dtboy

@DreamNya 感谢，学习了，最后对 webpack 的解释是附加题，哈哈

手抖了，ctrl+enter 发布了直接...
请问 getParam 是如何定位到这里的，像我昨天去 crack 的时候，只是想到了跳过屏蔽，但是还是看了你的回复后才有思路。也就是 getParam 这个函数的操作。

另外，你懒得处理的 hook 我是这么写的(但是也有例外吧，不过针对此项目，起码不会破坏其他定时器)
let sI = window.setInterval

function holder() { }

window.setInterval = function (...args) {
let fn = args[0]
let ms = args[1]
if (fn.toString().includes('ondevtoolclose')) {
return sI.call(this, holder, ms)
} else {
return sI.apply(this, args)
}
}

@DreamNya 感谢回复和讲解
请问针对
```
根据上述情况就可以针对油猴，做一些针对性防御操作，比如核心函数完全不用对象方法让油猴无处 hook ，从而减少能破解的用户数量，来提高安全性。
当然这种针对性防御首先考验的是开发者代码水平，所有防御都是双刃剑。
```
这一段可以给一些例子，或者伪代码吗，学习一下。要是没有你的那段 getParams ，我想大多人

op 的第一个 handShake 请求没看懂.(细心老哥可以继续追)
后来 DreamNya 发现的 getParams 里面的逻辑应该是
1.生成一组用于 aes 加密的 key 和 iv
2.用 RSA 加密这个 iv 和 key ，也就是{C: '', P: ''} 加密后得到的就是请求参数中的 code
3.请求中的 param 就是用 key 和 iv 加密的 JSON.stringify({ h5Version: '',private: '', public: 'unix 时间戳' })
总结就是，用 RSA 公钥加密了 AES 加密需要的 key 和 iv ，然后又用 key 和 ivAES 加密了真正传到服务器的内容.
服务端应该是用私钥解开 code 中的 iv 和 key ，之后再用 iv 和 key 解密请求正文.

- 靠纯技术是解决不了安全性问题的,二进制是死的，人是活的，只要是死的东西就会有问题。最终解决安全性得靠法律吧。。而不是技术，毕竟踩缝纫机要可怕的多。

给 nodejs 栈同好的爆破建议是用 electron 的 preload 思路，搭配 source override(毕竟可以实时覆盖修改代码)