|
Гайд [Reverse-Engineering] Как работает Virustotal
- Автор темы colby57
- Дата начала
- Статус
Легенда форума
Легенда форума
- Статус
- Оффлайн
- Регистрация
- 10 Дек 2018
- Сообщения
- 4,457
- Реакции
- 2,321
Хорооош, вместо того чтобы навредить самому челу, вредишь его родителям. Спрашивается, чем ты лучше его самого?
Разработчик
Разработчик
- Статус
- Оффлайн
- Регистрация
- 18 Мар 2020
- Сообщения
- 493
- Реакции
- 1,006
А вы тоже вначале кидаете ратник людям, а потом спрашиваете себя "Бля зачем мне эти данные"?
- Статус
- Оффлайн
- Регистрация
- 5 Апр 2022
- Сообщения
- 301
- Реакции
- 214
ето всё монташ фейк скрины и видео и вообще вы все врёте!1
Эксперт
- Статус
- Оффлайн
- Регистрация
- 4 Май 2020
- Сообщения
- 1,638
- Реакции
- 535
значит меняй пока не поздно, кто знает что он будет делать после разоблачения
+До того как я добавил лоадер в исключение мне ВЫКЛЮЧЕННЫЙ антивирус по кд его сносил/добавляль в карантинУчастник
Участник
- Статус
- Оффлайн
- Регистрация
- 2 Фев 2019
- Сообщения
- 1,183
- Реакции
- 230
Пользователь
- Статус
- Оффлайн
- Регистрация
- 30 Апр 2021
- Сообщения
- 254
- Реакции
- 91
мне всё ещё похуй.
Легенда форума
Легенда форума
- Статус
- Оффлайн
- Регистрация
- 10 Дек 2018
- Сообщения
- 4,457
- Реакции
- 2,321
Бтв, кухуйд мог предупредить и переубедить своего отца. Например, сказав, что ты специально хочешь ему навредить. И отец явно с большим желанием поверит своему сыну, чем какому-то рандомному челу из этих ваших интернетов.
Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 27 Май 2022
- Сообщения
- 16
- Реакции
- 0
там много людей ты некому нахуй не нужен
- Статус
- Оффлайн
- Регистрация
- 6 Май 2020
- Сообщения
- 496
- Реакции
- 380
I Missed the part where that's my problem
Легенда форума
Легенда форума
- Статус
- Оффлайн
- Регистрация
- 10 Дек 2018
- Сообщения
- 4,457
- Реакции
- 2,321
Я же писал, что разглашая личные данные и контакты его родителей, ты открываешь отличную возможность навредить им, чем может воспользоваться кто угодно. Бтв, рекомендую отредачить сообщение, оно 3.x правило форума нарушает.
Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 26 Июл 2022
- Сообщения
- 41
- Реакции
- 2
- Статус
- Оффлайн
- Регистрация
- 6 Май 2020
- Сообщения
- 496
- Реакции
- 380
дело в том что это не личные данные, все что я как либо показал можно найти буквально за 5-10 минут в интернете, так что я не могу понять в чем проблема и не забываем что данный участник форума уже давно не участник и забанен за распространение вредоносного ПО :wink::wink:
Арбитр
- Статус
- Оффлайн
- Регистрация
- 5 Июл 2015
- Сообщения
- 2,968
- Реакции
- 2,398
@colby57 Я не гуру реверсинга, но там же даже по видосу видно, что ратник лили на ВТ 3 дня назад, до твоего видео, потом ты скачал ориг лоадер на видео с тг канала кухайда, залил его на ВТ и там показало тот же хеш файла т.к дроппер дропает ориг лоадер на диск поэтому хеши файлов одинаковые.
Меня интересует момент, почему ты в асэме не показал, дроп файла на диск, конкретно ратника)) или тебя вмп остановило?
Там любой чел с IQ >40 увидит 2 разных файла на ВТ , и разбирал ты склейку с ориг лоадером.
P.S.S - Я вапще нискем из них не знаком, поэтому это чисто мнение исходя из текста и видео темы.
Меня интересует момент, почему ты в асэме не показал, дроп файла на диск, конкретно ратника)) или тебя вмп остановило?
Там любой чел с IQ >40 увидит 2 разных файла на ВТ , и разбирал ты склейку с ориг лоадером.
P.S.S - Я вапще нискем из них не знаком, поэтому это чисто мнение исходя из текста и видео темы.
Разработчик
Разработчик
- Статус
- Оффлайн
- Регистрация
- 18 Мар 2020
- Сообщения
- 493
- Реакции
- 1,006
Такой себе аргумент) VirusTotal не так часто обновляет дату публикации исполняемого файла,
Пожалуйста, авторизуйтесь для просмотра ссылки.
проверь еще раз) Время публикации изменилось, но результаты остались такими же, вопрос: где склейка? В каком месте я склеил лоадер, если я его на видосе скачал и сразу же на вт закинул?
Арбитр
- Статус
- Оффлайн
- Регистрация
- 5 Июл 2015
- Сообщения
- 2,968
- Реакции
- 2,398
Ты наверное не совсем понимаешь, как работает ВТ, ты пруфаешь вкладку RELATIONS - это связь файлов, то есть, я залью склейку ориг лоадера со стилером на ВТ, потом ты будешь хоть 100 раз заливать ориг файл без малваря на ВТ и он будет показывать связь со склейкой. Удивлен, что ты этого не знаешь. Открой лоадер в дебагере и пруфни нам дроп файла на диск и опен "Ратника" с этого файла.
Пользователь
- Статус
- Оффлайн
- Регистрация
- 28 Авг 2022
- Сообщения
- 90
- Реакции
- 109
С ВТ все понятно, он действительно так умеет, спасибо его +- адекватным сендбоксам. А что там за инжект? Стандартный Process Hollowing или что? Ибо Process Hollowing (мб еще и Manual Map, но я его в своих делах не юзаю) как раз таки процесс не "порождает с защитой" (да и это невозможно, необходимо копировать весь "стаб" с генерацией и виртуализацией), т.е, по сути мы получаем замапенный файл без защиты, но ты и сам без меня прекрасно знаешь.
Реверсер, а что? Вот я когда смотрю на чужие поделки в реверсе могу понять, говнокод там или нет))
Последнее редактирование:
Разработчик
Разработчик
- Статус
- Оффлайн
- Регистрация
- 18 Мар 2020
- Сообщения
- 493
- Реакции
- 1,006
Начнём с того, что если лоадер имеет ссылку в Relations на другой исполняемый двоичный файл, то скорее всего он его загружает каким-либо образом и дроппает, точно также в Relations работают и соединения с айпишниками, если лоадер имеет связь с ними, то в Relations это отобразит, и я уже в который раз повторяю, что я на видео скачал лоадер с ебучего тг-канала и только потом закинул на вирустотал, сделай тоже самое, проверь на своем компе, запусти песочницу в конце концов, если обойдешь его детекты) Чтобы самому качать виртуалку и разбирать связь между ними нет никакого смысла когда дампы ратников я и так приложил, тебя не смущает даже тот факт, что я все еще с хакнутого бота логи получаю
- Статус
