Гайд [Reverse-Engineering] Как работает Virustotal

greydays_ · 28 Авг 2022

похуй, но прикольно разобрал

idesync · 28 Авг 2022

L1ney написал(а):
А то в последний раз когда я звонил в медико-психологический центр, что бы записаться в харькове на прием к его отцу, мне сказали что можно только онлайн потому что здание разбомбили и крыши как таковой нету
А кому нужен психиатор в Харькове советую:
Пожалуйста, авторизуйтесь для просмотра ссылки.

А если кому то нужно связать игрушки советую обратиться к: https://vk.com/id155712242/ /
Пожалуйста, авторизуйтесь для просмотра ссылки.

Хорооош, вместо того чтобы навредить самому челу, вредишь его родителям. Спрашивается, чем ты лучше его самого?

cold visions · 28 Авг 2022

colby57 · 28 Авг 2022

xuiw написал(а):
Посмотреть вложение 218668

А вы тоже вначале кидаете ратник людям, а потом спрашиваете себя "Бля зачем мне эти данные"?

vitt · 28 Авг 2022

colby57 написал(а):
Забыл приложить видео с доказательствами того, что файлы действительно принадлежат его лоадеру хд

ето всё монташ фейк скрины и видео и вообще вы все врёте!1

fire_ · 28 Авг 2022

xuiw написал(а):
хз странно что у меня все акки живы и нихуя не спиздили.

значит меняй пока не поздно, кто знает что он будет делать после разоблачения

VadimXDD · 28 Авг 2022

А я думал чё у меня в первый день после кряка смски от гугла приходили :roflanBuldiga:

+До того как я добавил лоадер в исключение мне ВЫКЛЮЧЕННЫЙ антивирус по кд его сносил/добавляль в карантин

cold visions · 28 Авг 2022

fire_ написал(а):
значит меняй пока не поздно, кто знает что он будет делать после разоблачения

Уже

koteika7let · 28 Авг 2022

0x000 написал(а):
koteika7let я тебе с самого начала говорил

мне всё ещё похуй.

idesync · 28 Авг 2022

L1ney написал(а):
То что родители не следят за своим ребенком это исключительно вина РОДИТЕЛЕЙ. Тем более где ты увидел намерения навредить им ? Лично я первое писал его отцу
Посмотреть вложение 218669
Но то что его отец меня проигнорировал лишь является его проблемой, после чего мне пришлось звонить, только вот по какой то странной причине он послал меня нахуй..................

Бтв, кухуйд мог предупредить и переубедить своего отца. Например, сказав, что ты специально хочешь ему навредить. И отец явно с большим желанием поверит своему сыну, чем какому-то рандомному челу из этих ваших интернетов.

doge616666121 · 28 Авг 2022

xuiw написал(а):
хз странно что у меня все акки живы и нихуя не спиздили.

там много людей ты некому нахуй не нужен

L1ney · 28 Авг 2022

idesync написал(а):
Бтв, кухуйд мог предупредить и переубедить своего отца. Например, сказав, что ты специально хочешь ему навредить. И отец явно с большим желанием поверит своему сыну, чем какому-то рандомному челу из этих ваших интернетов.

I Missed the part where that's my problem

idesync · 28 Авг 2022

L1ney написал(а):
I Missed the part where that's my problem

Я же писал, что разглашая личные данные и контакты его родителей, ты открываешь отличную возможность навредить им, чем может воспользоваться кто угодно. Бтв, рекомендую отредачить сообщение, оно 3.x правило форума нарушает.

vityacadilac2015 · 28 Авг 2022

L1ney · 28 Авг 2022

idesync написал(а):
Я же писал, что разглашая личные данные и контакты его родителей, ты открываешь отличную возможность навредить им, чем может воспользоваться кто угодно. Бтв, рекомендую отредачить сообщение, оно 3.x правило форума нарушает.

