@xqin 之前也用 coffeescript 写了 webQQ 的但是功能太弱~

@xqin 唉~求协议~我想写个 LinuxQQ~目前从 Android hook 转发实现。。。

@realpg 想起来最近上线一个 coolapk 专版某软件然后除了文件名有个 coolapk ，整个应用都没有任何。。。

是不是 coolapk 忘了~反正类似的事情~然后专版就改了个文件名。。。

@realpg 从第 8 个字就不是洗了啊~
如果真的绝逼是新 Py 交易

@realpg 这个大概是劫持，不对啊
coolapk 不是有校验？
唉~唉~新 py 交易？
这就尴尬了 XD

@bp0 签名一致说明原作者编译签名或者签名泄露

而文件的哈希不一样说明文件变更，而文件变更属于开发的正常情况，比如多渠道，版本更新，所以哈希在开发中不应该纳入比较情况

以上，还有 LS 那些怀疑哈希的都不是写 Android 的吧 _(:з)∠)_

直接上逆向啊！
API 都可以用关键词定位到文件
一个 grep -ir 解决全部问题
顺手还能 get√签名机制

来讨论审核吧！分析的话~

沙盒 /逆向

沙盒: 改个虚拟机监控所有 API 调用，然后分析？_(:з)∠)_
逆向: 即使不利用逆向工具 bug ，不考虑法律问题，不看 C 层，从何而来足够的人力物力？

即使是沙盒那么监控周期多少适合？如果定向破坏肿么办？

所以目前最佳的审核方式就是人为举报。。。

而 Google 本身开源 Android 就有完备的第三方源采用机制，从禁用第三方源，版本升级的签名校验，权限控制，而且交给用户极大的自由度，所以良好的使用习惯能解决大部分问题。

而对于自提权之类的问题。。。打死开发者就好了，说那么多干嘛呢？

私以为话题应该转向
如何解决，做好完备的审核机制，而不是一味的官僚主义的纠责

以及技术社区居然开始讨论责任问题了~
还有技术何必为难技术~

所以诸君可以开始 block 了

@janrone 这论调我想起来快播庭审的缓存审核问题。。。

@xuboying 举报直接 @酷安小编 @八百标兵 ... 就行了

翻页

感觉啊主要问题不是 coolapk 不给予审核，而是审核产生的负面效应远大于现在

1. 审核成本
2. 意外带来的信任危机
3. coolapk 的很多应用本身就越权了，那莫非需要应用分级？

简言之: 如果谁能提供一个审核途径+背锅声明，我相信小编一定会接受¯\_( •́ω•̀ )_/¯ 然而那是不可能的~

@tastypear 酱紫不就明白了

@xqin 协议是 PC ？ web ？还是酷 Q ？又或者自己写的~

刻盘啊！安全高速，便宜，刚好就是这种一写多读的场景啊！

@moyaka 以及 dex 拆完了~求发一份~我这边一直 OOM~

建议手机断网，然后把整个 apk+data 数据全部 pull 出来并备份， QQ 国内的版本均采用了动态注入。。。和支付宝之前那个类似~但是不知道会不会随时更新~以防万一。。。

100%纯 Java ？那电量不得跑火车。。。呜~