Гайд [Reverse-Engineering] Как работает Virustotal

Статус
В этой теме нельзя размещать новые ответы.
Легенда форума
Статус
Оффлайн
Регистрация
10 Дек 2018
Сообщения
4,385
Реакции[?]
2,286
Поинты[?]
191K
Начнём с того, что если лоадер имеет ссылку в Relations на другой исполняемый двоичный файл, то скорее всего он его загружает каким-либо образом и дроппает, точно также в Relations работают и соединения с айпишниками, если лоадер имеет связь с ними, то в Relations это отобразит, и я уже в который раз повторяю, что я на видео скачал лоадер с ебучего тг-канала и только потом закинул на вирустотал, сделай тоже самое, проверь на своем компе, запусти песочницу в конце концов, если обойдешь его детекты) Чтобы самому качать виртуалку и разбирать связь между ними нет никакого смысла когда дампы ратников я и так приложил, тебя не смущает даже тот факт, что я все еще с хакнутого бота логи получаю :CoolStoryBob:
Не, мэн, релейшнс как раз отображает Execution Parents, экзекьюшн парентсом будет являться любой файл, который похож на оригинальный залитый на вирустотал файл (например, архив с ним и т.п.). Это если я правильно понял, как оно работает.
 
Арбитр
Арбитр
Статус
Оффлайн
Регистрация
5 Июл 2015
Сообщения
2,861
Реакции[?]
2,327
Поинты[?]
205K
Начнём с того, что если лоадер имеет ссылку в Relations на другой исполняемый двоичный файл, то скорее всего он его загружает каким-либо образом и дроппает, точно также в Relations работают и соединения с айпишниками, если лоадер имеет связь с ними, то в Relations это отобразит, и я уже в который раз повторяю, что я на видео скачал лоадер с ебучего тг-канала и только потом закинул на вирустотал, сделай тоже самое, проверь на своем компе, запусти песочницу в конце концов, если обойдешь его детекты) Чтобы самому качать виртуалку и разбирать связь между ними нет никакого смысла когда дампы ратников я и так приложил, тебя не смущает даже тот факт, что я все еще с хакнутого бота логи получаю :CoolStoryBob:
"то скорее всего он его загружает каким-либо образом и дроппает" - Норм повод не качать виртуалку , от экспертного реверсера с хуевой тучей статей.
Ты разберись, как ВТ работает, а потом пиши такие темы. Я до этого читал все твои статьи и считал тебя отлично подкованным парнем в теме по реверсу, сейчас я читаю абсолютный бред.
Все что ты на видео показывал и качал ориг лоадер с ТГ , я сделал тоже самое, и там как раз в той же вкладке показывате детекты т.к хеш лоадера уже есть в базе и на момент его первого залива он был со стилером в склейке.
 
Забаненный
Статус
Оффлайн
Регистрация
18 Июл 2022
Сообщения
63
Реакции[?]
11
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Забаненный
Статус
Оффлайн
Регистрация
29 Мар 2022
Сообщения
21
Реакции[?]
1
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Забаненный
Статус
Оффлайн
Регистрация
22 Мар 2021
Сообщения
1,019
Реакции[?]
314
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Это у него на скриншоте с меню чита была программа для удаленного доступа на рабочем столе?
 
Начинающий
Статус
Оффлайн
Регистрация
17 Июл 2019
Сообщения
175
Реакции[?]
26
Поинты[?]
2K
Начнём с того, что если лоадер имеет ссылку в Relations на другой исполняемый двоичный файл, то скорее всего он его загружает каким-либо образом и дроппает, точно также в Relations работают и соединения с айпишниками, если лоадер имеет связь с ними, то в Relations это отобразит, и я уже в который раз повторяю, что я на видео скачал лоадер с ебучего тг-канала и только потом закинул на вирустотал, сделай тоже самое, проверь на своем компе, запусти песочницу в конце концов, если обойдешь его детекты) Чтобы самому качать виртуалку и разбирать связь между ними нет никакого смысла когда дампы ратников я и так приложил, тебя не смущает даже тот факт, что я все еще с хакнутого бота логи получаю :CoolStoryBob:
А ты можешь просто логи все делитнукть?
 
кто читает тот умрет
Участник
Статус
Оффлайн
Регистрация
29 Июл 2019
Сообщения
698
Реакции[?]
542
Поинты[?]
155K
То что родители не следят за своим ребенком это исключительно вина РОДИТЕЛЕЙ. Тем более где ты увидел намерения навредить им ? Лично я первое писал его отцу
Посмотреть вложение 218669
Но то что его отец меня проигнорировал лишь является его проблемой, после чего мне пришлось звонить, только вот по какой то странной причине он послал меня нахуй..................
Не люблю QHide, но твой поступок жес смешной, хз зачем ты про его предков вообще чет высрал ибо нормальные люди, у бати норм профессия, а мать не тупо дома сидит а чет сама делает даже, тут у 80% страны либо вообще родителей нет либо алкаши/наркоманы. А твой поступок с тем что бы написать отцу вообще на смех пробил, ебать мистер справедливость вынесите ему медаль нахуй, L1NEY на страже моральных норм интернета можно спать спокойно, как будто за тобой блять дохуя следят чем ты там в интернете занимаешься, или батя 50+ лет нахуй сможет понять продаешь ты АДВЕНСТЕЧ ( офк 100% легал бизнесс ибо читы это капец какой белый заработок) или тот же самый никсвар но с ратником внутри, или че блять ты думаешь батя такой подойдет скажет бляяяя сын не делай вирусы в тюрьму сядешь, а qhide такой ЕБААААААТЬ ладно лишаю себя заработка впизду. Так что это все выглядит как нелепая показуха.
 
Начинающий
Статус
Оффлайн
Регистрация
10 Май 2019
Сообщения
19
Реакции[?]
22
Поинты[?]
2K
Все что ты на видео показывал и качал ориг лоадер с ТГ , я сделал тоже самое, и там как раз в той же вкладке показывате детекты т.к хеш лоадера уже есть в базе и на момент его первого залива он был со стилером в склейке.
А в каком моменте с этим хэшем в базе он будет без склейки со стилером? :CoolStoryBob: А то может у харьковского гуля нанотехнология есть, которая при склейке хэш не меняет, а ратник сам бог запускает


P.s.
Пожалуйста, авторизуйтесь для просмотра ссылки.
через файл, который
Пожалуйста, авторизуйтесь для просмотра ссылки.
у себя
 
Начинающий
Статус
Оффлайн
Регистрация
14 Июл 2022
Сообщения
3
Реакции[?]
0
Поинты[?]
0
почему это вызывает смех? а так гениальный пиар ход от украинца, показал у кого тут 300 IQ +
 
Забаненный
Статус
Оффлайн
Регистрация
22 Мар 2021
Сообщения
1,019
Реакции[?]
314
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Не люблю QHide, но твой поступок жес смешной, хз зачем ты про его предков вообще чет высрал ибо нормальные люди, у бати норм профессия, а мать не тупо дома сидит а чет сама делает даже, тут у 80% страны либо вообще родителей нет либо алкаши/наркоманы. А твой поступок с тем что бы написать отцу вообще на смех пробил, ебать мистер справедливость вынесите ему медаль нахуй, L1NEY на страже моральных норм интернета можно спать спокойно, как будто за тобой блять дохуя следят чем ты там в интернете занимаешься, или батя 50+ лет нахуй сможет понять продаешь ты АДВЕНСТЕЧ ( офк 100% легал бизнесс ибо читы это капец какой белый заработок) или тот же самый никсвар но с ратником внутри, или че блять ты думаешь батя такой подойдет скажет бляяяя сын не делай вирусы в тюрьму сядешь, а qhide такой ЕБААААААТЬ ладно лишаю себя заработка впизду. Так что это все выглядит как нелепая показуха.
Да я ваще кстати хуй знает, кто это чем-то крутым считать начал. Когда чел вместо аргументов в разговоре открывает какой нить INFOAPP и сидит паблики и прочее ищет :))) Сколько раз это вижу и всегда забавляло
 
Главный модератор
Главный Модератор
Статус
Оффлайн
Регистрация
2 Апр 2017
Сообщения
2,544
Реакции[?]
1,203
Поинты[?]
41K
ima sippin lean
Забаненный
Статус
Оффлайн
Регистрация
6 Май 2020
Сообщения
495
Реакции[?]
380
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Начинающий
Статус
Оффлайн
Регистрация
5 Окт 2019
Сообщения
22
Реакции[?]
17
Поинты[?]
1K
А в каком моменте с этим хэшем в базе он будет без склейки со стилером? :CoolStoryBob: А то может у харьковского гуля нанотехнология есть, которая при склейке хэш не меняет, а ратник сам бог запускает


P.s.
Пожалуйста, авторизуйтесь для просмотра ссылки.
через файл, который
Пожалуйста, авторизуйтесь для просмотра ссылки.
у себя
Я вообще не понимаю, зачем весь этот спор?
Всем известно, что Истон всегда прав.
 
Забаненный
Статус
Оффлайн
Регистрация
18 Июл 2022
Сообщения
63
Реакции[?]
11
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Легенда форума
Статус
Оффлайн
Регистрация
10 Дек 2018
Сообщения
4,385
Реакции[?]
2,286
Поинты[?]
191K
А в каком моменте с этим хэшем в базе он будет без склейки со стилером? :CoolStoryBob: А то может у харьковского гуля нанотехнология есть, которая при склейке хэш не меняет, а ратник сам бог запускает
Сам посмотри. На любой анализ execution partners из пяти перейди, там у него во вкладке relations в dropped files будет ссылка и на оригинальный файл лоадера.

Файл со вшитым вирусом дропает оригинальный лоадер:
1661698774377.png

Правда тут уж хз, может в алгоритмах вирустотала и неправильно что-то работает, куз тут почему-то сразу три bat_crack дропает. Но мб на деле так оно и есть.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу