
> в дивном новом мире

А ведь если подумать, на этой планетке, у этих species всегда было так. Не будем называть это «плохо» (нельзя использовать такое слово, оно offensive, dismissive and insulting), это всего лишь «double-plus-ungood» (newspeak of 1984, year written ~1948).
> Да, про f-droid вопросов нет,

Вопросы должны быть всегда. Если вы лично, или ваш близкий друг Вася, не ревьюили код (и не билдили его сами), то «голактеко в опасносте.»

И не забывайте, что отношение «верить» не является транзитивным. «Мой друг Петя верит президенту, а я верю моему другу Пете. Но это не значит, что я верю президенту.»
Это возможность на пару порядков облегчить процесс review того, что аппликуха делает. Необходимость review это не отменяет, как и простые правила: «не ставь ничего, не верь никому». (Чем больше исключений делается из этих простых правил, тем больше вероятность, что «за вами уже выехали».)
Тоже неплохо. Не буду говорить, что мой глаз до сих пор набит на эти вещи, но сдается, что скриншоты с кодом из одной тулзы, на «I» начинается, на «DA» заканчивается. А я думал я один Гидру еще не попробовал?..
Только давайте без dom, shadow dom, и прочей javascript-хренотени. Просто старый-добрый Doom на raw железе. HDMI-совместимый видеосигнал выдавать по SATA. Все должно сойтись.
Давно. Но партия как всегда, обычно от миллиона.
> Бесконечно можно смотреть

Очень правильная формулировка — именно смотреть. Если делать самому, быстро надоедает, и понимаешь, что forward engineering — более благодарное дело, чем reverse engineering. Я например reverse engineering люблю, но с какой-то высокой целью. Ну там, написать opensource драйвер для какого-то полезного железа. Но очень сочувствую всяким security researchers, у которых жизнь такая — ковыряться в грязных вонючих кишках какого-то тухлого железа или софта ;-).
Все старо как мир, десятки лет в open-source, повторено с нуля и просто своровано сотни раз. Совершенно случайные ссылки (ибо тыщщи их):

* github.com/nada-labs/jtagknocker
* www.elinux.org/JTAG_Finder
Единственно оставшийся вопрос — это все dayjob или nightjob. Судя по подписи в профиле, первое. Тогда еще не плохо. Еще не та ситуация, когда security researcher проходил мимо твоего дома с умным холодильником, и вот ты уже умираешь с голода (локдаун, ёпта!)
> Фрагмент N10, ошибочная проверка
> static int x509_get_subject_alt_name

Ну, это не совсем по адресу, этот код из mbedTLS. Не поверил бы, что вы их не сканировали, особенно учитывая, что у них bug bounty (погуглил — был, заканселили 2019-06-24: tls.mbed.org/tech-updates/blog/suspending-our-bug-bounty-program)

> Фрагмент N11, недостижимый код
> uint32_t lv_disp_get_inactive_time

Likewise, это из LittlevGL: github.com/littlevgl/lvgl.

(Zephyr вообще интегрируется с кучкой сторонних библиотек, там если вендоровские BSP просканировать, то такие перлы можно увидеть...)
Спасибо. Неравнодушные уже засабмиттали патчики для некоторых issue'сов: github.com/zephyrproject-rtos/zephyr/pull/24105.
> Глаз видимо к дизассемблеру пристрелялся.

> Серьезно — просто интересно. Без всяких претензий.

Вопрос с подколкой… У вас глаз к какому количеству мегабайт такого дизассемблера в день пристрелялся? А к скольким архитектурам, где каждый вендор из кожи вон лезет, чтобы сделать мнемоники непохожими на других (иначе другие его засудят, как же так, он назвал свою инструкцию MOV, спер наше IP!!11)?

Вы как хотите, а мы свой моск в помойку превращать не желаем. Нам-с подавайте платфорно-независимый ассемблер, с элементами структурного синтаксиса. В народе также известен как «C».
> Я давно забросил реверс. Как-то стало не интересно, что-ли.

Мой камент habr.com/ru/post/480824/#comment_21116368 выше. Пришли большие корпорации и обо%^%ли всю романтику. Также серьезно подкосил тот факт, что теперь большинство аудитории RE-тулз это не чуваки которые смотрят, «или все же закрытая библиотека не очень здорово написана» и заодно переписывают ее в OpenSource, а сецурити-рысерчеры, которые колупаются во всяких помойных бинарниках, ища старые openssl-баги. Фуууу, тошнота ;-).

> Интересный инструмент, но после даже старых версий IDA как-то не прижился.

github.com/pfalcon/ScratchABit, закос под иду версии где-то 4й. Никакой гуйни, только терминал, только хардкор. Писал по памяти, может чё не так. Главное, что никаких цэ-ха-ха и перекомпиляций. Что-то не так? Пропатчил и перезапустил.
> Кстати, а есть сейчас инструменты более легковесные, чем мощные профессиональные декомпиляторы?

Я начал пилить github.com/pfalcon/ScratchABlock до того, как за-opensource'или Binnavi, потом RetDec, потом Ghidra. Но после того, как в моей сорсо-мусорксе накопилось штук 20 сторонних проектов, и я понял, что «не нужно ждать милости от природы». OpenSource-нье той троицы разумеется серьезно изменило scene, я теперь поменьше за тем кодом, побольше на пляже ;-). Не тороплюсь, жду, может google'ы, avast'ы и nsa'и все сделают за нас, зачем напрягаться. Прям гарик из Губермана вспоминается:

Наука Коммерческий open-source в нас изменит все, что нужно,
и всех усовершенствует вполне,
мы станем добродетельно и дружно
блаженствовать — как мухи на гавне.
> потратил бы свои силы на что-то более перспективное

Дмитрий классический, не обезображенный современным миром кул-хацкерист. Перспективное он делает в рабочее время во всяких Lab126 (Amazon R&D) и Google. В свое свободное время он делает абсолютно чудесные и бесполезные штуки. Бесполезные и тем, что многие (некоторые?) проекты не Open Source, включают clause'ы вроде «cannot be used in a commercial product/service without first obtaining permission from me».

Ссылка на историю его проектов за десяток лет в одном из коментов выше.
Да ну, а курочка и яичко, а bocharoff-suxx? Или по нынешнем меркам это милый PC-talk? Или вы были в другом фидо? Кстати, «быть в другом» — универсальное решение на все времена.
Если вы с таким жизненным подоходом еще не попали на десяток-другой проектов, то лучше помогите соотечественнику (или по крайней мере со-язычнику), который пилит свой мега-движ: github.com/litehtml/litehtml
> Лично для меня, мне всегда не нравилась его стартовая (домашняя) страница

А обои — вообще г$%но!
В open source и пусть студенты допиливают.
> И вроде норм всё.

Да ну, такая слава линуха многим не дает покоя, та же Fuchsia от Гугла, которая «ну ещёёёооооо чуть-чуть» и заменит линух в андроиде.

Information

Rating
Does not participate
Location
Киев, Киевская обл., Украина
Registered
Activity