дело в том что это не личные данные, все что я как либо показал можно найти буквально за 5-10 минут в интернете, так что я не могу понять в чем проблема и не забываем что данный участник форума уже давно не участник и забанен за распространение вредоносного ПО

Misery · 28 Авг 2022

colby57 Я не гуру реверсинга, но там же даже по видосу видно, что ратник лили на ВТ 3 дня назад, до твоего видео, потом ты скачал ориг лоадер на видео с тг канала кухайда, залил его на ВТ и там показало тот же хеш файла т.к дроппер дропает ориг лоадер на диск поэтому хеши файлов одинаковые.
Меня интересует момент, почему ты в асэме не показал, дроп файла на диск, конкретно ратника)) или тебя вмп остановило?
Там любой чел с IQ >40 увидит 2 разных файла на ВТ , и разбирал ты склейку с ориг лоадером.
P.S.S - Я вапще нискем из них не знаком, поэтому это чисто мнение исходя из текста и видео темы.

colby57 · 28 Авг 2022

Misery написал(а):
colby57 Я не гуру реверсинга, но там же даже по видосу видно, что ратник лили на ВТ 3 дня назад, до твоего видео, потом ты скачал ориг лоадер на видео с тг канала кухайда, залил его на ВТ и там показало тот же хеш файла т.к дроппер дропает ориг лоадер на диск поэтому хеши файлов одинаковые.
Меня интересует момент, почему ты в асэме не показал, дроп файла на диск, конкретно ратника)) или тебя вмп остановило?
Там любой чел с IQ >40 увидит 2 разных файла на ВТ , и разбирал ты склейку с ориг лоадером.
P.S.S - Я вапще нискем из них не знаком, поэтому это чисто мнение исходя из текста и видео темы.

Такой себе аргумент) VirusTotal не так часто обновляет дату публикации исполняемого файла,

Пожалуйста, авторизуйтесь для просмотра ссылки.

проверь еще раз)

Время публикации изменилось, но результаты остались такими же, вопрос: где склейка? В каком месте я склеил лоадер, если я его на видосе скачал и сразу же на вт закинул?

Misery · 28 Авг 2022

colby57 написал(а):
Такой себе аргумент) VirusTotal не так часто обновляет дату публикации исполняемого файла,
Пожалуйста, авторизуйтесь для просмотра ссылки.
проверь еще раз)

Посмотреть вложение 218686

Время публикации изменилось, но результаты остались такими же, вопрос: где склейка? В каком месте я склеил лоадер, если я его на видосе скачал и сразу же на вт закинул?

Ты наверное не совсем понимаешь, как работает ВТ, ты пруфаешь вкладку RELATIONS - это связь файлов, то есть, я залью склейку ориг лоадера со стилером на ВТ, потом ты будешь хоть 100 раз заливать ориг файл без малваря на ВТ и он будет показывать связь со склейкой. Удивлен, что ты этого не знаешь. Открой лоадер в дебагере и пруфни нам дроп файла на диск и опен "Ратника" с этого файла.

Kodama · 28 Авг 2022

colby57 написал(а):
Лоадер накрытый фулл-пресетом вмпротекта никак не помог нашему другу скрыть наличие дроппера, поскольку VirusTotal всегда видит дочерние подпроцессы.

С ВТ все понятно, он действительно так умеет, спасибо его +- адекватным сендбоксам. А что там за инжект? Стандартный Process Hollowing или что? Ибо Process Hollowing (мб еще и Manual Map, но я его в своих делах не юзаю) как раз таки процесс не "порождает с защитой" (да и это невозможно, необходимо копировать весь "стаб" с генерацией и виртуализацией), т.е, по сути мы получаем замапенный файл без защиты, но ты и сам без меня прекрасно знаешь.

colby57 написал(а):
но кто я такой, чтобы учить его писать малвари правильно?

Реверсер, а что? Вот я когда смотрю на чужие поделки в реверсе могу понять, говнокод там или нет))

colby57 · 28 Авг 2022

Misery написал(а):
Ты наверное не совсем понимаешь, как работает ВТ, ты пруфаешь вкладку RELATIONS - это связь файлов, то есть, я залью склейку ориг лоадера со стилером на ВТ, потом ты будешь хоть 100 раз заливать ориг файл без малваря на ВТ и он будет показывать связь со склейкой. Удивлен, что ты этого не знаешь. Открой лоадер в дебагере и пруфни нам дроп файла на диск и опен "Ратника" с этого файла.

Начнём с того, что если лоадер имеет ссылку в Relations на другой исполняемый двоичный файл, то скорее всего он его загружает каким-либо образом и дроппает, точно также в Relations работают и соединения с айпишниками, если лоадер имеет связь с ними, то в Relations это отобразит, и я уже в который раз повторяю, что я на видео скачал лоадер с ебучего тг-канала и только потом закинул на вирустотал, сделай тоже самое, проверь на своем компе, запусти песочницу в конце концов, если обойдешь его детекты) Чтобы самому качать виртуалку и разбирать связь между ними нет никакого смысла когда дампы ратников я и так приложил, тебя не смущает даже тот факт, что я все еще с хакнутого бота логи получаю :CoolStoryBob: