]> git.saurik.com Git - ldid.git/blobdiff - ldid.cpp
projects / ldid.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
PKCS12_parse returns NULL instead of empty stacks.
[ldid.git] / ldid.cpp
diff --git a/ldid.cpp b/ldid.cpp
index 21eb77dfba877759fb2e358b489331a82045d98a..4ad9b2f06827744da417996aacc2878db85c3560 100644 (file)
--- a/ldid.cpp
+++ b/ldid.cpp
@@ -42,13 +42,50 @@
 #include <sys/stat.h>
 #include <sys/types.h>
 
 #include <sys/stat.h>
 #include <sys/types.h>
 
+#ifndef LDID_NOSMIME
 #include <openssl/err.h>
 #include <openssl/pem.h>
 #include <openssl/pkcs7.h>
 #include <openssl/pkcs12.h>
 #include <openssl/err.h>
 #include <openssl/pem.h>
 #include <openssl/pkcs7.h>
 #include <openssl/pkcs12.h>
+#endif
+
+#ifdef __APPLE__
+#include <CommonCrypto/CommonDigest.h>
+
+#define LDID_SHA1_DIGEST_LENGTH CC_SHA1_DIGEST_LENGTH
+#define LDID_SHA1 CC_SHA1
+#define LDID_SHA1_CTX CC_SHA1_CTX
+#define LDID_SHA1_Init CC_SHA1_Init
+#define LDID_SHA1_Update CC_SHA1_Update
+#define LDID_SHA1_Final CC_SHA1_Final
+
+#define LDID_SHA256_DIGEST_LENGTH CC_SHA256_DIGEST_LENGTH
+#define LDID_SHA256 CC_SHA256
+#define LDID_SHA256_CTX CC_SHA256_CTX
+#define LDID_SHA256_Init CC_SHA256_Init
+#define LDID_SHA256_Update CC_SHA256_Update
+#define LDID_SHA256_Final CC_SHA256_Final
+#else
 #include <openssl/sha.h>
 
 #include <openssl/sha.h>
 
-#include <plist/plist++.h>
+#define LDID_SHA1_DIGEST_LENGTH SHA_DIGEST_LENGTH
+#define LDID_SHA1 SHA1
+#define LDID_SHA1_CTX SHA_CTX
+#define LDID_SHA1_Init SHA1_Init
+#define LDID_SHA1_Update SHA1_Update
+#define LDID_SHA1_Final SHA1_Final
+
+#define LDID_SHA256_DIGEST_LENGTH SHA256_DIGEST_LENGTH
+#define LDID_SHA256 SHA256
+#define LDID_SHA256_CTX SHA256_CTX
+#define LDID_SHA256_Init SHA256_Init
+#define LDID_SHA256_Update SHA256_Update
+#define LDID_SHA256_Final SHA256_Final
+#endif
+
+#ifndef LDID_NOPLIST
+#include <plist/plist.h>
+#endif
 
 #include "ldid.hpp"
 
 
 #include "ldid.hpp"
 
@@ -57,14 +94,27 @@
 #define _assert__(line) \
     _assert___(line)
 
 #define _assert__(line) \
     _assert___(line)
 
+#ifndef $
+#define $(value) value
+#endif
+
+#ifdef __EXCEPTIONS
+#define _assert_(expr, format, ...) \
+    do if (!(expr)) { \
+        fprintf(stderr, $("%s(%u): _assert(): " format "\n"), __FILE__, __LINE__, ## __VA_ARGS__); \
+        throw $(__FILE__ "(" _assert__(__LINE__) "): _assert(" #expr ")"); \
+    } while (false)
+#else
+// XXX: this is not acceptable
 #define _assert_(expr, format, ...) \
     do if (!(expr)) { \
 #define _assert_(expr, format, ...) \
     do if (!(expr)) { \
-        fprintf(stderr, "%s(%u): _assert(): " format "\n", __FILE__, __LINE__, ## __VA_ARGS__); \
-        throw __FILE__ "(" _assert__(__LINE__) "): _assert(" #expr ")"; \
+        fprintf(stderr, $("%s(%u): _assert(): " format "\n"), __FILE__, __LINE__, ## __VA_ARGS__); \
+        exit(-1); \
     } while (false)
     } while (false)
+#endif
 
 #define _assert(expr) \
 
 #define _assert(expr) \
-    _assert_(expr, "%s", #expr)
+    _assert_(expr, "%s", $(#expr))
 
 #define _syscall(expr, ...) [&] { for (;;) { \
     auto _value(expr); \
 
 #define _syscall(expr, ...) [&] { for (;;) { \
     auto _value(expr); \
@@ -73,14 +123,15 @@
     int error(errno); \
     if (error == EINTR) \
         continue; \
     int error(errno); \
     if (error == EINTR) \
         continue; \
-    for (auto success : (long[]) {__VA_ARGS__}) \
+    /* XXX: EINTR is included in this list to fix g++ */ \
+    for (auto success : (long[]) {EINTR, __VA_ARGS__}) \
         if (error == success) \
             return (decltype(expr)) -success; \
     _assert_(false, "errno=%u", error); \
 } }()
 
 #define _trace() \
         if (error == success) \
             return (decltype(expr)) -success; \
     _assert_(false, "errno=%u", error); \
 } }()
 
 #define _trace() \
-    fprintf(stderr, "_trace(%s:%u): %s\n", __FILE__, __LINE__, __FUNCTION__)
+    fprintf(stderr, $("_trace(%s:%u): %s\n"), __FILE__, __LINE__, $(__FUNCTION__))
 
 #define _not(type) \
     ((type) ~ (type) 0)
 
 #define _not(type) \
     ((type) ~ (type) 0)
@@ -134,6 +185,27 @@ Scope<Function_> _scope(const Function_ &function) {
 #define _scope(function) \
     _scope_(__COUNTER__, function)
 
 #define _scope(function) \
     _scope_(__COUNTER__, function)
 
+#define CPU_ARCH_MASK  uint32_t(0xff000000)
+#define CPU_ARCH_ABI64 uint32_t(0x01000000)
+
+#define CPU_TYPE_ANY     uint32_t(-1)
+#define CPU_TYPE_VAX     uint32_t( 1)
+#define CPU_TYPE_MC680x0 uint32_t( 6)
+#define CPU_TYPE_X86     uint32_t( 7)
+#define CPU_TYPE_MC98000 uint32_t(10)
+#define CPU_TYPE_HPPA    uint32_t(11)
+#define CPU_TYPE_ARM     uint32_t(12)
+#define CPU_TYPE_MC88000 uint32_t(13)
+#define CPU_TYPE_SPARC   uint32_t(14)
+#define CPU_TYPE_I860    uint32_t(15)
+#define CPU_TYPE_POWERPC uint32_t(18)
+
+#define CPU_TYPE_I386 CPU_TYPE_X86
+
+#define CPU_TYPE_ARM64     (CPU_ARCH_ABI64 | CPU_TYPE_ARM)
+#define CPU_TYPE_POWERPC64 (CPU_ARCH_ABI64 | CPU_TYPE_POWERPC)
+#define CPU_TYPE_X86_64    (CPU_ARCH_ABI64 | CPU_TYPE_X86)
+
 struct fat_header {
     uint32_t magic;
     uint32_t nfat_arch;
 struct fat_header {
     uint32_t magic;
     uint32_t nfat_arch;
@@ -196,6 +268,16 @@ struct load_command {
 #define LC_DYLD_INFO_ONLY     uint32_t(0x22 | LC_REQ_DYLD)
 #define LC_ENCRYPTION_INFO_64 uint32_t(0x2c)
 
 #define LC_DYLD_INFO_ONLY     uint32_t(0x22 | LC_REQ_DYLD)
 #define LC_ENCRYPTION_INFO_64 uint32_t(0x2c)
 
+union Version {
+    struct {
+        uint8_t patch;
+        uint8_t minor;
+        uint16_t major;
+    } _packed;
+
+    uint32_t value;
+};
+
 struct dylib {
     uint32_t name;
     uint32_t timestamp;
 struct dylib {
     uint32_t name;
     uint32_t timestamp;
@@ -363,6 +445,7 @@ struct section_64 {
     uint32_t flags;
     uint32_t reserved1;
     uint32_t reserved2;
     uint32_t flags;
     uint32_t reserved1;
     uint32_t reserved2;
+    uint32_t reserved3;
 } _packed;
 
 struct linkedit_data_command {
 } _packed;
 
 struct linkedit_data_command {
@@ -396,15 +479,42 @@ struct encryption_info_command {
 #define BIND_OPCODE_DO_BIND_ADD_ADDR_IMM_SCALED      0xb0
 #define BIND_OPCODE_DO_BIND_ULEB_TIMES_SKIPPING_ULEB 0xc0
 
 #define BIND_OPCODE_DO_BIND_ADD_ADDR_IMM_SCALED      0xb0
 #define BIND_OPCODE_DO_BIND_ULEB_TIMES_SKIPPING_ULEB 0xc0
 
-inline void get(std::streambuf &stream, void *data, size_t size) {
-    _assert(stream.sgetn(static_cast<char *>(data), size) == size);
+static auto dummy([](double) {});
+
+static std::streamsize read(std::streambuf &stream, void *data, size_t size) {
+    auto writ(stream.sgetn(static_cast<char *>(data), size));
+    _assert(writ >= 0);
+    return writ;
+}
+
+static inline void get(std::streambuf &stream, void *data, size_t size) {
+    _assert(read(stream, data, size) == size);
 }
 
 }
 
-inline void put(std::streambuf &stream, const void *data, size_t size) {
+static inline void put(std::streambuf &stream, const void *data, size_t size) {
     _assert(stream.sputn(static_cast<const char *>(data), size) == size);
 }
 
     _assert(stream.sputn(static_cast<const char *>(data), size) == size);
 }
 
-inline void pad(std::streambuf &stream, size_t size) {
+static inline void put(std::streambuf &stream, const void *data, size_t size, const ldid::Functor<void (double)> &percent) {
+    percent(0);
+    for (size_t total(0); total != size;) {
+        auto writ(std::min(size - total, size_t(4096 * 4)));
+        _assert(stream.sputn(static_cast<const char *>(data) + total, writ) == writ);
+        total += writ;
+        percent(double(total) / size);
+    }
+}
+
+static size_t most(std::streambuf &stream, void *data, size_t size) {
+    size_t total(size);
+    while (size > 0)
+        if (auto writ = read(stream, data, size))
+            size -= writ;
+        else break;
+    return total - size;
+}
+
+static inline void pad(std::streambuf &stream, size_t size) {
     char padding[size];
     memset(padding, 0, size);
     put(stream, padding, size);
     char padding[size];
     memset(padding, 0, size);
     put(stream, padding, size);
@@ -480,9 +590,6 @@ static inline int64_t Swap(int64_t value) {
     return Swap(static_cast<uint64_t>(value));
 }
 
     return Swap(static_cast<uint64_t>(value));
 }
 
-template <typename Target_>
-class Pointer;
-
 class Swapped {
   protected:
     bool swapped_;
 class Swapped {
   protected:
     bool swapped_;
@@ -607,85 +714,30 @@ class MachHeader :
         return load_commands;
     }
 
         return load_commands;
     }
 
-    std::vector<segment_command *> GetSegments(const char *segment_name) const {
-        std::vector<struct segment_command *> segment_commands;
-
-        _foreach (load_command, GetLoadCommands()) {
-            if (Swap(load_command->cmd) == LC_SEGMENT) {
-                segment_command *segment_command = reinterpret_cast<struct segment_command *>(load_command);
-                if (strncmp(segment_command->segname, segment_name, 16) == 0)
-                    segment_commands.push_back(segment_command);
-            }
-        }
-
-        return segment_commands;
-    }
-
-    std::vector<segment_command_64 *> GetSegments64(const char *segment_name) const {
-        std::vector<struct segment_command_64 *> segment_commands;
-
-        _foreach (load_command, GetLoadCommands()) {
-            if (Swap(load_command->cmd) == LC_SEGMENT_64) {
-                segment_command_64 *segment_command = reinterpret_cast<struct segment_command_64 *>(load_command);
-                if (strncmp(segment_command->segname, segment_name, 16) == 0)
-                    segment_commands.push_back(segment_command);
-            }
-        }
-
-        return segment_commands;
-    }
-
-    std::vector<section *> GetSections(const char *segment_name, const char *section_name) const {
-        std::vector<section *> sections;
-
-        _foreach (segment, GetSegments(segment_name)) {
-            section *section = (struct section *) (segment + 1);
-
-            uint32_t sect;
-            for (sect = 0; sect != Swap(segment->nsects); ++sect) {
-                if (strncmp(section->sectname, section_name, 16) == 0)
-                    sections.push_back(section);
-                ++section;
-            }
-        }
-
-        return sections;
-    }
+    void ForSection(const ldid::Functor<void (const char *, const char *, void *, size_t)> &code) const {
+        _foreach (load_command, GetLoadCommands())
+            switch (Swap(load_command->cmd)) {
+                case LC_SEGMENT: {
+                    auto segment(reinterpret_cast<struct segment_command *>(load_command));
+                    code(segment->segname, NULL, GetOffset<void>(segment->fileoff), segment->filesize);
+                    auto section(reinterpret_cast<struct section *>(segment + 1));
+                    for (uint32_t i(0), e(Swap(segment->nsects)); i != e; ++i, ++section)
+                        code(segment->segname, section->sectname, GetOffset<void>(segment->fileoff + section->offset), section->size);
+                } break;
 
