Гайд [Reverse-Engineering] Как работает Virustotal

Статус
В этой теме нельзя размещать новые ответы.
Легенда форума
Статус
Оффлайн
Регистрация
10 Дек 2018
Сообщения
4,385
Реакции[?]
2,286
Поинты[?]
191K
А то в последний раз когда я звонил в медико-психологический центр, что бы записаться в харькове на прием к его отцу, мне сказали что можно только онлайн потому что здание разбомбили и крыши как таковой нету :tearsofjoy: :tearsofjoy: :tearsofjoy:
А кому нужен психиатор в Харькове советую:
Пожалуйста, авторизуйтесь для просмотра ссылки.

А если кому то нужно связать игрушки советую обратиться к: https://vk.com/id155712242/ /
Пожалуйста, авторизуйтесь для просмотра ссылки.
Хорооош, вместо того чтобы навредить самому челу, вредишь его родителям. Спрашивается, чем ты лучше его самого?
 
Murasaki
Разработчик
Статус
Оффлайн
Регистрация
18 Мар 2020
Сообщения
431
Реакции[?]
870
Поинты[?]
206K
dev
Забаненный
Статус
Оффлайн
Регистрация
5 Апр 2022
Сообщения
302
Реакции[?]
215
Поинты[?]
3K
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Забыл приложить видео с доказательствами того, что файлы действительно принадлежат его лоадеру хд

ето всё монташ фейк скрины и видео и вообще вы все врёте!1
 
?
Эксперт
Статус
Оффлайн
Регистрация
4 Май 2020
Сообщения
1,595
Реакции[?]
535
Поинты[?]
4K
Начинающий
Статус
Оффлайн
Регистрация
5 Янв 2022
Сообщения
105
Реакции[?]
12
Поинты[?]
4K
А я думал чё у меня в первый день после кряка смски от гугла приходили :roflanBuldiga: +До того как я добавил лоадер в исключение мне ВЫКЛЮЧЕННЫЙ антивирус по кд его сносил/добавляль в карантин
 
Легенда форума
Статус
Оффлайн
Регистрация
10 Дек 2018
Сообщения
4,385
Реакции[?]
2,286
Поинты[?]
191K
То что родители не следят за своим ребенком это исключительно вина РОДИТЕЛЕЙ. Тем более где ты увидел намерения навредить им ? Лично я первое писал его отцу
Посмотреть вложение 218669
Но то что его отец меня проигнорировал лишь является его проблемой, после чего мне пришлось звонить, только вот по какой то странной причине он послал меня нахуй..................
Бтв, кухуйд мог предупредить и переубедить своего отца. Например, сказав, что ты специально хочешь ему навредить. И отец явно с большим желанием поверит своему сыну, чем какому-то рандомному челу из этих ваших интернетов.
 
ima sippin lean
Забаненный
Статус
Оффлайн
Регистрация
6 Май 2020
Сообщения
495
Реакции[?]
380
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Бтв, кухуйд мог предупредить и переубедить своего отца. Например, сказав, что ты специально хочешь ему навредить. И отец явно с большим желанием поверит своему сыну, чем какому-то рандомному челу из этих ваших интернетов.
I Missed the part where that's my problem
 
Легенда форума
Статус
Оффлайн
Регистрация
10 Дек 2018
Сообщения
4,385
Реакции[?]
2,286
Поинты[?]
191K
I Missed the part where that's my problem
Я же писал, что разглашая личные данные и контакты его родителей, ты открываешь отличную возможность навредить им, чем может воспользоваться кто угодно. Бтв, рекомендую отредачить сообщение, оно 3.x правило форума нарушает.
 
ima sippin lean
Забаненный
Статус
Оффлайн
Регистрация
6 Май 2020
Сообщения
495
Реакции[?]
380
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Я же писал, что разглашая личные данные и контакты его родителей, ты открываешь отличную возможность навредить им, чем может воспользоваться кто угодно. Бтв, рекомендую отредачить сообщение, оно 3.x правило форума нарушает.
дело в том что это не личные данные, все что я как либо показал можно найти буквально за 5-10 минут в интернете, так что я не могу понять в чем проблема и не забываем что данный участник форума уже давно не участник и забанен за распространение вредоносного ПО :wink::wink:
 
Арбитр
Арбитр
Статус
Оффлайн
Регистрация
5 Июл 2015
Сообщения
2,861
Реакции[?]
2,327
Поинты[?]
205K
colby57 Я не гуру реверсинга, но там же даже по видосу видно, что ратник лили на ВТ 3 дня назад, до твоего видео, потом ты скачал ориг лоадер на видео с тг канала кухайда, залил его на ВТ и там показало тот же хеш файла т.к дроппер дропает ориг лоадер на диск поэтому хеши файлов одинаковые.
Меня интересует момент, почему ты в асэме не показал, дроп файла на диск, конкретно ратника)) или тебя вмп остановило?
Там любой чел с IQ >40 увидит 2 разных файла на ВТ , и разбирал ты склейку с ориг лоадером.
P.S.S - Я вапще нискем из них не знаком, поэтому это чисто мнение исходя из текста и видео темы.
 
Murasaki
Разработчик
Статус
Оффлайн
Регистрация
18 Мар 2020
Сообщения
431
Реакции[?]
870
Поинты[?]
206K
colby57 Я не гуру реверсинга, но там же даже по видосу видно, что ратник лили на ВТ 3 дня назад, до твоего видео, потом ты скачал ориг лоадер на видео с тг канала кухайда, залил его на ВТ и там показало тот же хеш файла т.к дроппер дропает ориг лоадер на диск поэтому хеши файлов одинаковые.
Меня интересует момент, почему ты в асэме не показал, дроп файла на диск, конкретно ратника)) или тебя вмп остановило?
Там любой чел с IQ >40 увидит 2 разных файла на ВТ , и разбирал ты склейку с ориг лоадером.
P.S.S - Я вапще нискем из них не знаком, поэтому это чисто мнение исходя из текста и видео темы.
Такой себе аргумент) VirusTotal не так часто обновляет дату публикации исполняемого файла,
Пожалуйста, авторизуйтесь для просмотра ссылки.
проверь еще раз)

1661693326440.png

Время публикации изменилось, но результаты остались такими же, вопрос: где склейка? В каком месте я склеил лоадер, если я его на видосе скачал и сразу же на вт закинул?
 
Арбитр
Арбитр
Статус
Оффлайн
Регистрация
5 Июл 2015
Сообщения
2,861
Реакции[?]
2,327
Поинты[?]
205K
Такой себе аргумент) VirusTotal не так часто обновляет дату публикации исполняемого файла,
Пожалуйста, авторизуйтесь для просмотра ссылки.
проверь еще раз)

Посмотреть вложение 218686

Время публикации изменилось, но результаты остались такими же, вопрос: где склейка? В каком месте я склеил лоадер, если я его на видосе скачал и сразу же на вт закинул?
Ты наверное не совсем понимаешь, как работает ВТ, ты пруфаешь вкладку RELATIONS - это связь файлов, то есть, я залью склейку ориг лоадера со стилером на ВТ, потом ты будешь хоть 100 раз заливать ориг файл без малваря на ВТ и он будет показывать связь со склейкой. Удивлен, что ты этого не знаешь. Открой лоадер в дебагере и пруфни нам дроп файла на диск и опен "Ратника" с этого файла.
 
Obstruct Omicronium
Пользователь
Статус
Оффлайн
Регистрация
28 Авг 2022
Сообщения
67
Реакции[?]
78
Поинты[?]
66K
Лоадер накрытый фулл-пресетом вмпротекта никак не помог нашему другу скрыть наличие дроппера, поскольку VirusTotal всегда видит дочерние подпроцессы.
С ВТ все понятно, он действительно так умеет, спасибо его +- адекватным сендбоксам. А что там за инжект? Стандартный Process Hollowing или что? Ибо Process Hollowing (мб еще и Manual Map, но я его в своих делах не юзаю) как раз таки процесс не "порождает с защитой" (да и это невозможно, необходимо копировать весь "стаб" с генерацией и виртуализацией), т.е, по сути мы получаем замапенный файл без защиты, но ты и сам без меня прекрасно знаешь.

но кто я такой, чтобы учить его писать малвари правильно?
Реверсер, а что? Вот я когда смотрю на чужие поделки в реверсе могу понять, говнокод там или нет))
 
Последнее редактирование:
Murasaki
Разработчик
Статус
Оффлайн
Регистрация
18 Мар 2020
Сообщения
431
Реакции[?]
870
Поинты[?]
206K
Ты наверное не совсем понимаешь, как работает ВТ, ты пруфаешь вкладку RELATIONS - это связь файлов, то есть, я залью склейку ориг лоадера со стилером на ВТ, потом ты будешь хоть 100 раз заливать ориг файл без малваря на ВТ и он будет показывать связь со склейкой. Удивлен, что ты этого не знаешь. Открой лоадер в дебагере и пруфни нам дроп файла на диск и опен "Ратника" с этого файла.
Начнём с того, что если лоадер имеет ссылку в Relations на другой исполняемый двоичный файл, то скорее всего он его загружает каким-либо образом и дроппает, точно также в Relations работают и соединения с айпишниками, если лоадер имеет связь с ними, то в Relations это отобразит, и я уже в который раз повторяю, что я на видео скачал лоадер с ебучего тг-канала и только потом закинул на вирустотал, сделай тоже самое, проверь на своем компе, запусти песочницу в конце концов, если обойдешь его детекты) Чтобы самому качать виртуалку и разбирать связь между ними нет никакого смысла когда дампы ратников я и так приложил, тебя не смущает даже тот факт, что я все еще с хакнутого бота логи получаю :CoolStoryBob:
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу