В статье рассмотрен один из наиболее распространенных механизмов сокрытия используемых Windows API — Dynamic API Resolve. Разберем, как malware получает адреса DLL через PEB, парсит таблицу экспорта PE-файла, использует API Hashing и как по характерным паттернам быстро выявить данный механизм при анализе сэмплов в IDA Pro.
Асинхронность стала де-факто стандартом в backend-разработке. FastAPI, Node.js, async/await - создается ощущение, что “нормальный” сервис просто обязан обладать асинхронностью. И да, действительно, если мы разрабатываем высоконагруженную систему - с высокой конкурентностью и большим количеством I/O операций - мы используем асинхронную модель. Это даже звучит, как аксиома.
Однако, из-за этого возникает опасное упрощение: если сервис “современный”, он должен быть async по умолчанию.
На практике, это не всегда так. Более того - иногда асинхронность не даёт заметного выигрыша, а лишь утяжеляет архитектурную сложность проекта. Использование async/await меняет модель выполнения кода и порождает определённый класс ошибок, с которыми сталкивается разработчик. Разберём это утверждение подробнее:
Если хочешь на работе
Жить спокойно и легко,
Никогда не сомневайся —
Всё агенту поручай:
Доступ к почте, к базе данных,
К CRM и к кошельку.
Пусть решает без подсказок,
Что полезно, что к чему.
Если трудно разбираться,
Если скучен мануал,
Начинай скорей вайбкодить,
Чтоб прогресс не отступал.
Никогда не проверяй ты,
Что там сгенерил ИИ.
Если выглядит красиво,
Значит, правильно внутри.
Тесты — лишняя обуза.
Архитектор — старый дед.
Кинь ИИшке пару промптов,
И спокойно на обед.
Память можешь ты не тюнить,
И API не подключать.
Без контекста и подсказок
Легче миру помогать.
Если баг найти не вышло —
Не ищи, он сам уйдёт.
Просто спрячется поглубже
И спокойно там заснёт.
Если код твой без нагрузки
Две минуты прожил сам —
Заливай скорей в продакшен,
Дальше разберётся RAM.
И тогда поймут потомки,
Разбирая твой проект:
Чем умнее был агент твой,
Тем нужнее был эксперт.
А когда нужна надёжность,
Безопасность, долгий срок
Лучше думать головою, —
Не «агентом» между ног!
В «идеальном мире с пони» техническое задание для создания сайта всегда пишут либо системные аналитики, либо ещё более редкий «зверь» — технические писатели. Но в реалиях малого и среднего бизнеса, когда штат компании минимален, эта обязанность часто ложится на маркетолога.
Мне тоже доводилось писать ТЗ для сайта и совершать типовые ошибки, которые, к счастью, не привели к масштабным потерям (слава Богам). Пройдя обучение на системного аналитика и проработав маркетологом более 15 лет, я уже таких базовых ошибок не совершу.
Но для маркетологов‑новичков этот небольшой чек‑лист по ФОС, надеюсь, будет полезен.
Написал VPN-клиент на Flutter для Windows поверх xray-ядра с поддержкой протокола VLESS + Reality. Два режима работы: System Proxy и TUN через tun2socks. Разобрался с управлением дочерними процессами в Dart, сетевым роутингом на уровне ОС и работой TUN-адаптера на Windows. Ищу первых пользователей и обратную связь — исходники открыты на GitHub.
Короткий гайд
1. Установить SteamCMD - консольную программу для взаимодействия со Steam
steamcmd.exe нужно поместить в отдельную папку.
2. Запустить программу, набрать команду: login anonymous
либо login {login} {password}, если требуется авторизация
3. Набрать команду: workshop_download_item {appId} {modId}
мод будет скачан в папку: \steamapps\workshop\content\{appId}\{modId}
Надоело платить за подписки и искать «рабочие» конфиги по телеграм‑каналам, которые через день удаляют? Мне — тоже. Поэтому я собрал свой велосипед.
XolirX VPN — это полностью бесплатный сервис с современным протоколом VLESS + Reality и связкой прокси MTProto для Telegram.
Сайт выглядит как терминал, работает через кэш и держится исключительно на энтузиазме. Никакой рекламы, только схема работы, кусок кода и приглашение в наш маленький клан свободного интернета.
Год назад я написал себе маленький таск-менеджер — просто чтобы не платить за Notion. Потом добавил AI, потому что было интересно. Потом добавил платные тарифы, потому что почему бы и нет. Сейчас это Next.js 16 приложение в продакшне с реальными пользователями, Telegram-ботом и несколькими AI-провайдерами.
Статья про то, что я поломал по дороге и как починил.
В этой статье речь пойдёт об игре Minecraft. Есть модификация OpenComputers, которая добавляет в игру компьютеры, роботов, планшеты и дронов. Лет 7 назад я написал скрипт dig.lua для робота, который позволяет вскапывать заданный объём блоков. Использовать скрипт очень просто. Нужно задать параметры "dig xmin xmax ymin ymax zmin zmax". Робот стоит на координате (0, 0, 0). Ось X идёт вправо от робота, ось Y - вверх, ось Z - вперёд в глубину. После запуска скрипт выводит общее число блоков для вскапывания и сколько это будет в стаках по 64 предмета. Также желательно роботу дать обычный электрический бур из мода IndustrialCraft2. Обычные кирки будут слишком быстро ломаться. После запуска скрипта робот будет копать по слоям от верхнего к нижнему.
Скрипт можно скачать тут:
https://github.com/Scherbakov-eugene/OpenComputers-Robot-dig.lua/blob/main/dig.lua
https://disk.yandex.ru/d/B5Rc-iMgyQ5YqA
Также есть видео с подробным описанием и демонстрацией работы скрипта:
https://www.youtube.com/watch?v=Evl66A-rkhs
Территория в Minecraft не всегда ровная даже в биоме равнин (Plains). Поэтому для расчистки может пригодится робот. Вот только он в начале игры недоступен. Слишком много ресурсов требует. Также нужен сборщик (Assembler) для создания робота и потребляет он около 700 тысяч EU для создания робота. Поэтому сначала нужно создать источники энергии и только потом создавать робота. Это скорей всего будет ближе к середине-концу игры. В этом недостаток робота.
Развернул Telegram-бота на РФ-хостинге — бот молчит. ping api.telegram.org
проходит, а TCP:443 — timeout: фильтруются именно подсети Telegram на исходящем.
Webhook не спасает — проблема двусторонняя. Решение: маленький релей за рубежом
(Caddy проксирует api.telegram.org) + long-polling. ПДн при этом остаются в РФ.
В начале июня 2026 года мессенджер MAX исчез из App Store. Установленное приложение работает, но поставить клиент заново нельзя. Остаётся веб-версия — и на iPhone в Safari она не пускает. Разбираю воспроизводимый способ через Chrome и QR-вход, плюс гипотезу, почему так.
К фразе «мой бот делает X% в месяц» правильная реакция — закрыть вкладку. Я сделал свою статистику фальсифицируемой: каждый месячный срез подписан Ed25519, и проверить меня может любой одной командой openssl.
Начиналось с простой мысли: тапалки в 2024 году собрали сотни миллионов пользователей, но монеты там по сути просто записи в базе данных. А что если под кнопкой будет настоящий proof-of-work, как в Bitcoin, только с правилами, которые не превращают майнинг снова в гонку за железо? И сделать майнинг настолько простым, буквально дать возможность майнить за чашкой кофе.
Откуда вообще взялась идея.
PoW все знают по Bitcoin. Потом были Chia и другие попытки снизить порог входа - мол, у всех есть диск, значит шанс будет у всех. На практике и Bitcoin, и Chia всё равно упираются в капитал: дешёвое электричество, фермы, оптимизация софта. Домашний CPU уже давно вышел из игры, была смена алгоритмов.
Но я решил пойти другим путем и еще сильнее снизить порог входа в майнинг, но уже популярной механикой, которую попробовали уже сотни миллионов человек.
Ниже идея - как я внедрил этот протокол и как он устроен, почему commitment + challenge реально режут перебор еще до выдачи задачи, и какие цифры даёт тестовая сеть. Это не whitepaper и не призыв «заходите все». Скорее черновик для peer review: что работает, что пока сыро, что уже выложено на Github.
Статья для того, чтобы поделиться своим опытом поиска работы в Канаде как иммигрант политкорректно - ньюкамер - и выводы, к которым пришёл в процессе.
Я думаю, что все заметили, что в последнее время доступ к большинству зарубежным ресурсам и API оставляет желать лучшего. Для обычного человека потеря связи с любимыми или нужными ресурсами посреди рабочего дня — это очень неприятно. Полагаться на один зарубежный сервер стало неэффективно: узлы падают, скорость проседает. У меня у самого появилась это проблема, поэтому я захотел ее решить.
Что я решил сделать, рассказываю дальше
Discord давно перестал быть просто мессенджером для геймеров. Сегодня это платформа для сообществ, рабочих групп, клубов по интересам и даже целых компаний. Но создание сервера с нуля — процесс муторный: сотни кликов, десятки настроек, постоянные переключения между вкладками.
DS Motier решает эту проблему радикально: вы описываете сервер в обычном .txt файле, бот читает его и строит всё автоматически.
Давайте разберёмся, как это работает.
Что такое DSL v3.0
DSL (Domain-Specific Language) — язык описания структуры Discord-сервера. Версия 3.0 поддерживает всё, что может понадобиться:
— Категории, текстовые/голосовые каналы, форумы, стейджи — Роли с цветом, правами и отображением — Тикет-система с кнопками — Временные голосовые комнаты (TEMP_VOICE) — Роли по кнопкам и реакциям — Приветствия и автосообщения — Счётчики участников — Переменные и подключение файлов (INCLUDE) — Селекторы доступа allow/deny
Установка бота
История о том, как проблемный VPS, который не подошёл для VPN, случайно стал основой для Telegram LLM-бота с характером злого production-инженера. Внутри — не только про prompt engineering, а про routing, suppress-логику, cooldown, реакции, image/vision, side-effect boundary и регрессионные проверки живого бота в групповом чате.
Я живу на спутниковом интернете с RTT ~1800мс и заблокированными зарубежными сервисами. Стандартные VPN-решения либо плохо работали на высоком пинге, либо требовали настройки на каждом устройстве отдельно.
Решение — написать свою P2P меш-сеть на Go.
S.W.A.R.M. (Secure Worldwide Anonymous Routing Mesh) — децентрализованная сеть где каждый домашний сервер или роутер становится нодой. Принцип как у Meshtastic, только для интернета: чем больше участников в разных странах — тем лучше работает маршрутизация для всех.
Хочешь попасть на американский сервер — трафик идёт через ноду участника в США. Хочешь европейский контент — через ноду в Европе. Нет центрального сервера — нечего блокировать.
Под капотом: QUIC транспорт, ChaCha20-Poly1305 шифрование, прозрачный прокси через TPROXY (все устройства в LAN защищены без единой настройки на телефоне/телевизоре/приставке), геомаршрутизация, DHT-кэш пиров.
В статье — архитектура, технические решения и живая сеть из 4 нод на 3 континентах.
Кнопку «бабло» еще не придумали. Вместо этого показываю путь, который прошёл сам: от хаотичного кода и веры в «правила трейдинга» до продуманной архитектуры и честной статистики.
Разбираю по шагам: выбор стека (Go vs Python), формализация стратегии, модульная архитектура, бэктест с его минусами, демо-счёт и запуск. А так же готовый шаблон бота на GitHub, который упростит и ускорит разработку.
Когда мы придумываем новую теорию — физическую, математическую, архитектуру нейросети или новый подход к разработке — она никогда не рождается в пустоте. В голове (или в нейросети) уже живёт огромный массив предзагруженного знания: книги, статьи, паттерны, лучшие практики, модные слова.
Часть этого поля знаний помогает. Часть — мешает. И иногда мешает именно тем, что слишком старается помочь.
В этом посте я предложу метафорическую физическую модель: идея как частица, знание как поле, стереотипы как аналог поля Хиггса, а «торможение» новых концепций — как релятивистский эффект.