 
-    template <typename Target_>
-    Pointer<Target_> GetPointer(uint32_t address, const char *segment_name = NULL) const {
-        load_command *load_command = (struct load_command *) (mach_header_ + 1);
-        uint32_t cmd;
-
-        for (cmd = 0; cmd != Swap(mach_header_->ncmds); ++cmd) {
-            if (Swap(load_command->cmd) == LC_SEGMENT) {
-                segment_command *segment_command = (struct segment_command *) load_command;
-                if (segment_name != NULL && strncmp(segment_command->segname, segment_name, 16) != 0)
-                    goto next_command;
-
-                section *sections = (struct section *) (segment_command + 1);
-
-                uint32_t sect;
-                for (sect = 0; sect != Swap(segment_command->nsects); ++sect) {
-                    section *section = &sections[sect];
-                    //printf("%s %u %p %p %u\n", segment_command->segname, sect, address, section->addr, section->size);
-                    if (address >= Swap(section->addr) && address < Swap(section->addr) + Swap(section->size)) {
-                        //printf("0x%.8x %s\n", address, segment_command->segname);
-                        return Pointer<Target_>(this, reinterpret_cast<Target_ *>(address - Swap(section->addr) + Swap(section->offset) + (char *) mach_header_));
-                    }
-                }
+                case LC_SEGMENT_64: {
+                    auto segment(reinterpret_cast<struct segment_command_64 *>(load_command));
+                    code(segment->segname, NULL, GetOffset<void>(segment->fileoff), segment->filesize);
+                    auto section(reinterpret_cast<struct section_64 *>(segment + 1));
+                    for (uint32_t i(0), e(Swap(segment->nsects)); i != e; ++i, ++section)
+                        code(segment->segname, section->sectname, GetOffset<void>(segment->fileoff + section->offset), section->size);
+                } break;
             }
             }
-
-          next_command:
-            load_command = (struct load_command *) ((char *) load_command + Swap(load_command->cmdsize));
-        }
-
-        return Pointer<Target_>(this);
     }
 
     template <typename Target_>
     }
 
     template <typename Target_>
-    Pointer<Target_> GetOffset(uint32_t offset) {
-        return Pointer<Target_>(this, reinterpret_cast<Target_ *>(offset + (uint8_t *) mach_header_));
+    Target_ *GetOffset(uint32_t offset) const {
+        return reinterpret_cast<Target_ *>(offset + (uint8_t *) mach_header_);
     }
 };
 
     }
 };
 
@@ -756,38 +808,6 @@ class FatHeader :
     }
 };
 
     }
 };
 
-template <typename Target_>
-class Pointer {
-  private:
-    const MachHeader *framework_;
-    const Target_ *pointer_;
-
-  public:
-    Pointer(const MachHeader *framework = NULL, const Target_ *pointer = NULL) :
-        framework_(framework),
-        pointer_(pointer)
-    {
-    }
-
-    operator const Target_ *() const {
-        return pointer_;
-    }
-
-    const Target_ *operator ->() const {
-        return pointer_;
-    }
-
-    Pointer<Target_> &operator ++() {
-        ++pointer_;
-        return *this;
-    }
-
-    template <typename Value_>
-    Value_ Swap(Value_ value) {
-        return framework_->Swap(value);
-    }
-};
-
 #define CSMAGIC_REQUIREMENT            uint32_t(0xfade0c00)
 #define CSMAGIC_REQUIREMENTS           uint32_t(0xfade0c01)
 #define CSMAGIC_CODEDIRECTORY          uint32_t(0xfade0c02)
 #define CSMAGIC_REQUIREMENT            uint32_t(0xfade0c00)
 #define CSMAGIC_REQUIREMENTS           uint32_t(0xfade0c01)
 #define CSMAGIC_CODEDIRECTORY          uint32_t(0xfade0c02)
@@ -803,10 +823,14 @@ class Pointer {
 #define CSSLOT_RESOURCEDIR   uint32_t(0x00003)
 #define CSSLOT_APPLICATION   uint32_t(0x00004)
 #define CSSLOT_ENTITLEMENTS  uint32_t(0x00005)
 #define CSSLOT_RESOURCEDIR   uint32_t(0x00003)
 #define CSSLOT_APPLICATION   uint32_t(0x00004)
 #define CSSLOT_ENTITLEMENTS  uint32_t(0x00005)
+#define CSSLOT_ALTERNATE     uint32_t(0x01000)
 
 #define CSSLOT_SIGNATURESLOT uint32_t(0x10000)
 
 
 #define CSSLOT_SIGNATURESLOT uint32_t(0x10000)
 
-#define CS_HASHTYPE_SHA1 1
+#define CS_HASHTYPE_SHA160_160 1
+#define CS_HASHTYPE_SHA256_256 2
+#define CS_HASHTYPE_SHA256_160 3
+#define CS_HASHTYPE_SHA386_386 4
 
 struct BlobIndex {
     uint32_t type;
 
 struct BlobIndex {
     uint32_t type;
@@ -837,12 +861,143 @@ struct CodeDirectory {
     uint8_t spare1;
     uint8_t pageSize;
     uint32_t spare2;
     uint8_t spare1;
     uint8_t pageSize;
     uint32_t spare2;
+    uint32_t scatterOffset;
+    uint32_t teamIDOffset;
+    //uint32_t spare3;
+    //uint64_t codeLimit64;
 } _packed;
 
 } _packed;
 
+enum Kind : uint32_t {
+    exprForm = 1, // prefix expr form
+};
+
+enum ExprOp : uint32_t {
+    opFalse, // unconditionally false
+    opTrue, // unconditionally true
+    opIdent, // match canonical code [string]
+    opAppleAnchor, // signed by Apple as Apple's product
+    opAnchorHash, // match anchor [cert hash]
+    opInfoKeyValue, // *legacy* - use opInfoKeyField [key; value]
+    opAnd, // binary prefix expr AND expr [expr; expr]
+    opOr, // binary prefix expr OR expr [expr; expr]
+    opCDHash, // match hash of CodeDirectory directly [cd hash]
+    opNot, // logical inverse [expr]
+    opInfoKeyField, // Info.plist key field [string; match suffix]
+    opCertField, // Certificate field [cert index; field name; match suffix]
+    opTrustedCert, // require trust settings to approve one particular cert [cert index]
+    opTrustedCerts, // require trust settings to approve the cert chain
+    opCertGeneric, // Certificate component by OID [cert index; oid; match suffix]
+    opAppleGenericAnchor, // signed by Apple in any capacity
+    opEntitlementField, // entitlement dictionary field [string; match suffix]
+    opCertPolicy, // Certificate policy by OID [cert index; oid; match suffix]
+    opNamedAnchor, // named anchor type
+    opNamedCode, // named subroutine
+    opPlatform, // platform constraint [integer]
+    exprOpCount // (total opcode count in use)
+};
+
+enum MatchOperation {
+    matchExists, // anything but explicit "false" - no value stored
+    matchEqual, // equal (CFEqual)
+    matchContains, // partial match (substring)
+    matchBeginsWith, // partial match (initial substring)
+    matchEndsWith, // partial match (terminal substring)
+    matchLessThan, // less than (string with numeric comparison)
+    matchGreaterThan, // greater than (string with numeric comparison)
+    matchLessEqual, // less or equal (string with numeric comparison)
+    matchGreaterEqual, // greater or equal (string with numeric comparison)
+};
+
+#define OID_ISO_MEMBER 42
+#define OID_US OID_ISO_MEMBER, 134, 72
+#define APPLE_OID OID_US, 0x86, 0xf7, 0x63
+#define APPLE_ADS_OID APPLE_OID, 0x64
+#define APPLE_EXTENSION_OID APPLE_ADS_OID, 6
+
+#ifndef LDID_NOFLAGT
 extern "C" uint32_t hash(uint8_t *k, uint32_t length, uint32_t initval);
 extern "C" uint32_t hash(uint8_t *k, uint32_t length, uint32_t initval);
+#endif
+
+struct Algorithm {
+    size_t size_;
+    uint8_t type_;
 
 
-static void sha1(uint8_t *hash, const void *data, size_t size) {
-    SHA1(static_cast<const uint8_t *>(data), size, hash);
+    Algorithm(size_t size, uint8_t type) :
+        size_(size),
+        type_(type)
+    {
+    }
+
+    virtual const uint8_t *operator [](const ldid::Hash &hash) const = 0;
+
+    virtual void operator ()(uint8_t *hash, const void *data, size_t size) const = 0;
+    virtual void operator ()(ldid::Hash &hash, const void *data, size_t size) const = 0;
+    virtual void operator ()(std::vector<char> &hash, const void *data, size_t size) const = 0;
+};
+
+struct AlgorithmSHA1 :
+    Algorithm
+{
+    AlgorithmSHA1() :
+        Algorithm(LDID_SHA1_DIGEST_LENGTH, CS_HASHTYPE_SHA160_160)
+    {
+    }
+
+    virtual const uint8_t *operator [](const ldid::Hash &hash) const {
+        return hash.sha1_;
+    }
+
+    void operator ()(uint8_t *hash, const void *data, size_t size) const {
+        LDID_SHA1(static_cast<const uint8_t *>(data), size, hash);
+    }
+
+    void operator ()(ldid::Hash &hash, const void *data, size_t size) const {
+        return operator()(hash.sha1_, data, size);
+    }
+
+    void operator ()(std::vector<char> &hash, const void *data, size_t size) const {
+        hash.resize(LDID_SHA1_DIGEST_LENGTH);
+        return operator ()(reinterpret_cast<uint8_t *>(hash.data()), data, size);
+    }
+};
+
+struct AlgorithmSHA256 :
+    Algorithm
+{
+    AlgorithmSHA256() :
+        Algorithm(LDID_SHA256_DIGEST_LENGTH, CS_HASHTYPE_SHA256_256)
+    {
+    }
+
+    virtual const uint8_t *operator [](const ldid::Hash &hash) const {
+        return hash.sha256_;
+    }
+
+    void operator ()(uint8_t *hash, const void *data, size_t size) const {
+        LDID_SHA256(static_cast<const uint8_t *>(data), size, hash);
+    }
+
+    void operator ()(ldid::Hash &hash, const void *data, size_t size) const {
+        return operator()(hash.sha256_, data, size);
+    }
+
+    void operator ()(std::vector<char> &hash, const void *data, size_t size) const {
+        hash.resize(LDID_SHA256_DIGEST_LENGTH);
+        return operator ()(reinterpret_cast<uint8_t *>(hash.data()), data, size);
+    }
+};
+
+static const std::vector<Algorithm *> &GetAlgorithms() {
+    static AlgorithmSHA1 sha1;
+    static AlgorithmSHA256 sha256;
+
+    static Algorithm *array[] = {
+        &sha1,
+        &sha256,
+    };
+
+    static std::vector<Algorithm *> algorithms(array, array + sizeof(array) / sizeof(array[0]));
+    return algorithms;
 }
 
 struct CodesignAllocation {
 }
 
 struct CodesignAllocation {
@@ -864,6 +1019,7 @@ struct CodesignAllocation {
     }
 };
 
     }
 };
 
+#ifndef LDID_NOTOOLS
 class File {
   private:
     int file_;
 class File {
   private:
     int file_;
@@ -962,10 +1118,39 @@ class Map {
         return std::string(static_cast<char *>(data_), size_);
     }
 };
         return std::string(static_cast<char *>(data_), size_);
     }
 };
+#endif
 
 namespace ldid {
 
 
 namespace ldid {
 
-static void Allocate(const void *idata, size_t isize, std::streambuf &output, const Functor<size_t (size_t)> &allocate, const Functor<size_t (std::streambuf &output, size_t, const std::string &, const char *)> &save) {
+std::string Analyze(const void *data, size_t size) {
+    std::string entitlements;
+
+    FatHeader fat_header(const_cast<void *>(data), size);
+    _foreach (mach_header, fat_header.GetMachHeaders())
+        _foreach (load_command, mach_header.GetLoadCommands())
+            if (mach_header.Swap(load_command->cmd) == LC_CODE_SIGNATURE) {
+                auto signature(reinterpret_cast<struct linkedit_data_command *>(load_command));
+                auto offset(mach_header.Swap(signature->dataoff));
+                auto pointer(reinterpret_cast<uint8_t *>(mach_header.GetBase()) + offset);
+                auto super(reinterpret_cast<struct SuperBlob *>(pointer));
+
+                for (size_t index(0); index != Swap(super->count); ++index)
+                    if (Swap(super->index[index].type) == CSSLOT_ENTITLEMENTS) {
+                        auto begin(Swap(super->index[index].offset));
+                        auto blob(reinterpret_cast<struct Blob *>(pointer + begin));
+                        auto writ(Swap(blob->length) - sizeof(*blob));
+
+                        if (entitlements.empty())
+                            entitlements.assign(reinterpret_cast<char *>(blob + 1), writ);
+                        else
+                            _assert(entitlements.compare(0, entitlements.size(), reinterpret_cast<char *>(blob + 1), writ) == 0);
+                    }
+            }
+
+    return entitlements;
+}
+
+static void Allocate(const void *idata, size_t isize, std::streambuf &output, const Functor<size_t (const MachHeader &, size_t)> &allocate, const Functor<size_t (const MachHeader &, std::streambuf &output, size_t, const std::string &, const char *, const Functor<void (double)> &)> &save, const Functor<void (double)> &percent) {
     FatHeader source(const_cast<void *>(idata), isize);
 
     size_t offset(0);
     FatHeader source(const_cast<void *>(idata), isize);
 
     size_t offset(0);
@@ -1001,10 +1186,29 @@ static void Allocate(const void *idata, size_t isize, std::streambuf &output, co
             size = end;
         }
 
             size = end;
         }
 
-        size_t alloc(allocate(size));
+        size_t alloc(allocate(mach_header, size));
 
         auto *fat_arch(mach_header.GetFatArch());
 
         auto *fat_arch(mach_header.GetFatArch());
-        uint32_t align(fat_arch == NULL ? 0 : source.Swap(fat_arch->align));
+        uint32_t align;
+
+        if (fat_arch != NULL)
+            align = source.Swap(fat_arch->align);
+        else switch (mach_header.GetCPUType()) {
+            case CPU_TYPE_POWERPC:
+            case CPU_TYPE_POWERPC64:
+            case CPU_TYPE_X86:
+            case CPU_TYPE_X86_64:
+                align = 0xc;
+                break;
+            case CPU_TYPE_ARM:
+            case CPU_TYPE_ARM64:
+                align = 0xe;
+                break;
+            default:
+                align = 0x0;
+                break;
+        }
+
         offset = Align(offset, 1 << align);
 
         uint32_t limit(size);
         offset = Align(offset, 1 << align);
 
         uint32_t limit(size);
@@ -1061,7 +1265,7 @@ static void Allocate(const void *idata, size_t isize, std::streambuf &output, co
                         break;
                     size_t size(mach_header.Swap(allocation.limit_ + allocation.alloc_ - mach_header.Swap(segment_command->fileoff)));
                     segment_command->filesize = size;
                         break;
                     size_t size(mach_header.Swap(allocation.limit_ + allocation.alloc_ - mach_header.Swap(segment_command->fileoff)));
                     segment_command->filesize = size;
-                    segment_command->vmsize = Align(size, PageSize_);
+                    segment_command->vmsize = Align(size, 1 << allocation.align_);
                 } break;
 
                 case LC_SEGMENT_64: {
                 } break;
 
                 case LC_SEGMENT_64: {
@@ -1070,7 +1274,7 @@ static void Allocate(const void *idata, size_t isize, std::streambuf &output, co
                         break;
                     size_t size(mach_header.Swap(allocation.limit_ + allocation.alloc_ - mach_header.Swap(segment_command->fileoff)));
                     segment_command->filesize = size;
                         break;
                     size_t size(mach_header.Swap(allocation.limit_ + allocation.alloc_ - mach_header.Swap(segment_command->fileoff)));
                     segment_command->filesize = size;
-                    segment_command->vmsize = Align(size, PageSize_);
+                    segment_command->vmsize = Align(size, 1 << allocation.align_);
                 } break;
             }
 
                 } break;
             }
 
@@ -1126,15 +1330,17 @@ static void Allocate(const void *idata, size_t isize, std::streambuf &output, co
         std::string overlap(altern.str());
         overlap.append(top + overlap.size(), Align(overlap.size(), 0x1000) - overlap.size());
 
         std::string overlap(altern.str());
         overlap.append(top + overlap.size(), Align(overlap.size(), 0x1000) - overlap.size());
 
-        put(output, top + (position - begin), allocation.size_ - (position - begin));
+        put(output, top + (position - begin), allocation.size_ - (position - begin), percent);
         position = begin + allocation.size_;
 
         pad(output, allocation.limit_ - allocation.size_);
         position += allocation.limit_ - allocation.size_;
 
         position = begin + allocation.size_;
 
         pad(output, allocation.limit_ - allocation.size_);
         position += allocation.limit_ - allocation.size_;
 
-        size_t saved(save(output, allocation.limit_, overlap, top));
+        size_t saved(save(mach_header, output, allocation.limit_, overlap, top, percent));
         if (allocation.alloc_ > saved)
             pad(output, allocation.alloc_ - saved);
         if (allocation.alloc_ > saved)
             pad(output, allocation.alloc_ - saved);
+        else
+            _assert(allocation.alloc_ == saved);
         position += allocation.alloc_;
     }
 }
         position += allocation.alloc_;
     }
 }
@@ -1148,13 +1354,15 @@ static void insert(Blobs &blobs, uint32_t slot, const std::stringbuf &buffer) {
     std::swap(blobs[slot], value);
 }
 
     std::swap(blobs[slot], value);
 }
 
-static void insert(Blobs &blobs, uint32_t slot, uint32_t magic, const std::stringbuf &buffer) {
+static const std::string &insert(Blobs &blobs, uint32_t slot, uint32_t magic, const std::stringbuf &buffer) {
     auto value(buffer.str());
     Blob blob;
     blob.magic = Swap(magic);
     blob.length = Swap(uint32_t(sizeof(blob) + value.size()));
     value.insert(0, reinterpret_cast<char *>(&blob), sizeof(blob));
     auto value(buffer.str());
     Blob blob;
     blob.magic = Swap(magic);
     blob.length = Swap(uint32_t(sizeof(blob) + value.size()));
     value.insert(0, reinterpret_cast<char *>(&blob), sizeof(blob));
-    std::swap(blobs[slot], value);
+    auto &save(blobs[slot]);
+    std::swap(save, value);
+    return save;
 }
 
 static size_t put(std::streambuf &output, uint32_t magic, const Blobs &blobs) {
 }
 
 static size_t put(std::streambuf &output, uint32_t magic, const Blobs &blobs) {
@@ -1184,6 +1392,7 @@ static size_t put(std::streambuf &output, uint32_t magic, const Blobs &blobs) {
     return offset;
 }
 
     return offset;
 }
 
+#ifndef LDID_NOSMIME
 class Buffer {
   private:
     BIO *bio_;
 class Buffer {
   private:
     BIO *bio_;
@@ -1245,8 +1454,13 @@ class Stuff {
     {
         _assert(value_ != NULL);
         _assert(PKCS12_parse(value_, "", &key_, &cert_, &ca_) != 0);
     {
         _assert(value_ != NULL);
         _assert(PKCS12_parse(value_, "", &key_, &cert_, &ca_) != 0);
+
         _assert(key_ != NULL);
         _assert(cert_ != NULL);
         _assert(key_ != NULL);
         _assert(cert_ != NULL);
+
+        if (ca_ == NULL)
+            ca_ = sk_X509_new_null();
+        _assert(ca_ != NULL);
     }
 
     Stuff(const std::string &data) :
     }
 
     Stuff(const std::string &data) :
@@ -1283,10 +1497,35 @@ class Signature {
     PKCS7 *value_;
 
   public:
     PKCS7 *value_;
 
   public:
-    Signature(const Stuff &stuff, const Buffer &data) :
-        value_(PKCS7_sign(stuff, stuff, stuff, data, PKCS7_BINARY | PKCS7_DETACHED))
-    {
+    Signature(const Stuff &stuff, const Buffer &data, const std::string &xml) {
+        value_ = PKCS7_new();
         _assert(value_ != NULL);
         _assert(value_ != NULL);
+
+        _assert(PKCS7_set_type(value_, NID_pkcs7_signed));
+        _assert(PKCS7_content_new(value_, NID_pkcs7_data));
+
+        STACK_OF(X509) *certs(stuff);
+        for (unsigned i(0), e(sk_X509_num(certs)); i != e; i++)
+            _assert(PKCS7_add_certificate(value_, sk_X509_value(certs, e - i - 1)));
+
+        auto info(PKCS7_sign_add_signer(value_, stuff, stuff, NULL, PKCS7_NOSMIMECAP));
+        _assert(info != NULL);
+
+        PKCS7_set_detached(value_, 1);
+
+        ASN1_OCTET_STRING *string(ASN1_OCTET_STRING_new());
+        _assert(string != NULL);
+        try {
+            _assert(ASN1_STRING_set(string, xml.data(), xml.size()));
+
+            static auto nid(OBJ_create("1.2.840.113635.100.9.1", "", ""));
+            _assert(PKCS7_add_signed_attribute(info, nid, V_ASN1_OCTET_STRING, string));
+        } catch (...) {
+            ASN1_OCTET_STRING_free(string);
+            throw;
+        }
+
+        _assert(PKCS7_final(value_, data, PKCS7_BINARY));
     }
 
     ~Signature() {
     }
 
     ~Signature() {
@@ -1297,6 +1536,7 @@ class Signature {
         return value_;
     }
 };
         return value_;
     }
 };
+#endif
 
 class NullBuffer :
     public std::streambuf
 
 class NullBuffer :
     public std::streambuf
@@ -1311,27 +1551,36 @@ class NullBuffer :
     }
 };
 
     }
 };
 
+class Digest {
+  public:
+    uint8_t sha1_[LDID_SHA1_DIGEST_LENGTH];
+};
+
 class HashBuffer :
     public std::streambuf
 {
   private:
 class HashBuffer :
     public std::streambuf
 {
   private:
-    std::vector<char> &hash_;
-    SHA_CTX context_;
+    ldid::Hash &hash_;
+
+    LDID_SHA1_CTX sha1_;
+    LDID_SHA256_CTX sha256_;
 
   public:
 
   public:
-    HashBuffer(std::vector<char> &hash) :
+    HashBuffer(ldid::Hash &hash) :
         hash_(hash)
     {
         hash_(hash)
     {
-        SHA1_Init(&context_);
+        LDID_SHA1_Init(&sha1_);
+        LDID_SHA256_Init(&sha256_);
     }
 
     ~HashBuffer() {
     }
 
     ~HashBuffer() {
-        hash_.resize(SHA_DIGEST_LENGTH);
-        SHA1_Final(reinterpret_cast<uint8_t *>(hash_.data()), &context_);
+        LDID_SHA1_Final(reinterpret_cast<uint8_t *>(hash_.sha1_), &sha1_);
+        LDID_SHA256_Final(reinterpret_cast<uint8_t *>(hash_.sha256_), &sha256_);
     }
 
     virtual std::streamsize xsputn(const char_type *data, std::streamsize size) {
     }
 
     virtual std::streamsize xsputn(const char_type *data, std::streamsize size) {
-        SHA1_Update(&context_, data, size);
+        LDID_SHA1_Update(&sha1_, data, size);
+        LDID_SHA256_Update(&sha256_, data, size);
         return size;
     }
 
         return size;
     }
 
@@ -1351,7 +1600,7 @@ class HashProxy :
     std::streambuf &buffer_;
 
   public:
     std::streambuf &buffer_;
 
   public:
-    HashProxy(std::vector<char> &hash, std::streambuf &buffer) :
+    HashProxy(ldid::Hash &hash, std::streambuf &buffer) :
         HashBuffer(hash),
         buffer_(buffer)
     {
         HashBuffer(hash),
         buffer_(buffer)
     {
@@ -1363,6 +1612,7 @@ class HashProxy :
     }
 };
 
     }
 };
 
+#ifndef LDID_NOTOOLS
 static bool Starts(const std::string &lhs, const std::string &rhs) {
     return lhs.size() >= rhs.size() && lhs.compare(0, rhs.size(), rhs) == 0;
 }
 static bool Starts(const std::string &lhs, const std::string &rhs) {
     return lhs.size() >= rhs.size() && lhs.compare(0, rhs.size(), rhs) == 0;
 }
@@ -1386,8 +1636,13 @@ class Split {
 static void mkdir_p(const std::string &path) {
     if (path.empty())
         return;
 static void mkdir_p(const std::string &path) {
     if (path.empty())
         return;
+#ifdef __WIN32__
+    if (_syscall(mkdir(path.c_str()), EEXIST) == -EEXIST)
+        return;
+#else
     if (_syscall(mkdir(path.c_str(), 0755), EEXIST) == -EEXIST)
         return;
     if (_syscall(mkdir(path.c_str(), 0755), EEXIST) == -EEXIST)
         return;
+#endif
     auto slash(path.rfind('/', path.size() - 1));
     if (slash == std::string::npos)
         return;
     auto slash(path.rfind('/', path.size() - 1));
     if (slash == std::string::npos)
         return;
@@ -1412,18 +1667,111 @@ static void Commit(const std::string &path, const std::string &temp) {
 
     _syscall(rename(temp.c_str(), path.c_str()));
 }
 
     _syscall(rename(temp.c_str(), path.c_str()));
 }
+#endif
 
 namespace ldid {
 
 
 namespace ldid {
 
-void Sign(const void *idata, size_t isize, std::streambuf &output, const std::string &identifier, const std::string &entitlements, const std::string &key, const Slots &slots) {
-    Allocate(idata, isize, output, fun([&](size_t size) -> size_t {
+static void get(std::string &value, X509_NAME *name, int nid) {
+    auto index(X509_NAME_get_index_by_NID(name, nid, -1));
+    _assert(index >= 0);
+    auto next(X509_NAME_get_index_by_NID(name, nid, index));
+    _assert(next == -1);
+    auto entry(X509_NAME_get_entry(name, index));
+    _assert(entry != NULL);
+    auto asn(X509_NAME_ENTRY_get_data(entry));
+    _assert(asn != NULL);
+    value.assign(reinterpret_cast<char *>(ASN1_STRING_data(asn)), ASN1_STRING_length(asn));
+}
+
+static void req(std::streambuf &buffer, uint32_t value) {
+    value = Swap(value);
+    put(buffer, &value, sizeof(value));
+}
+
+static void req(std::streambuf &buffer, const std::string &value) {
+    req(buffer, value.size());
+    put(buffer, value.data(), value.size());
+    static uint8_t zeros[] = {0,0,0,0};
+    put(buffer, zeros, 3 - (value.size() + 3) % 4);
+}
+
+template <size_t Size_>
+static void req(std::streambuf &buffer, uint8_t (&&data)[Size_]) {
+    req(buffer, Size_);
+    put(buffer, data, Size_);
+    static uint8_t zeros[] = {0,0,0,0};
+    put(buffer, zeros, 3 - (Size_ + 3) % 4);
+}
+
+Hash Sign(const void *idata, size_t isize, std::streambuf &output, const std::string &identifier, const std::string &entitlements, const std::string &requirements, const std::string &key, const Slots &slots, const Functor<void (double)> &percent) {
+    Hash hash;
+
+
+    std::string team;
+    std::string common;
+
+#ifndef LDID_NOSMIME
+    if (!key.empty()) {
+        Stuff stuff(key);
+        auto name(X509_get_subject_name(stuff));
+        _assert(name != NULL);
+        get(team, name, NID_organizationalUnitName);
+        get(common, name, NID_commonName);
+    }
+#endif
+
+
+    std::stringbuf backing;
+
+    if (!requirements.empty()) {
+        put(backing, requirements.data(), requirements.size());
+    } else {
+        Blobs blobs;
+
+        std::stringbuf requirement;
+        req(requirement, exprForm);
+        req(requirement, opAnd);
+        req(requirement, opIdent);
+        req(requirement, identifier);
+        req(requirement, opAnd);
+        req(requirement, opAppleGenericAnchor);
+        req(requirement, opAnd);
+        req(requirement, opCertField);
+        req(requirement, 0);
+        req(requirement, "subject.CN");
+        req(requirement, matchEqual);
+        req(requirement, common);
+        req(requirement, opCertGeneric);
+        req(requirement, 1);
+        req(requirement, (uint8_t []) {APPLE_EXTENSION_OID, 2, 1});
+        req(requirement, matchExists);
+        insert(blobs, 3, CSMAGIC_REQUIREMENT, requirement);
+
+        put(backing, CSMAGIC_REQUIREMENTS, blobs);
+    }
+
+
+    // XXX: this is just a "sufficiently large number"
+    size_t certificate(0x3000);
+
+    Allocate(idata, isize, output, fun([&](const MachHeader &mach_header, size_t size) -> size_t {
         size_t alloc(sizeof(struct SuperBlob));
 
         size_t alloc(sizeof(struct SuperBlob));
 
+        uint32_t normal((size + PageSize_ - 1) / PageSize_);
+
         uint32_t special(0);
 
         uint32_t special(0);
 
+        _foreach (slot, slots)
+            special = std::max(special, slot.first);
+
+        mach_header.ForSection(fun([&](const char *segment, const char *section, void *data, size_t size) {
+            if (strcmp(segment, "__TEXT") == 0 && section != NULL && strcmp(section, "__info_plist") == 0)
+                special = std::max(special, CSSLOT_INFOSLOT);
+        }));
+
         special = std::max(special, CSSLOT_REQUIREMENTS);
         alloc += sizeof(struct BlobIndex);
         special = std::max(special, CSSLOT_REQUIREMENTS);
         alloc += sizeof(struct BlobIndex);
-        alloc += 0xc;
+        alloc += backing.str().size();
 
         if (!entitlements.empty()) {
             special = std::max(special, CSSLOT_ENTITLEMENTS);
 
         if (!entitlements.empty()) {
             special = std::max(special, CSSLOT_ENTITLEMENTS);
@@ -1432,35 +1780,33 @@ void Sign(const void *idata, size_t isize, std::streambuf &output, const std::st
             alloc += entitlements.size();
         }
 
             alloc += entitlements.size();
         }
 
-        special = std::max(special, CSSLOT_CODEDIRECTORY);
-        alloc += sizeof(struct BlobIndex);
-        alloc += sizeof(struct Blob);
-        alloc += sizeof(struct CodeDirectory);
-        alloc += identifier.size() + 1;
+        size_t directory(0);
+
+        directory += sizeof(struct BlobIndex);
+        directory += sizeof(struct Blob);
+        directory += sizeof(struct CodeDirectory);
+        directory += identifier.size() + 1;
 
 
+        if (!team.empty())
+            directory += team.size() + 1;
+
+        for (Algorithm *algorithm : GetAlgorithms())
+            alloc = Align(alloc + directory + (special + normal) * algorithm->size_, 16);
+
+#ifndef LDID_NOSMIME
         if (!key.empty()) {
             alloc += sizeof(struct BlobIndex);
             alloc += sizeof(struct Blob);
         if (!key.empty()) {
             alloc += sizeof(struct BlobIndex);
             alloc += sizeof(struct Blob);
-            // XXX: this is just a "sufficiently large number"
-            alloc += 0x3000;
+            alloc += certificate;
         }
         }
+#endif
 
 
-        _foreach (slot, slots)
-            special = std::max(special, slot.first);
-
-        uint32_t normal((size + PageSize_ - 1) / PageSize_);
-        alloc = Align(alloc + (special + normal) * SHA_DIGEST_LENGTH, 16);
         return alloc;
         return alloc;
-    }), fun([&](std::streambuf &output, size_t limit, const std::string &overlap, const char *top) -> size_t {
+    }), fun([&](const MachHeader &mach_header, std::streambuf &output, size_t limit, const std::string &overlap, const char *top, const Functor<void (double)> &percent) -> size_t {
         Blobs blobs;
 
         if (true) {
         Blobs blobs;
 
         if (true) {
-            std::stringbuf data;
-
-            Blobs requirements;
-            put(data, CSMAGIC_REQUIREMENTS, requirements);
-
-            insert(blobs, CSSLOT_REQUIREMENTS, data);
+            insert(blobs, CSSLOT_REQUIREMENTS, backing);
         }
 
         if (!entitlements.empty()) {
         }
 
         if (!entitlements.empty()) {
@@ -1469,87 +1815,157 @@ void Sign(const void *idata, size_t isize, std::streambuf &output, const std::st
             insert(blobs, CSSLOT_ENTITLEMENTS, CSMAGIC_EMBEDDED_ENTITLEMENTS, data);
         }
 
             insert(blobs, CSSLOT_ENTITLEMENTS, CSMAGIC_EMBEDDED_ENTITLEMENTS, data);
         }
 
-        if (true) {
+        Slots posts(slots);
+
+        mach_header.ForSection(fun([&](const char *segment, const char *section, void *data, size_t size) {
+            if (strcmp(segment, "__TEXT") == 0 && section != NULL && strcmp(section, "__info_plist") == 0) {
+                auto &slot(posts[CSSLOT_INFOSLOT]);
+                for (Algorithm *algorithm : GetAlgorithms())
+                    (*algorithm)(slot, data, size);
+            }
+        }));
+
+        unsigned total(0);
+        for (Algorithm *pointer : GetAlgorithms()) {
+            Algorithm &algorithm(*pointer);
+
             std::stringbuf data;
 
             uint32_t special(0);
             _foreach (blob, blobs)
                 special = std::max(special, blob.first);
             std::stringbuf data;
 
             uint32_t special(0);
             _foreach (blob, blobs)
                 special = std::max(special, blob.first);
-            _foreach (slot, slots)
+            _foreach (slot, posts)
                 special = std::max(special, slot.first);
             uint32_t normal((limit + PageSize_ - 1) / PageSize_);
 
             CodeDirectory directory;
                 special = std::max(special, slot.first);
             uint32_t normal((limit + PageSize_ - 1) / PageSize_);
 
             CodeDirectory directory;
-            directory.version = Swap(uint32_t(0x00020001));
+            directory.version = Swap(uint32_t(0x00020200));
             directory.flags = Swap(uint32_t(0));
             directory.flags = Swap(uint32_t(0));
-            directory.hashOffset = Swap(uint32_t(sizeof(Blob) + sizeof(CodeDirectory) + identifier.size() + 1 + SHA_DIGEST_LENGTH * special));
-            directory.identOffset = Swap(uint32_t(sizeof(Blob) + sizeof(CodeDirectory)));
             directory.nSpecialSlots = Swap(special);
             directory.codeLimit = Swap(uint32_t(limit));
             directory.nCodeSlots = Swap(normal);
             directory.nSpecialSlots = Swap(special);
             directory.codeLimit = Swap(uint32_t(limit));
             directory.nCodeSlots = Swap(normal);
-            directory.hashSize = SHA_DIGEST_LENGTH;
-            directory.hashType = CS_HASHTYPE_SHA1;
+            directory.hashSize = algorithm.size_;
+            directory.hashType = algorithm.type_;
             directory.spare1 = 0x00;
             directory.pageSize = PageShift_;
             directory.spare2 = Swap(uint32_t(0));
             directory.spare1 = 0x00;
             directory.pageSize = PageShift_;
             directory.spare2 = Swap(uint32_t(0));
+            directory.scatterOffset = Swap(uint32_t(0));
+            //directory.spare3 = Swap(uint32_t(0));
+            //directory.codeLimit64 = Swap(uint64_t(0));
+
+            uint32_t offset(sizeof(Blob) + sizeof(CodeDirectory));
+
+            directory.identOffset = Swap(uint32_t(offset));
+            offset += identifier.size() + 1;
+
+            if (team.empty())
+                directory.teamIDOffset = Swap(uint32_t(0));
+            else {
+                directory.teamIDOffset = Swap(uint32_t(offset));
+                offset += team.size() + 1;
+            }
+
+            offset += special * algorithm.size_;
+            directory.hashOffset = Swap(uint32_t(offset));
+            offset += normal * algorithm.size_;
+
             put(data, &directory, sizeof(directory));
 
             put(data, identifier.c_str(), identifier.size() + 1);
             put(data, &directory, sizeof(directory));
 
             put(data, identifier.c_str(), identifier.size() + 1);
+            if (!team.empty())
+                put(data, team.c_str(), team.size() + 1);
 
 
-            uint8_t storage[special + normal][SHA_DIGEST_LENGTH];
-            uint8_t (*hashes)[SHA_DIGEST_LENGTH] = storage + special;
+            std::vector<uint8_t> storage((special + normal) * algorithm.size_);
+            auto *hashes(&storage[special * algorithm.size_]);
 
 
-            memset(storage, 0, sizeof(*storage) * special);
+            memset(storage.data(), 0, special * algorithm.size_);
 
             _foreach (blob, blobs) {
                 auto local(reinterpret_cast<const Blob *>(&blob.second[0]));
 
             _foreach (blob, blobs) {
                 auto local(reinterpret_cast<const Blob *>(&blob.second[0]));
-                sha1((uint8_t *) (hashes - blob.first), local, Swap(local->length));
+                algorithm(hashes - blob.first * algorithm.size_, local, Swap(local->length));
             }
 
             }
 
-            _foreach (slot, slots) {
-                _assert(sizeof(*hashes) == slot.second.size());
-                memcpy(hashes - slot.first, slot.second.data(), slot.second.size());
-            }
+            _foreach (slot, posts)
+                memcpy(hashes - slot.first * algorithm.size_, algorithm[slot.second], algorithm.size_);
 
 
+            percent(0);
             if (normal != 1)
             if (normal != 1)
-                for (size_t i = 0; i != normal - 1; ++i)
-                    sha1(hashes[i], (PageSize_ * i < overlap.size() ? overlap.data() : top) + PageSize_ * i, PageSize_);
+                for (size_t i = 0; i != normal - 1; ++i) {
+                    algorithm(hashes + i * algorithm.size_, (PageSize_ * i < overlap.size() ? overlap.data() : top) + PageSize_ * i, PageSize_);
+                    percent(double(i) / normal);
+                }
             if (normal != 0)
             if (normal != 0)
-                sha1(hashes[normal - 1], top + PageSize_ * (normal - 1), ((limit - 1) % PageSize_) + 1);
+                algorithm(hashes + (normal - 1) * algorithm.size_, top + PageSize_ * (normal - 1), ((limit - 1) % PageSize_) + 1);
+            percent(1);
+
+            put(data, storage.data(), storage.size());
 
 
-            put(data, storage, sizeof(storage));
+            const auto &save(insert(blobs, total == 0 ? CSSLOT_CODEDIRECTORY : CSSLOT_ALTERNATE + total - 1, CSMAGIC_CODEDIRECTORY, data));
+            algorithm(hash, save.data(), save.size());
 
 
-            insert(blobs, CSSLOT_CODEDIRECTORY, CSMAGIC_CODEDIRECTORY, data);
+            ++total;
         }
 
         }
 
+#ifndef LDID_NOSMIME
         if (!key.empty()) {
         if (!key.empty()) {
+            auto plist(plist_new_dict());
+            _scope({ plist_free(plist); });
+
+            auto cdhashes(plist_new_array());
+            plist_dict_set_item(plist, "cdhashes", cdhashes);
+
+            unsigned total(0);
+            for (Algorithm *pointer : GetAlgorithms()) {
+                Algorithm &algorithm(*pointer);
+                (void) algorithm;
+
+                const auto &blob(blobs[total == 0 ? CSSLOT_CODEDIRECTORY : CSSLOT_ALTERNATE + total - 1]);
+                ++total;
+
+                std::vector<char> hash;
+                algorithm(hash, blob.data(), blob.size());
+                hash.resize(20);
+
+                plist_array_append_item(cdhashes, plist_new_data(hash.data(), hash.size()));
+            }
+
+            char *xml(NULL);
+            uint32_t size;
+            plist_to_xml(plist, &xml, &size);
+            _scope({ free(xml); });
+
             std::stringbuf data;
             const std::string &sign(blobs[CSSLOT_CODEDIRECTORY]);
 
             Stuff stuff(key);
             Buffer bio(sign);
 
             std::stringbuf data;
             const std::string &sign(blobs[CSSLOT_CODEDIRECTORY]);
 
             Stuff stuff(key);
             Buffer bio(sign);
 
-            Signature signature(stuff, sign);
+            Signature signature(stuff, sign, std::string(xml, size));
             Buffer result(signature);
             std::string value(result);
             put(data, value.data(), value.size());
 
             Buffer result(signature);
             std::string value(result);
             put(data, value.data(), value.size());
 
-            insert(blobs, CSSLOT_SIGNATURESLOT, CSMAGIC_BLOBWRAPPER, data);
+            const auto &save(insert(blobs, CSSLOT_SIGNATURESLOT, CSMAGIC_BLOBWRAPPER, data));
+            _assert(save.size() <= certificate);
         }
         }
+#endif
 
         return put(output, CSMAGIC_EMBEDDED_SIGNATURE, blobs);
 
         return put(output, CSMAGIC_EMBEDDED_SIGNATURE, blobs);
-    }));
+    }), percent);
+
+    return hash;
 }
 
 }
 
-static void Unsign(void *idata, size_t isize, std::streambuf &output) {
-    Allocate(idata, isize, output, fun([](size_t size) -> size_t {
+#ifndef LDID_NOTOOLS
+static void Unsign(void *idata, size_t isize, std::streambuf &output, const Functor<void (double)> &percent) {
+    Allocate(idata, isize, output, fun([](const MachHeader &mach_header, size_t size) -> size_t {
         return 0;
         return 0;
-    }), fun([](std::streambuf &output, size_t limit, const std::string &overlap, const char *top) -> size_t {
+    }), fun([](const MachHeader &mach_header, std::streambuf &output, size_t limit, const std::string &overlap, const char *top, const Functor<void (double)> &percent) -> size_t {
         return 0;
         return 0;
-    }));
+    }), percent);
 }
 
 }
 
-std::string DiskFolder::Path(const std::string &path) {
+std::string DiskFolder::Path(const std::string &path) const {
     return path_ + "/" + path;
 }
 
     return path_ + "/" + path;
 }
 
@@ -1564,7 +1980,23 @@ DiskFolder::~DiskFolder() {
             Commit(commit.first, commit.second);
 }
 
             Commit(commit.first, commit.second);
 }
 
-void DiskFolder::Find(const std::string &root, const std::string &base, const Functor<void (const std::string &, const Functor<void (const Functor<void (std::streambuf &, std::streambuf &)> &)> &)>&code) {
+#ifndef __WIN32__
+std::string readlink(const std::string &path) {
+    for (size_t size(1024); ; size *= 2) {
+        std::string data;
+        data.resize(size);
+
+        int writ(_syscall(::readlink(path.c_str(), &data[0], data.size())));
+        if (size_t(writ) >= size)
+            continue;
+
+        data.resize(writ);
+        return data;
+    }
+}
+#endif
+
+void DiskFolder::Find(const std::string &root, const std::string &base, const Functor<void (const std::string &)> &code, const Functor<void (const std::string &, const Functor<std::string ()> &)> &link) const {
     std::string path(Path(root) + base);
 
     DIR *dir(opendir(path.c_str()));
     std::string path(Path(root) + base);
 
     DIR *dir(opendir(path.c_str()));
@@ -1572,108 +2004,211 @@ void DiskFolder::Find(const std::string &root, const std::string &base, const Fu
     _scope({ _syscall(closedir(dir)); });
 
     while (auto child = readdir(dir)) {
     _scope({ _syscall(closedir(dir)); });
 
     while (auto child = readdir(dir)) {
-        std::string name(child->d_name, child->d_namlen);
+        std::string name(child->d_name);
         if (name == "." || name == "..")
             continue;
         if (Starts(name, ".ldid."))
             continue;
 
         if (name == "." || name == "..")
             continue;
         if (Starts(name, ".ldid."))
             continue;
 
+        bool directory;
+
+#ifdef __WIN32__
+        struct stat info;
+        _syscall(stat((path + name).c_str(), &info));
+        if (false);
+        else if (S_ISDIR(info.st_mode))
+            directory = true;
+        else if (S_ISREG(info.st_mode))
+            directory = false;
+        else
+            _assert_(false, "st_mode=%x", info.st_mode);
+#else
         switch (child->d_type) {
             case DT_DIR:
         switch (child->d_type) {
             case DT_DIR:
-                Find(root, base + name + "/", code);
-            break;
-
+                directory = true;
+                break;
             case DT_REG:
             case DT_REG:
-                code(base + name, fun([&](const Functor<void (std::streambuf &, std::streambuf &)> &code) {
-                    std::string access(root + base + name);
-                    _assert_(Open(access, fun([&](std::streambuf &data) {
-                        NullBuffer save;
-                        code(data, save);
-                    })), "open(): %s", access.c_str());
-                }));
-            break;
-
+                directory = false;
+                break;
+            case DT_LNK:
+                link(base + name, fun([&]() { return readlink(path + name); }));
+                continue;
             default:
                 _assert_(false, "d_type=%u", child->d_type);
             default:
                 _assert_(false, "d_type=%u", child->d_type);
-            break;
         }
         }
+#endif
+
+        if (directory)
+            Find(root, base + name + "/", code, link);
+        else
+            code(base + name);
     }
 }
 
     }
 }
 
-void DiskFolder::Save(const std::string &path, const Functor<void (std::streambuf &)> &code) {
-    std::filebuf save;
-    auto from(Path(path));
-    commit_[from] = Temporary(save, from);
-    code(save);
+void DiskFolder::Save(const std::string &path, bool edit, const void *flag, const Functor<void (std::streambuf &)> &code) {
+    if (!edit) {
+        // XXX: use nullbuf
+        std::stringbuf save;
+        code(save);
+    } else {
+        std::filebuf save;
+        auto from(Path(path));
+        commit_[from] = Temporary(save, from);
+        code(save);
+    }
+}
+
+bool DiskFolder::Look(const std::string &path) const {
+    return _syscall(access(Path(path).c_str(), R_OK), ENOENT) == 0;
 }
 
 }
 
-bool DiskFolder::Open(const std::string &path, const Functor<void (std::streambuf &)> &code) {
+void DiskFolder::Open(const std::string &path, const Functor<void (std::streambuf &, size_t, const void *)> &code) const {
     std::filebuf data;
     auto result(data.open(Path(path).c_str(), std::ios::binary | std::ios::in));
     std::filebuf data;
     auto result(data.open(Path(path).c_str(), std::ios::binary | std::ios::in));
-    if (result == NULL)
-        return false;
-    _assert(result == &data);
-    code(data);
-    return true;
+    _assert_(result == &data, "DiskFolder::Open(%s)", path.c_str());
+
+    auto length(data.pubseekoff(0, std::ios::end, std::ios::in));
+    data.pubseekpos(0, std::ios::in);
+    code(data, length, NULL);
 }
 
 }
 
-void DiskFolder::Find(const std::string &path, const Functor<void (const std::string &, const Functor<void (const Functor<void (std::streambuf &, std::streambuf &)> &)> &)>&code) {
-    Find(path, "", code);
+void DiskFolder::Find(const std::string &path, const Functor<void (const std::string &)> &code, const Functor<void (const std::string &, const Functor<std::string ()> &)> &link) const {
+    Find(path, "", code, link);
 }
 }
+#endif
 
 
-SubFolder::SubFolder(Folder *parent, const std::string &path) :
+SubFolder::SubFolder(Folder &parent, const std::string &path) :
     parent_(parent),
     path_(path)
 {
 }
 
     parent_(parent),
     path_(path)
 {
 }
 
-void SubFolder::Save(const std::string &path, const Functor<void (std::streambuf &)> &code) {
-    return parent_->Save(path_ + path, code);
+void SubFolder::Save(const std::string &path, bool edit, const void *flag, const Functor<void (std::streambuf &)> &code) {
+    return parent_.Save(path_ + path, edit, flag, code);
+}
+
+bool SubFolder::Look(const std::string &path) const {
+    return parent_.Look(path_ + path);
+}
+
+void SubFolder::Open(const std::string &path, const Functor<void (std::streambuf &, size_t, const void *)> &code) const {
+    return parent_.Open(path_ + path, code);
+}
+
+void SubFolder::Find(const std::string &path, const Functor<void (const std::string &)> &code, const Functor<void (const std::string &, const Functor<std::string ()> &)> &link) const {
+    return parent_.Find(path_ + path, code, link);
+}
+
+std::string UnionFolder::Map(const std::string &path) const {
+    auto remap(remaps_.find(path));
+    if (remap == remaps_.end())
+        return path;
+    return remap->second;
+}
+
+void UnionFolder::Map(const std::string &path, const Functor<void (const std::string &)> &code, const std::string &file, const Functor<void (const Functor<void (std::streambuf &, size_t, const void *)> &)> &save) const {
+    if (file.size() >= path.size() && file.substr(0, path.size()) == path)
+        code(file.substr(path.size()));
+}
+
+UnionFolder::UnionFolder(Folder &parent) :
+    parent_(parent)
+{
+}
+
+void UnionFolder::Save(const std::string &path, bool edit, const void *flag, const Functor<void (std::streambuf &)> &code) {
+    return parent_.Save(Map(path), edit, flag, code);
 }
 
 }
 
-bool SubFolder::Open(const std::string &path, const Functor<void (std::streambuf &)> &code) {
-    return parent_->Open(path_ + path, code);
+bool UnionFolder::Look(const std::string &path) const {
+    auto file(resets_.find(path));
+    if (file != resets_.end())
+        return true;
+    return parent_.Look(Map(path));
 }
 
 }
 
-void SubFolder::Find(const std::string &path, const Functor<void (const std::string &, const Functor<void (const Functor<void (std::streambuf &, std::streambuf &)> &)> &)> &code) {
-    return parent_->Find(path_ + path, code);
+void UnionFolder::Open(const std::string &path, const Functor<void (std::streambuf &, size_t, const void *)> &code) const {
+    auto file(resets_.find(path));
+    if (file == resets_.end())
+        return parent_.Open(Map(path), code);
+    auto &entry(file->second);
+
+    auto &data(*entry.data_);
+    auto length(data.pubseekoff(0, std::ios::end, std::ios::in));
+    data.pubseekpos(0, std::ios::in);
+    code(data, length, entry.flag_);
 }
 
 }
 
-static size_t copy(std::streambuf &source, std::streambuf &target) {
+void UnionFolder::Find(const std::string &path, const Functor<void (const std::string &)> &code, const Functor<void (const std::string &, const Functor<std::string ()> &)> &link) const {
+    for (auto &reset : resets_)
+        Map(path, code, reset.first, fun([&](const Functor<void (std::streambuf &, size_t, const void *)> &code) {
+            auto &entry(reset.second);
+            auto &data(*entry.data_);
+            auto length(data.pubseekoff(0, std::ios::end, std::ios::in));
+            data.pubseekpos(0, std::ios::in);
+            code(data, length, entry.flag_);
+        }));
+
+    for (auto &remap : remaps_)
+        Map(path, code, remap.first, fun([&](const Functor<void (std::streambuf &, size_t, const void *)> &code) {
+            parent_.Open(remap.second, fun([&](std::streambuf &data, size_t length, const void *flag) {
+                code(data, length, flag);
+            }));
+        }));
+
+    parent_.Find(path, fun([&](const std::string &name) {
+        if (deletes_.find(path + name) == deletes_.end())
+            code(name);
+    }), fun([&](const std::string &name, const Functor<std::string ()> &read) {
+        if (deletes_.find(path + name) == deletes_.end())
+            link(name, read);
+    }));
+}
+
+#ifndef LDID_NOTOOLS
+static void copy(std::streambuf &source, std::streambuf &target, size_t length, const ldid::Functor<void (double)> &percent) {
+    percent(0);
     size_t total(0);
     for (;;) {
     size_t total(0);
     for (;;) {
-        char data[4096];
+        char data[4096 * 4];
         size_t writ(source.sgetn(data, sizeof(data)));
         if (writ == 0)
             break;
         _assert(target.sputn(data, writ) == writ);
         total += writ;
         size_t writ(source.sgetn(data, sizeof(data)));
         if (writ == 0)
             break;
         _assert(target.sputn(data, writ) == writ);
         total += writ;
+        percent(double(total) / length);
     }
     }
-    return total;
 }
 
 }
 
-static PList::Structure *plist(const std::string &data) {
-    if (!Starts(data, "bplist00"))
-        return PList::Structure::FromXml(data);
-    std::vector<char> bytes(data.data(), data.data() + data.size());
-    return PList::Structure::FromBin(bytes);
+#ifndef LDID_NOPLIST
+static plist_t plist(const std::string &data) {
+    plist_t plist(NULL);
+    if (Starts(data, "bplist00"))
+        plist_from_bin(data.data(), data.size(), &plist);
+    else
+        plist_from_xml(data.data(), data.size(), &plist);
+    _assert(plist != NULL);
+    return plist;
 }
 
 }
 
-static void plist_d(std::streambuf &buffer, const Functor<void (PList::Dictionary *)> &code) {
+static void plist_d(std::streambuf &buffer, size_t length, const Functor<void (plist_t)> &code) {
     std::stringbuf data;
     std::stringbuf data;
-    copy(buffer, data);
-    PList::Structure *structure(plist(data.str()));
-    _scope({ delete structure; });
-    auto dictionary(dynamic_cast<PList::Dictionary *>(structure));
-    _assert(dictionary != NULL);
-    code(dictionary);
+    copy(buffer, data, length, ldid::fun(dummy));
+    auto node(plist(data.str()));
+    _scope({ plist_free(node); });
+    _assert(plist_get_node_type(node) == PLIST_DICT);
+    code(node);
 }
 
 }
 
-static std::string plist_s(PList::Node *node) {
-    auto value(dynamic_cast<PList::String *>(node));
-    _assert(value != NULL);
-    return value->GetValue();
+static std::string plist_s(plist_t node) {
+    _assert(node != NULL);
+    _assert(plist_get_node_type(node) == PLIST_STRING);
+    char *data;
+    plist_get_string_val(node, &data);
+    _scope({ free(data); });
+    return data;
 }
 }
+#endif
 
 enum Mode {
     NoMode,
 
 enum Mode {
     NoMode,
@@ -1686,23 +2221,32 @@ enum Mode {
 class Expression {
   private:
     regex_t regex_;
 class Expression {
   private:
     regex_t regex_;
+    std::vector<std::string> matches_;
 
   public:
     Expression(const std::string &code) {
 
   public:
     Expression(const std::string &code) {
-        _assert_(regcomp(&regex_, code.c_str(), REG_EXTENDED | REG_NOSUB) == 0, "regcomp()");
+        _assert_(regcomp(&regex_, code.c_str(), REG_EXTENDED) == 0, "regcomp()");
+        matches_.resize(regex_.re_nsub + 1);
     }
 
     ~Expression() {
         regfree(&regex_);
     }
 
     }
 
     ~Expression() {
         regfree(&regex_);
     }
 
-    bool operator ()(const std::string &data) const {
-        auto value(regexec(&regex_, data.c_str(), 0, NULL, 0));
+    bool operator ()(const std::string &data) {
+        regmatch_t matches[matches_.size()];
+        auto value(regexec(&regex_, data.c_str(), matches_.size(), matches, 0));
         if (value == REG_NOMATCH)
             return false;
         _assert_(value == 0, "regexec()");
         if (value == REG_NOMATCH)
             return false;
         _assert_(value == 0, "regexec()");
+        for (size_t i(0); i != matches_.size(); ++i)
+            matches_[i].assign(data.data() + matches[i].rm_so, matches[i].rm_eo - matches[i].rm_so);
         return true;
     }
         return true;
     }
+
+    const std::string &operator [](size_t index) const {
+        return matches_[index];
+    }
 };
 
 struct Rule {
 };
 
 struct Rule {
@@ -1750,114 +2294,234 @@ struct RuleCode {
     }
 };
 
     }
 };
 
-std::string Bundle(const std::string &root, Folder &folder, const std::string &key, std::map<std::string, std::vector<char>> &remote) {
+#ifndef LDID_NOPLIST
+static Hash Sign(const uint8_t *prefix, size_t size, std::streambuf &buffer, Hash &hash, std::streambuf &save, const std::string &identifier, const std::string &entitlements, const std::string &requirements, const std::string &key, const Slots &slots, size_t length, const Functor<void (double)> &percent) {
+    // XXX: this is a miserable fail
+    std::stringbuf temp;
+    put(temp, prefix, size);
+    copy(buffer, temp, length - size, percent);
+    // XXX: this is a stupid hack
+    pad(temp, 0x10 - (length & 0xf));
+    auto data(temp.str());
+
+    HashProxy proxy(hash, save);
+    return Sign(data.data(), data.size(), proxy, identifier, entitlements, requirements, key, slots, percent);
+}
+
+Bundle Sign(const std::string &root, Folder &folder, const std::string &key, std::map<std::string, Hash> &remote, const std::string &requirements, const Functor<std::string (const std::string &, const std::string &)> &alter, const Functor<void (const std::string &)> &progress, const Functor<void (double)> &percent) {
     std::string executable;
     std::string identifier;
 
     std::string executable;
     std::string identifier;
 
-    static const std::string info("Info.plist");
+    bool mac(false);
+
+    std::string info("Info.plist");
+    if (!folder.Look(info) && folder.Look("Resources/" + info)) {
+        mac = true;
+        info = "Resources/" + info;
+    }
 
 
-    _assert_(folder.Open(info, fun([&](std::streambuf &buffer) {
-        plist_d(buffer, fun([&](PList::Dictionary *dictionary) {
-            executable = plist_s(((*dictionary)["CFBundleExecutable"]));
-            identifier = plist_s(((*dictionary)["CFBundleIdentifier"]));
+    folder.Open(info, fun([&](std::streambuf &buffer, size_t length, const void *flag) {
+        plist_d(buffer, length, fun([&](plist_t node) {
+            executable = plist_s(plist_dict_get_item(node, "CFBundleExecutable"));
+            identifier = plist_s(plist_dict_get_item(node, "CFBundleIdentifier"));
         }));
         }));
-    })), "open(): Info.plist");
+    }));
+
+    if (!mac && folder.Look("MacOS/" + executable)) {
+        executable = "MacOS/" + executable;
+        mac = true;
+    }
+
+    std::string entitlements;
+    folder.Open(executable, fun([&](std::streambuf &buffer, size_t length, const void *flag) {
+        // XXX: this is a miserable fail
+        std::stringbuf temp;
+        copy(buffer, temp, length, percent);
+        // XXX: this is a stupid hack
+        pad(temp, 0x10 - (length & 0xf));
+        auto data(temp.str());
+        entitlements = alter(root, Analyze(data.data(), data.size()));
+    }));
+
+    static const std::string directory("_CodeSignature/");
+    static const std::string signature(directory + "CodeResources");
 
     std::map<std::string, std::multiset<Rule>> versions;
 
     auto &rules1(versions[""]);
     auto &rules2(versions["2"]);
 
 
     std::map<std::string, std::multiset<Rule>> versions;
 
     auto &rules1(versions[""]);
     auto &rules2(versions["2"]);
 
-    static const std::string signature("_CodeSignature/CodeResources");
-
-    folder.Open(signature, fun([&](std::streambuf &buffer) {
-        plist_d(buffer, fun([&](PList::Dictionary *dictionary) {
-            // XXX: maybe attempt to preserve existing rules
-        }));
-    }));
+    const std::string resources(mac ? "Resources/" : "");
 
     if (true) {
 
     if (true) {
-        rules1.insert(Rule{1, NoMode, "^"});
-        rules1.insert(Rule{10000, OmitMode, "^(Frameworks/[^/]+\\.framework/|PlugIns/[^/]+\\.appex/|PlugIns/[^/]+\\.appex/Frameworks/[^/]+\\.framework/|())SC_Info/[^/]+\\.(sinf|supf|supp)$"});
-        rules1.insert(Rule{1000, OptionalMode, "^.*\\.lproj/"});
-        rules1.insert(Rule{1100, OmitMode, "^.*\\.lproj/locversion.plist$"});
-        rules1.insert(Rule{10000, OmitMode, "^Watch/[^/]+\\.app/(Frameworks/[^/]+\\.framework/|PlugIns/[^/]+\\.appex/|PlugIns/[^/]+\\.appex/Frameworks/[^/]+\\.framework/)SC_Info/[^/]+\\.(sinf|supf|supp)$"});
+        rules1.insert(Rule{1, NoMode, "^" + resources});
+        rules1.insert(Rule{1000, OptionalMode, "^" + resources + ".*\\.lproj/"});
+        rules1.insert(Rule{1100, OmitMode, "^" + resources + ".*\\.lproj/locversion.plist$"});
+        rules1.insert(Rule{1010, NoMode, "^Base\\.lproj/"});
         rules1.insert(Rule{1, NoMode, "^version.plist$"});
     }
 
     if (true) {
         rules2.insert(Rule{11, NoMode, ".*\\.dSYM($|/)"});
         rules1.insert(Rule{1, NoMode, "^version.plist$"});
     }
 
     if (true) {
         rules2.insert(Rule{11, NoMode, ".*\\.dSYM($|/)"});
-        rules2.insert(Rule{20, NoMode, "^"});
+        rules2.insert(Rule{20, NoMode, "^" + resources});
         rules2.insert(Rule{2000, OmitMode, "^(.*/)?\\.DS_Store$"});
         rules2.insert(Rule{2000, OmitMode, "^(.*/)?\\.DS_Store$"});
-        rules2.insert(Rule{10000, OmitMode, "^(Frameworks/[^/]+\\.framework/|PlugIns/[^/]+\\.appex/|PlugIns/[^/]+\\.appex/Frameworks/[^/]+\\.framework/|())SC_Info/[^/]+\\.(sinf|supf|supp)$"});
         rules2.insert(Rule{10, NestedMode, "^(Frameworks|SharedFrameworks|PlugIns|Plug-ins|XPCServices|Helpers|MacOS|Library/(Automator|Spotlight|LoginItems))/"});
         rules2.insert(Rule{1, NoMode, "^.*"});
         rules2.insert(Rule{10, NestedMode, "^(Frameworks|SharedFrameworks|PlugIns|Plug-ins|XPCServices|Helpers|MacOS|Library/(Automator|Spotlight|LoginItems))/"});
         rules2.insert(Rule{1, NoMode, "^.*"});
-        rules2.insert(Rule{1000, OptionalMode, "^.*\\.lproj/"});
-        rules2.insert(Rule{1100, OmitMode, "^.*\\.lproj/locversion.plist$"});
+        rules2.insert(Rule{1000, OptionalMode, "^" + resources + ".*\\.lproj/"});
+        rules2.insert(Rule{1100, OmitMode, "^" + resources + ".*\\.lproj/locversion.plist$"});
+        rules2.insert(Rule{1010, NoMode, "^Base\\.lproj/"});
         rules2.insert(Rule{20, OmitMode, "^Info\\.plist$"});
         rules2.insert(Rule{20, OmitMode, "^PkgInfo$"});
         rules2.insert(Rule{20, OmitMode, "^Info\\.plist$"});
         rules2.insert(Rule{20, OmitMode, "^PkgInfo$"});
-        rules2.insert(Rule{10000, OmitMode, "^Watch/[^/]+\\.app/(Frameworks/[^/]+\\.framework/|PlugIns/[^/]+\\.appex/|PlugIns/[^/]+\\.appex/Frameworks/[^/]+\\.framework/)SC_Info/[^/]+\\.(sinf|supf|supp)$"});
         rules2.insert(Rule{10, NestedMode, "^[^/]+$"});
         rules2.insert(Rule{20, NoMode, "^embedded\\.provisionprofile$"});
         rules2.insert(Rule{20, NoMode, "^version\\.plist$"});
     }
 
         rules2.insert(Rule{10, NestedMode, "^[^/]+$"});
         rules2.insert(Rule{20, NoMode, "^embedded\\.provisionprofile$"});
         rules2.insert(Rule{20, NoMode, "^version\\.plist$"});
     }
 
-    std::map<std::string, std::vector<char>> local;
+    std::map<std::string, Hash> local;
 
 
-    static Expression nested("^PlugIns/[^/]*\\.appex/Info\\.plist$");
+    std::string failure(mac ? "Contents/|Versions/[^/]*/Resources/" : "");
+    Expression nested("^(Frameworks/[^/]*\\.framework|PlugIns/[^/]*\\.appex(()|/[^/]*.app))/(" + failure + ")Info\\.plist$");
+    std::map<std::string, Bundle> bundles;
 
 
-    folder.Find("", fun([&](const std::string &name, const Functor<void (const Functor<void (std::streambuf &, std::streambuf &)> &)> &code) {
+    folder.Find("", fun([&](const std::string &name) {
         if (!nested(name))
             return;
         auto bundle(root + Split(name).dir);
         if (!nested(name))
             return;
         auto bundle(root + Split(name).dir);
-        SubFolder subfolder(&folder, bundle);
-        Bundle(bundle, subfolder, key, local);
+        bundle.resize(bundle.size() - resources.size());
+        SubFolder subfolder(folder, bundle);
+
+        bundles[nested[1]] = Sign(bundle, subfolder, key, local, "", Starts(name, "PlugIns/") ? alter :
+            static_cast<const Functor<std::string (const std::string &, const std::string &)> &>(fun([&](const std::string &, const std::string &entitlements) -> std::string { return entitlements; }))
+        , progress, percent);
+    }), fun([&](const std::string &name, const Functor<std::string ()> &read) {
     }));
 
     }));
 
-    folder.Find("", fun([&](const std::string &name, const Functor<void (const Functor<void (std::streambuf &, std::streambuf &)> &)> &code) {
-        if (name == executable || name == signature)
+    std::set<std::string> excludes;
+
+    auto exclude([&](const std::string &name) {
+        // BundleDiskRep::adjustResources -> builder.addExclusion
+        if (name == executable || Starts(name, directory) || Starts(name, "_MASReceipt/") || name == "CodeResources")
+            return true;
+
+        for (const auto &bundle : bundles)
+            if (Starts(name, bundle.first + "/")) {
+                excludes.insert(name);
+                return true;
+            }
+
+        return false;
+    });
+
+    std::map<std::string, std::string> links;
+
+    folder.Find("", fun([&](const std::string &name) {
+        if (exclude(name))
             return;
 
             return;
 
-        auto &hash(local[name]);
-        if (!hash.empty())
+        if (local.find(name) != local.end())
             return;
             return;
+        auto &hash(local[name]);
+
+        folder.Open(name, fun([&](std::streambuf &data, size_t length, const void *flag) {
+            progress(root + name);
+
+            union {
+                struct {
+                    uint32_t magic;
+                    uint32_t count;
+                };
+
+                uint8_t bytes[8];
+            } header;
+
+            auto size(most(data, &header.bytes, sizeof(header.bytes)));
+
+            if (name != "_WatchKitStub/WK" && size == sizeof(header.bytes))
+                switch (Swap(header.magic)) {
+                    case FAT_MAGIC:
+                        // Java class file format
+                        if (Swap(header.count) >= 40)
+                            break;
+                    case FAT_CIGAM:
+                    case MH_MAGIC: case MH_MAGIC_64:
+                    case MH_CIGAM: case MH_CIGAM_64:
+                        folder.Save(name, true, flag, fun([&](std::streambuf &save) {
+                            Slots slots;
+                            Sign(header.bytes, size, data, hash, save, identifier, "", "", key, slots, length, percent);
+                        }));
+                        return;
+                }
 
 
-        code(fun([&](std::streambuf &data, std::streambuf &save) {
-            HashProxy proxy(hash, save);
-            copy(data, proxy);
+            folder.Save(name, false, flag, fun([&](std::streambuf &save) {
+                HashProxy proxy(hash, save);
+                put(proxy, header.bytes, size);
+                copy(data, proxy, length - size, percent);
+            }));
         }));
         }));
+    }), fun([&](const std::string &name, const Functor<std::string ()> &read) {
+        if (exclude(name))
+            return;
 
 
-        _assert(hash.size() == SHA_DIGEST_LENGTH);
+        links[name] = read();
     }));
 
     }));
 
-    PList::Dictionary plist;
+    auto plist(plist_new_dict());
+    _scope({ plist_free(plist); });
 
     for (const auto &version : versions) {
 
     for (const auto &version : versions) {
-        PList::Dictionary files;
+        auto files(plist_new_dict());
+        plist_dict_set_item(plist, ("files" + version.first).c_str(), files);
 
         for (const auto &rule : version.second)
             rule.Compile();
 
 
         for (const auto &rule : version.second)
             rule.Compile();
 
+        bool old(&version.second == &rules1);
+
         for (const auto &hash : local)
             for (const auto &rule : version.second)
                 if (rule(hash.first)) {
         for (const auto &hash : local)
             for (const auto &rule : version.second)
                 if (rule(hash.first)) {
-                    if (rule.mode_ == NoMode)
-                        files.Set(hash.first, PList::Data(hash.second));
-                    else if (rule.mode_ == OptionalMode) {
-                        PList::Dictionary entry;
-                        entry.Set("hash", PList::Data(hash.second));
-                        entry.Set("optional", PList::Boolean(true));
-                        files.Set(hash.first, entry);
+                    if (!old && mac && excludes.find(hash.first) != excludes.end());
+                    else if (old && rule.mode_ == NoMode)
+                        plist_dict_set_item(files, hash.first.c_str(), plist_new_data(reinterpret_cast<const char *>(hash.second.sha1_), sizeof(hash.second.sha1_)));
+                    else if (rule.mode_ != OmitMode) {
+                        auto entry(plist_new_dict());
+                        plist_dict_set_item(entry, "hash", plist_new_data(reinterpret_cast<const char *>(hash.second.sha1_), sizeof(hash.second.sha1_)));
+                        if (!old)
+                            plist_dict_set_item(entry, "hash2", plist_new_data(reinterpret_cast<const char *>(hash.second.sha256_), sizeof(hash.second.sha256_)));
+                        if (rule.mode_ == OptionalMode)
+                            plist_dict_set_item(entry, "optional", plist_new_bool(true));
+                        plist_dict_set_item(files, hash.first.c_str(), entry);
+                    }
+
+                    break;
+                }
+
+        for (const auto &link : links)
+            for (const auto &rule : version.second)
+                if (rule(link.first)) {
+                    if (rule.mode_ != OmitMode) {
+                        auto entry(plist_new_dict());
+                        plist_dict_set_item(entry, "symlink", plist_new_string(link.second.c_str()));
+                        if (rule.mode_ == OptionalMode)
+                            plist_dict_set_item(entry, "optional", plist_new_bool(true));
+                        plist_dict_set_item(files, link.first.c_str(), entry);
                     }
 
                     break;
                 }
 
                     }
 
                     break;
                 }
 
-        plist.Set("files" + version.first, files);
+        if (!old && mac)
+            for (const auto &bundle : bundles) {
+                auto entry(plist_new_dict());
+                plist_dict_set_item(entry, "cdhash", plist_new_data(reinterpret_cast<const char *>(bundle.second.hash.sha256_), sizeof(bundle.second.hash.sha256_)));
+                plist_dict_set_item(entry, "requirement", plist_new_string("anchor apple generic"));
+                plist_dict_set_item(files, bundle.first.c_str(), entry);
+            }
     }
 
     for (const auto &version : versions) {
     }
 
     for (const auto &version : versions) {
-        PList::Dictionary rules;
+        auto rules(plist_new_dict());
+        plist_dict_set_item(plist, ("rules" + version.first).c_str(), rules);
 
         std::multiset<const Rule *, RuleCode> ordered;
         for (const auto &rule : version.second)
 
         std::multiset<const Rule *, RuleCode> ordered;
         for (const auto &rule : version.second)
@@ -1865,70 +2529,77 @@ std::string Bundle(const std::string &root, Folder &folder, const std::string &k
 
         for (const auto &rule : ordered)
             if (rule->weight_ == 1 && rule->mode_ == NoMode)
 
         for (const auto &rule : ordered)
             if (rule->weight_ == 1 && rule->mode_ == NoMode)
-                rules.Set(rule->code_, PList::Boolean(true));
+                plist_dict_set_item(rules, rule->code_.c_str(), plist_new_bool(true));
             else {
             else {
-                PList::Dictionary entry;
+                auto entry(plist_new_dict());
+                plist_dict_set_item(rules, rule->code_.c_str(), entry);
 
                 switch (rule->mode_) {
                     case NoMode:
                         break;
                     case OmitMode:
 
                 switch (rule->mode_) {
                     case NoMode:
                         break;
                     case OmitMode:
-                        entry.Set("omit", PList::Boolean(true));
+                        plist_dict_set_item(entry, "omit", plist_new_bool(true));
                         break;
                     case OptionalMode:
                         break;
                     case OptionalMode:
-                        entry.Set("optional", PList::Boolean(true));
+                        plist_dict_set_item(entry, "optional", plist_new_bool(true));
                         break;
                     case NestedMode:
                         break;
                     case NestedMode:
-                        entry.Set("nested", PList::Boolean(true));
+                        plist_dict_set_item(entry, "nested", plist_new_bool(true));
                         break;
                     case TopMode:
                         break;
                     case TopMode:
-                        entry.Set("top", PList::Boolean(true));
+                        plist_dict_set_item(entry, "top", plist_new_bool(true));
                         break;
                 }
 
                 if (rule->weight_ >= 10000)
                         break;
                 }
 
                 if (rule->weight_ >= 10000)
-                    entry.Set("weight", PList::Integer(rule->weight_));
+                    plist_dict_set_item(entry, "weight", plist_new_uint(rule->weight_));
                 else if (rule->weight_ != 1)
                 else if (rule->weight_ != 1)
-                    entry.Set("weight", PList::Real(rule->weight_));
-
-                rules.Set(rule->code_, entry);
+                    plist_dict_set_item(entry, "weight", plist_new_real(rule->weight_));
             }
             }
-
-        plist.Set("rules" + version.first, rules);
     }
 
     }
 
-    folder.Save(signature, fun([&](std::streambuf &save) {
+    folder.Save(signature, true, NULL, fun([&](std::streambuf &save) {
         HashProxy proxy(local[signature], save);
         HashProxy proxy(local[signature], save);
-        auto xml(plist.ToXml());
-        put(proxy, xml.data(), xml.size());
+        char *xml(NULL);
+        uint32_t size;
+        plist_to_xml(plist, &xml, &size);
+        _scope({ free(xml); });
+        put(proxy, xml, size);
     }));
 
     }));
 
-    folder.Open(executable, fun([&](std::streambuf &buffer) {
-        // XXX: this is a miserable fail
-        std::stringbuf temp;
-        copy(buffer, temp);
-        auto data(temp.str());
+    Bundle bundle;
+    bundle.path = executable;
 
 
-        folder.Save(executable, fun([&](std::streambuf &save) {
+    folder.Open(executable, fun([&](std::streambuf &buffer, size_t length, const void *flag) {
+        progress(root + executable);
+        folder.Save(executable, true, flag, fun([&](std::streambuf &save) {
             Slots slots;
             slots[1] = local.at(info);
             slots[3] = local.at(signature);
             Slots slots;
             slots[1] = local.at(info);
             slots[3] = local.at(signature);
-
-            HashProxy proxy(local[executable], save);
-            Sign(data.data(), data.size(), proxy, identifier, "", key, slots);
+            bundle.hash = Sign(NULL, 0, buffer, local[executable], save, identifier, entitlements, requirements, key, slots, length, percent);
         }));
     }));
 
         }));
     }));
 
