koast

说实话 如果它指向的链接是 raw.githubcontent.com 我点进去看看作者还敢运行 这种个人域名说实话不敢。就怕它分发的内容我看到的和实际执行的不一样 或者干脆就是概率性的随机返回正常和不正常的内容。点进去看好像没啥特别的，就是调用一堆接口传进去 IP 查信息，有条件做成 serverless 托管到 cf 上之类的变成类似 curl ip.sb 这样的就没有这种顾虑了

举个例子

比如 HTTP 报文如下

```
GET /buy HTTP/1.1
Host: www.example.com
Cookies: xxxxxxxxxxxxxxx
Content-length: 501

\r\n\r\n

yyyyyyyyyyyyyyyyyyyyyZ
```

你完全可以手动开一堆 socket 连接服务器的 tcp 80 端口 然后正常发送报文头 然后服务器就知道你这个报文长度是 501 那如果你这时候只发送前 500 个 bytes 然后 flush 缓冲区会发生什么呢？服务器收到了这 500 个 bytes 但是不够 content-length 标明的 501 ，然后在不超时的时候这个报文就会在缓冲区里等待处理。那你开一堆这种没有完成的连接，在快到时间的时候每个只需要发送 1 个 byte 就能等回复了，是不是比别人握手建立连接 然后发报文头 再发 body 要快一点呢？

1. 别人跑代码的机房可能到 b 站服务器的延迟很低。
2. 别人可能提前几百毫秒建立一个连接池，然后把抢购的请求的前 N-1 个字节都发送好了，在接下来几百毫秒里挨个把连接池里每一个连接的最后一个字节发送出去。


另外，我没明白 2 楼是什么意思。意思是创建订单需要成功支付才算嘛？不是那种先创建订单，然后几分钟内付钱的类型嘛。你这个是抢 b 站的装扮我猜？要不怎么能知道别人抢到的序号。我没买过装扮，不知道具体过程是什么样的。

@guagecool 哈哈 以前研究一个相册软件的时候我也看到这个了 验证过基本上是可以的 但是也仅限于变成可读的字节码 能看到相关的文件名 包名 符号 但是各种调用如何复杂一点还是很难抽离出来的 静态分析起来就很费事 而且一旦不像是它这个一样可以改外边的库的话（差不多还是插桩解决的嘛）结构多构造复杂一点 逻辑就只能全靠动态调试和猜了。

1 楼说的对 其实更可能的情况是经过的某些 AS 的内部路由器压根就不给你反馈任何信息，你会看到中间连续好几眺都是 * * * 这很正常 别人不想暴露内部网络结构 或者干脆不想回复你的包 或者 网络压力大因此配置了概率性丢包

看起来模型和软件是分开的，那问题来了，软件里究竟打包了什么，本体就 1.2GB...