技术头条 的分享
iptables 在 Android 抓包中的妙用 (paper.seebug.org)
昨天在测试一个 Android APK 的时候发现使用 WiFi 的 HTTP 代理无法抓到包,在代理的日志中没有发现任何 SSL Alert,因此可以判断不是证书问题;另外 APP 本身仍可以正常收发数据,这说明代理设置被应用绕过了。

根据我们前一篇文章(终端应用安全之网络流量分析)中所介绍的,遇到这种情况时就可以使用路由抓包方法,确保接管所有流量。但是因为端午放假被封印在家,且用于抓包的树莓派放在了公司,因此只有另谋他路。

本来接着考虑装个 DroidProxy 去试一下,但突然间灵光一闪,为什么不直接用 iptables 去修改流量呢?于是,就有了这篇小记。
by @技术头条 2023-02-12 14:10 查看详情
实战场景中 Cobaltstrike 的二次开发 (paper.seebug.org)
随着近几年HW实战的开展所有人都对Cobaltstrike不再陌生,相关安防设备一直在思考如何在流量侧/终端侧识别出CS的行踪。攻击者除了使用习惯上基于插件进行开发提效外,还有一些需要关注对抗的点来提升CS的隐藏性,我们会分两篇文章将CS在流量层面、内存层面对抗侧二次开发做出的思考实践与大家分享交流。
by @技术头条 2023-02-12 14:09 查看详情
StealthHook - 一种在不修改内存保护的情况下挂钩函数的方法 (paper.seebug.org)
最近看了一下x86matthew关于hook方法的一篇文章,相对于传统的一些hook方式,个人认为StealthHook的最大优点并不在于不修改内存保护,而是其隐蔽性,这种hook方式是难以检测的,因为其没有直接作用于目标函数。

此hook方式,实际上并没有去hook目标函数,而是通过目标函数内的子函数,去获取了进入目标函数时,栈上保存的返回地址,通过修改这个地址,即可劫持执行流程,在函数返回前,执行我们的代码。
by @技术头条 2023-02-12 14:09 查看详情
systemd 日志维护指南(附实例) (linux.cn)
systemd 内置了很多管理系统日志的功能。在本指南中,我们将介绍如何管理系统日志,并对其采取轮换、归档和清除日志等操作。我们还解释了手动系统日志清理方法和使用配置文件的变化。

希望本指南能帮助你了解 systemd 日志管理流程的基本情况。通过这些,你可以通过限制空间、清除旧的日志文件来管理系统或服务器中的日志文件所使用的磁盘空间。这些只是指导性的命令,你可以通过多种方式组合这些命令来实现你的系统需求。
by @技术头条 2023-02-12 14:08 查看详情
通过编写嵌入式系统入门边缘计算 (linux.cn)
用于操控无线调制解调器的 AT 设备包是 RTOS 最流行的扩展功能之一。

RTOS 是一个开源的嵌入式设备操作系统,由 RT-Thread 开发。它为开发者提供了标准化的、友好的基础架构,开发者可以基于各种设备编写代码,它包含大量有用的类库和工具包,使开发过程更加便捷。

RTOS 使用的是模块方式,以便于扩展,这一点跟 Linux 类似。各种软件包可以让开发者将 RTOS 用于任何想要的目标设备。RTOS 最常用的一种扩展是 AT 设备包,它包含各种不同 AT 设备(例如调制解调器)的移植文件和示例代码。

在超过 62,000 次下载中(截止至撰写本文时),最流行的 RTOS 扩展之一是 AT 设备包,其中包括用于不同 AT 设备的移植文件和示例代码。
by @技术头条 2023-02-12 14:08 查看详情
快速构建和安装干净的 ESXi 8 镜像指南 (soulteary.com)
申请的 ESXi 8 的免费授权到了,所以趁着春节假期最后一天,折腾一把。这篇文档支持 ESXi 8 及以下版本的安装镜像构建,无需麻烦的依赖安装和解决环境问题。相比较安装运行网上已经构建好的黑盒镜像,为什么不自己进行构建呢?
by @技术头条 2023-02-12 14:06 查看详情
廉价的家庭工作站设备改造记录:苹果垃圾桶(Mac Pro 2013) (soulteary.com)
聊聊最近对一台便宜的苹果老设备的使用和升级改造,以及过程中的小经验。

如果你没有在家里安静的进行长时间密集计算的需求,也不想“烧烤”你的 MacBook ,并且没有总成本低一些的要求,那么这个方案或许并不适合你。

相比之下,我更推荐采购支持 ECC 内存的搭载 13 代桌面 CPU 工作站(如 P360 之类的),功耗比、性能、可扩展性都很棒,美中不足的只有三点:体积大一些,使用的是工作频率不高的 DDR5 ECC 内存,价格会是这台设备的三倍。
by @技术头条 2023-02-12 14:06 查看详情
部署机器学习方案之困(下) (blog.nsfocus.net)
在工业环境中开发基于机器学习的解决方案包括四个阶段:数据管理、模型学习、模型验证和模型部署,而这些阶段没有严格的时间轴,在一定程度上存在并行和反馈循环。本节将讨论从业者在最后一个阶段中面临的常见问题和挑战,并讨论涉及到的其他问题。
by @技术头条 2023-02-12 14:05 查看详情
部署机器学习方案之困(上) (blog.nsfocus.net)
近年来,机器学习无论是作为学术研究领域还是实际商业问题的解决方案,都受到了越来越多的关注。然而,就像其他领域一样,在学术环境中起作用的研究和实际系统的要求之间往往存在着显著差异,所以在生产系统中部署机器学习模型可能会带来许多问题。

本文介绍一篇剑桥大学2020年发表的研究综述,其调研了在各种用例、行业和应用中部署机器学习解决方案的公开报告,提取了与机器学习部署工作流阶段对应的实际考虑因素。对于从业者而言,了解在机器学习部署的各个阶段所面临的挑战是非常重要的,本文将对这方面进行主要阐述,最后介绍潜在的解决方案,共分为上、下两篇,本篇为上篇,希望各位能从中受益并引发更多思考。
by @技术头条 2023-02-12 14:04 查看详情
隐私计算在医疗行业的应用 (blog.nsfocus.net)
隐私计算是指在提供隐私保护的前提下,实现数据价值挖掘的技术体系,目前主要包括三大核心技术,分别是:联邦学习(Federated Learning)、安全多方计算(Secure Multi-Party Computation)和可信执行环境(Trusted Execution Environment)。 隐私计算基于同态加密和密码学底层协议,可以实现“数据可用不可见”的效果,在满足法律法规和数据安全的条件下,加速数据的流转。
by @技术头条 2023-02-12 14:04 查看详情
Code:美团代码托管平台的演进与实践 (tech.meituan.com)
美团代码托管平台经过长期的打磨,完成了分布式架构的改造落地,托管数以万计的仓库,日均Git相关请求达到千万级别。本文主要介绍了美团代码托管平台在迭代演进过程中面临的挑战及解决思路,希望对大家有所帮助或启发。
by @技术头条 2023-02-12 14:03 查看详情
CSS fixed固定定位transofrm失效及居中小技巧 (www.zhangxinxu.com)

介绍个我认为最好的固定居中定位的CSS实现,以及展示transform内fixed固定定位失效的解决方法,你说不定哪天就会用到。
by @技术头条 2023-02-12 14:01 查看详情
Chrome浏览器原生支持的7种后台服务简介 (www.zhangxinxu.com)

妈呀,不知不觉中,浏览器竟然支持了这么多的Web后台服务特性,不少API我还是第一次见到。
by @技术头条 2023-02-12 14:01 查看详情
使用AbortController abort中断原生fetch或axios请求 (www.zhangxinxu.com)
AbortController可以用来终止一个或多个Web请求,大致看了下,此API可以终止fetch请求,任意响应主体和流。

日常开发,用的最多的就是对 fetch 请求的终止,由于axios(知名HTTP 库,基于promise,可以用在浏览器和node.js 中)的底层是使用fetch实现的,因此,AbortController也能用来终止axios发送的请求。
by @技术头条 2023-02-12 14:01 查看详情
同一 Entity 包含多个同类 Component 的问题 (blog.codingnow.com)
ECS 中,同一个 Entity 是否可以由多个同类型的 Component 构成?在 Unity 中,答案是可以。我们的引擎在设计之初也是可以的。
当时有一个问题:在 Lua 中,如何访问同类型的 Component ?如果有多个同类 Component ,最自然的方式是把它们放在一个数组里。但是、绝大多数情况下我们用不上这个特性,每次访问 Component 都加一次 [1] 或 [0] 的数组索引显得画蛇添足。若单个 Component 不用数组,多个才用数组,写起来又有极大的心智负担。因为这样做,它们就成了两个不同的类型。
后来,我们干脆利用 Lua 的特性,把数组和 Component 本身放在一个 table 中。如果有多个 Component 就把这个数组直接放在第一个 Component 的 table 内。就这样用了一段时间后,最后还是受不了这个脏技巧。等到用 C 编写 luaecs 后,就砍掉了这个特性。
by @技术头条 2023-02-12 14:00 查看详情
低成本搭建一台家庭存储服务器:前篇 (soulteary.com)
今年考虑专门搭建一台用于数据备份的机器,一来今年外出的需求比较多,历史的设备已经用了几年了,需要有更新的设备来“接力”;二来也想验证方案的靠谱程度,解决我接触的一些生产环境的需求以及朋友们的问题。

因为之前已经买过好几台群晖了,加上今年群晖新品的 “CPU 升级” 非常“明智”,于是我决定自建一台。
by @技术头条 2023-02-10 08:55 查看详情
在 GNOME Boxes 里的客体机和宿主机之间共享文件夹 (linux.cn)
GNOME Boxes 是一个创建和管理虚拟机的前端应用。它主要是为 GNOME 桌面开发的。然而,你可以在其他桌面环境中使用它,如 KDE Plasma 和其他环境。

在后端,它使用 QEMU、KVM 和 libvirt 技术,并提供一个易于使用的用户界面来管理多个虚拟机。

如果你想了解更多,你也可以参考关于 GNOME Boxes 创建虚拟机的这些指南。

在之前的文章中,我们已经解释了如何在virt-manager和VirtualBox中共享文件夹。而下面的步骤也解释了 GNOME Boxes 的情况。
by @技术头条 2023-02-10 08:54 查看详情
美团开放平台SDK自动生成技术与实践 (tech.meituan.com)
美团开放平台为整个美团提供了20+业务场景的开放API,为了使开发者能够快速且安全的接入美团开放平台,美团开放平台提供了多种语言的SDK来提高开发者的接入效率。本文介绍了美团开放平台如何自动生成SDK代码的相关技术实现方案,希望对大家能够有所帮助或者启发。
by @技术头条 2023-01-10 00:07 查看详情
前端原生API实现条形码二维码的JS解析识别 (www.zhangxinxu.com)
今天才知道,原来浏览器有原生的API,可以对二维码、条形码进行解析,使用非常简单!
by @技术头条 2023-01-10 00:07 查看详情
如何修复 Linux 中扬声器发出的嗡嗡声 (linux.cn)
我使用笔记本电脑很长时间了,但最近才切换到台式机上,以便进行远程工作。

我注意到我的扬声器不断发出嗡嗡声。这很烦人,让我头疼。我开始着手解决这个问题。了解问题的根本原因非常有趣。

我将分享我在 Linux 中修复扬声器嗡嗡声的经验。我发现它可以在同一硬件上对 Ubuntu、Debian 和 Pop OS 都有效。

需要考虑的一件事是,如果本指南不适合你,你可能遇到了严重的硬件问题。对于大多数用户来说,给定的方案应该可以解决问题。
by @技术头条 2023-01-05 23:24 查看详情