-    for (const auto &hash : local)
-        remote[root + hash.first] = hash.second;
+    for (const auto &entry : local)
+        remote[root + entry.first] = entry.second;
 
 
-    return executable;
+    return bundle;
 }
 
 }
 
+Bundle Sign(const std::string &root, Folder &folder, const std::string &key, const std::string &requirements, const Functor<std::string (const std::string &, const std::string &)> &alter, const Functor<void (const std::string &)> &progress, const Functor<void (double)> &percent) {
+    std::map<std::string, Hash> local;
+    return Sign(root, folder, key, local, requirements, alter, progress, percent);
+}
+#endif
+
+#endif
 }
 
 }
 
+#ifndef LDID_NOTOOLS
 int main(int argc, char *argv[]) {
 int main(int argc, char *argv[]) {
+#ifndef LDID_NOSMIME
     OpenSSL_add_all_algorithms();
     OpenSSL_add_all_algorithms();
+#endif
 
     union {
         uint16_t word;
 
     union {
         uint16_t word;
@@ -1939,8 +2610,11 @@ int main(int argc, char *argv[]) {
 
     bool flag_r(false);
     bool flag_e(false);
 
     bool flag_r(false);
     bool flag_e(false);
+    bool flag_q(false);
 
 
+#ifndef LDID_NOFLAGT
     bool flag_T(false);
     bool flag_T(false);
+#endif
 
     bool flag_S(false);
     bool flag_s(false);
 
     bool flag_S(false);
     bool flag_s(false);
@@ -1950,15 +2624,20 @@ int main(int argc, char *argv[]) {
     bool flag_A(false);
     bool flag_a(false);
 
     bool flag_A(false);
     bool flag_a(false);
 
+    bool flag_u(false);
+
     uint32_t flag_CPUType(_not(uint32_t));
     uint32_t flag_CPUSubtype(_not(uint32_t));
 
     const char *flag_I(NULL);
 
     uint32_t flag_CPUType(_not(uint32_t));
     uint32_t flag_CPUSubtype(_not(uint32_t));
 
     const char *flag_I(NULL);
 
+#ifndef LDID_NOFLAGT
     bool timeh(false);
     uint32_t timev(0);
     bool timeh(false);
     uint32_t timev(0);
+#endif
 
     Map entitlements;
 
     Map entitlements;
+    Map requirements;
     Map key;
     ldid::Slots slots;
 
     Map key;
     ldid::Slots slots;
 
@@ -1985,16 +2664,23 @@ int main(int argc, char *argv[]) {
             case 'e': flag_e = true; break;
 
             case 'E': {
             case 'e': flag_e = true; break;
 
             case 'E': {
-                const char *slot = argv[argi] + 2;
-                const char *colon = strchr(slot, ':');
+                const char *string = argv[argi] + 2;
+                const char *colon = strchr(string, ':');
                 _assert(colon != NULL);
                 Map file(colon + 1, O_RDONLY, PROT_READ, MAP_PRIVATE);
                 char *arge;
                 _assert(colon != NULL);
                 Map file(colon + 1, O_RDONLY, PROT_READ, MAP_PRIVATE);
                 char *arge;
-                unsigned number(strtoul(slot, &arge, 0));
+                unsigned number(strtoul(string, &arge, 0));
                 _assert(arge == colon);
                 _assert(arge == colon);
-                std::vector<char> &hash(slots[number]);
-                hash.resize(SHA_DIGEST_LENGTH);
-                sha1(reinterpret_cast<uint8_t *>(hash.data()), file.data(), file.size());
+                auto &slot(slots[number]);
+                for (Algorithm *algorithm : GetAlgorithms())
+                    (*algorithm)(slot, file.data(), file.size());
+            } break;
+
+            case 'q': flag_q = true; break;
+
+            case 'Q': {
+                const char *xml = argv[argi] + 2;
+                requirements.open(xml, O_RDONLY, PROT_READ, MAP_PRIVATE);
             } break;
 
             case 'D': flag_D = true; break;
             } break;
 
             case 'D': flag_D = true; break;
@@ -2033,9 +2719,11 @@ int main(int argc, char *argv[]) {
             break;
 
             case 'K':
             break;
 
             case 'K':
-                key.open(argv[argi] + 2, O_RDONLY, PROT_READ, MAP_PRIVATE);
+                if (argv[argi][2] != '\0')
+                    key.open(argv[argi] + 2, O_RDONLY, PROT_READ, MAP_PRIVATE);
             break;
 
             break;
 
+#ifndef LDID_NOFLAGT
             case 'T': {
                 flag_T = true;
                 if (argv[argi][2] == '-')
             case 'T': {
                 flag_T = true;
                 if (argv[argi][2] == '-')
@@ -2046,6 +2734,11 @@ int main(int argc, char *argv[]) {
                     _assert(arge == argv[argi] + strlen(argv[argi]));
                 }
             } break;
                     _assert(arge == argv[argi] + strlen(argv[argi]));
                 }
             } break;
+#endif
+
+            case 'u': {
+                flag_u = true;
+            } break;
 
             case 'I': {
                 flag_I = argv[argi] + 2;
 
             case 'I': {
                 flag_I = argv[argi] + 2;
@@ -2071,10 +2764,15 @@ int main(int argc, char *argv[]) {
         _syscall(stat(path.c_str(), &info));
 
         if (S_ISDIR(info.st_mode)) {
         _syscall(stat(path.c_str(), &info));
 
         if (S_ISDIR(info.st_mode)) {
+#ifndef LDID_NOPLIST
             _assert(!flag_r);
             ldid::DiskFolder folder(path);
             _assert(!flag_r);
             ldid::DiskFolder folder(path);
-            std::map<std::string, std::vector<char>> hashes;
-            path += "/" + Bundle("", folder, key, hashes);
+            path += "/" + Sign("", folder, key, requirements, ldid::fun([&](const std::string &, const std::string &) -> std::string { return entitlements; })
+                , ldid::fun([&](const std::string &) {}), ldid::fun(dummy)
+            ).path;
+#else
+            _assert(false);
+#endif
         } else if (flag_S || flag_r) {
             Map input(path, O_RDONLY, PROT_READ, MAP_PRIVATE);
 
         } else if (flag_S || flag_r) {
             Map input(path, O_RDONLY, PROT_READ, MAP_PRIVATE);
 
@@ -2083,16 +2781,24 @@ int main(int argc, char *argv[]) {
             auto temp(Temporary(output, split));
 
             if (flag_r)
             auto temp(Temporary(output, split));
 
             if (flag_r)
-                ldid::Unsign(input.data(), input.size(), output);
+                ldid::Unsign(input.data(), input.size(), output, ldid::fun(dummy));
             else {
                 std::string identifier(flag_I ?: split.base.c_str());
             else {
                 std::string identifier(flag_I ?: split.base.c_str());
-                ldid::Sign(input.data(), input.size(), output, identifier, entitlements, key, slots);
+                ldid::Sign(input.data(), input.size(), output, identifier, entitlements, requirements, key, slots, ldid::fun(dummy));
             }
 
             Commit(path, temp);
         }
 
             }
 
             Commit(path, temp);
         }
 
-        Map mapping(path, flag_T || flag_s);
+        bool modify(false);
+#ifndef LDID_NOFLAGT
+        if (flag_T)
+            modify = true;
+#endif
+        if (flag_s)
+            modify = true;
+
+        Map mapping(path, modify);
         FatHeader fat_header(mapping.data(), mapping.size());
 
         _foreach (mach_header, fat_header.GetMachHeaders()) {
         FatHeader fat_header(mapping.data(), mapping.size());
 
         _foreach (mach_header, fat_header.GetMachHeaders()) {
@@ -2117,6 +2823,19 @@ int main(int argc, char *argv[]) {
                     signature = reinterpret_cast<struct linkedit_data_command *>(load_command);
                 else if (cmd == LC_ENCRYPTION_INFO || cmd == LC_ENCRYPTION_INFO_64)
                     encryption = reinterpret_cast<struct encryption_info_command *>(load_command);
                     signature = reinterpret_cast<struct linkedit_data_command *>(load_command);
                 else if (cmd == LC_ENCRYPTION_INFO || cmd == LC_ENCRYPTION_INFO_64)
                     encryption = reinterpret_cast<struct encryption_info_command *>(load_command);
+                else if (cmd == LC_LOAD_DYLIB) {
+                    volatile struct dylib_command *dylib_command(reinterpret_cast<struct dylib_command *>(load_command));
+                    const char *name(reinterpret_cast<const char *>(load_command) + mach_header.Swap(dylib_command->dylib.name));
+
+                    if (strcmp(name, "/System/Library/Frameworks/UIKit.framework/UIKit") == 0) {
+                        if (flag_u) {
+                            Version version;
+                            version.value = mach_header.Swap(dylib_command->dylib.current_version);
+                            printf("uikit=%u.%u.%u\n", version.major, version.minor, version.patch);
+                        }
+                    }
+                }
+#ifndef LDID_NOFLAGT
                 else if (cmd == LC_ID_DYLIB) {
                     volatile struct dylib_command *dylib_command(reinterpret_cast<struct dylib_command *>(load_command));
 
                 else if (cmd == LC_ID_DYLIB) {
                     volatile struct dylib_command *dylib_command(reinterpret_cast<struct dylib_command *>(load_command));
 
@@ -2133,6 +2852,7 @@ int main(int argc, char *argv[]) {
                         dylib_command->dylib.timestamp = mach_header.Swap(timed);
                     }
                 }
                         dylib_command->dylib.timestamp = mach_header.Swap(timed);
                     }
                 }
+#endif
             }
 
             if (flag_D) {
             }
 
             if (flag_D) {
@@ -2157,6 +2877,23 @@ int main(int argc, char *argv[]) {
                     }
             }
 
                     }
             }
 
+            if (flag_q) {
+                _assert(signature != NULL);
+
+                uint32_t data = mach_header.Swap(signature->dataoff);
+
+                uint8_t *top = reinterpret_cast<uint8_t *>(mach_header.GetBase());
+                uint8_t *blob = top + data;
+                struct SuperBlob *super = reinterpret_cast<struct SuperBlob *>(blob);
+
+                for (size_t index(0); index != Swap(super->count); ++index)
+                    if (Swap(super->index[index].type) == CSSLOT_REQUIREMENTS) {
+                        uint32_t begin = Swap(super->index[index].offset);
+                        struct Blob *requirement = reinterpret_cast<struct Blob *>(blob + begin);
+                        fwrite(requirement, 1, Swap(requirement->length), stdout);
+                    }
+            }
+
             if (flag_s) {
                 _assert(signature != NULL);
 
             if (flag_s) {
                 _assert(signature != NULL);
 
@@ -2169,16 +2906,16 @@ int main(int argc, char *argv[]) {
                 for (size_t index(0); index != Swap(super->count); ++index)
                     if (Swap(super->index[index].type) == CSSLOT_CODEDIRECTORY) {
                         uint32_t begin = Swap(super->index[index].offset);
                 for (size_t index(0); index != Swap(super->count); ++index)
                     if (Swap(super->index[index].type) == CSSLOT_CODEDIRECTORY) {
                         uint32_t begin = Swap(super->index[index].offset);
-                        struct CodeDirectory *directory = reinterpret_cast<struct CodeDirectory *>(blob + begin);
+                        struct CodeDirectory *directory = reinterpret_cast<struct CodeDirectory *>(blob + begin + sizeof(Blob));
 
 
-                        uint8_t (*hashes)[SHA_DIGEST_LENGTH] = reinterpret_cast<uint8_t (*)[SHA_DIGEST_LENGTH]>(blob + begin + Swap(directory->hashOffset));
+                        uint8_t (*hashes)[LDID_SHA1_DIGEST_LENGTH] = reinterpret_cast<uint8_t (*)[LDID_SHA1_DIGEST_LENGTH]>(blob + begin + Swap(directory->hashOffset));
                         uint32_t pages = Swap(directory->nCodeSlots);
 
                         if (pages != 1)
                             for (size_t i = 0; i != pages - 1; ++i)
                         uint32_t pages = Swap(directory->nCodeSlots);
 
                         if (pages != 1)
                             for (size_t i = 0; i != pages - 1; ++i)
-                                sha1(hashes[i], top + PageSize_ * i, PageSize_);
+                                LDID_SHA1(top + PageSize_ * i, PageSize_, hashes[i]);
                         if (pages != 0)
                         if (pages != 0)
-                            sha1(hashes[pages - 1], top + PageSize_ * (pages - 1), ((data - 1) % PageSize_) + 1);
+                            LDID_SHA1(top + PageSize_ * (pages - 1), ((data - 1) % PageSize_) + 1, hashes[pages - 1]);
                     }
             }
         }
                     }
             }
         }
@@ -2191,3 +2928,4 @@ int main(int argc, char *argv[]) {
 
     return filee;
 }
 
     return filee;
 }
+#endif
Link Identity Editor