Гайд [Reverse-Engineering] Как работает Virustotal

[ebola193]

я на ратке норм

 

[idesync]

Начнём с того, что если лоадер имеет ссылку в Relations на другой исполняемый двоичный файл, то скорее всего он его загружает каким-либо образом и дроппает, точно также в Relations работают и соединения с айпишниками, если лоадер имеет связь с ними, то в Relations это отобразит, и я уже в который раз повторяю, что я на видео скачал лоадер с ебучего тг-канала и только потом закинул на вирустотал, сделай тоже самое, проверь на своем компе, запусти песочницу в конце концов, если обойдешь его детекты) Чтобы самому качать виртуалку и разбирать связь между ними нет никакого смысла когда дампы ратников я и так приложил, тебя не смущает даже тот факт, что я все еще с хакнутого бота логи получаю

Не, мэн, релейшнс как раз отображает Execution Parents, экзекьюшн парентсом будет являться любой файл, который похож на оригинальный залитый на вирустотал файл (например, архив с ним и т.п.). Это если я правильно понял, как оно работает.

 

[Misery]

Начнём с того, что если лоадер имеет ссылку в Relations на другой исполняемый двоичный файл, то скорее всего он его загружает каким-либо образом и дроппает, точно также в Relations работают и соединения с айпишниками, если лоадер имеет связь с ними, то в Relations это отобразит, и я уже в который раз повторяю, что я на видео скачал лоадер с ебучего тг-канала и только потом закинул на вирустотал, сделай тоже самое, проверь на своем компе, запусти песочницу в конце концов, если обойдешь его детекты) Чтобы самому качать виртуалку и разбирать связь между ними нет никакого смысла когда дампы ратников я и так приложил, тебя не смущает даже тот факт, что я все еще с хакнутого бота логи получаю

"то скорее всего он его загружает каким-либо образом и дроппает" - Норм повод не качать виртуалку , от экспертного реверсера с хуевой тучей статей.
Ты разберись, как ВТ работает, а потом пиши такие темы. Я до этого читал все твои статьи и считал тебя отлично подкованным парнем в теме по реверсу, сейчас я читаю абсолютный бред.
Все что ты на видео показывал и качал ориг лоадер с ТГ , я сделал тоже самое, и там как раз в той же вкладке показывате детекты т.к хеш лоадера уже есть в базе и на момент его первого залива он был со стилером в склейке.

 

[es3n1n]

Прошу прощения, а где Reverse Engineering, который указан в тайтле темы?

 

[star_lite]

Прошу прощения, а где Reverse Engineering, который указан в тайтле темы?

челик торопился видимо

 

[FronzyQuit]

Прошу прощения, а где Reverse Engineering, который указан в тайтле темы?

о есенин

 

[sozdatel_interneta]

Это у него на скриншоте с меню чита была программа для удаленного доступа на рабочем столе?

 

[zert3185]

Начнём с того, что если лоадер имеет ссылку в Relations на другой исполняемый двоичный файл, то скорее всего он его загружает каким-либо образом и дроппает, точно также в Relations работают и соединения с айпишниками, если лоадер имеет связь с ними, то в Relations это отобразит, и я уже в который раз повторяю, что я на видео скачал лоадер с ебучего тг-канала и только потом закинул на вирустотал, сделай тоже самое, проверь на своем компе, запусти песочницу в конце концов, если обойдешь его детекты) Чтобы самому качать виртуалку и разбирать связь между ними нет никакого смысла когда дампы ратников я и так приложил, тебя не смущает даже тот факт, что я все еще с хакнутого бота логи получаю

А ты можешь просто логи все делитнукть?

 

[BebeRexha]

То что родители не следят за своим ребенком это исключительно вина РОДИТЕЛЕЙ. Тем более где ты увидел намерения навредить им ? Лично я первое писал его отцу
Посмотреть вложение 218669
Но то что его отец меня проигнорировал лишь является его проблемой, после чего мне пришлось звонить, только вот по какой то странной причине он послал меня нахуй..................

Не люблю QHide, но твой поступок жес смешной, хз зачем ты про его предков вообще чет высрал ибо нормальные люди, у бати норм профессия, а мать не тупо дома сидит а чет сама делает даже, тут у 80% страны либо вообще родителей нет либо алкаши/наркоманы. А твой поступок с тем что бы написать отцу вообще на смех пробил, ебать мистер справедливость вынесите ему медаль нахуй, L1NEY на страже моральных норм интернета можно спать спокойно, как будто за тобой блять дохуя следят чем ты там в интернете занимаешься, или батя 50+ лет нахуй сможет понять продаешь ты АДВЕНСТЕЧ ( офк 100% легал бизнесс ибо читы это капец какой белый заработок) или тот же самый никсвар но с ратником внутри, или че блять ты думаешь батя такой подойдет скажет бляяяя сын не делай вирусы в тюрьму сядешь, а qhide такой ЕБААААААТЬ ладно лишаю себя заработка впизду. Так что это все выглядит как нелепая показуха.

 

[idesync]

188.120.228.186

Да, кстати, а почему этого айпишника нет на вирустотале?

 

[easton]

Все что ты на видео показывал и качал ориг лоадер с ТГ , я сделал тоже самое, и там как раз в той же вкладке показывате детекты т.к хеш лоадера уже есть в базе и на момент его первого залива он был со стилером в склейке.

А в каком моменте с этим хэшем в базе он будет без склейки со стилером? А то может у харьковского гуля нанотехнология есть, которая при склейке хэш не меняет, а ратник сам бог запускает


P.s.

Пожалуйста, авторизуйтесь для просмотра ссылки.

через файл, который

Пожалуйста, авторизуйтесь для просмотра ссылки.

у себя

 

[yoyog73441]

почему это вызывает смех? а так гениальный пиар ход от украинца, показал у кого тут 300 IQ +

 

[Mikeyyyyyy]

Бля пиздец интересно чем этот сериал закончится)?

 

[sozdatel_interneta]

Не люблю QHide, но твой поступок жес смешной, хз зачем ты про его предков вообще чет высрал ибо нормальные люди, у бати норм профессия, а мать не тупо дома сидит а чет сама делает даже, тут у 80% страны либо вообще родителей нет либо алкаши/наркоманы. А твой поступок с тем что бы написать отцу вообще на смех пробил, ебать мистер справедливость вынесите ему медаль нахуй, L1NEY на страже моральных норм интернета можно спать спокойно, как будто за тобой блять дохуя следят чем ты там в интернете занимаешься, или батя 50+ лет нахуй сможет понять продаешь ты АДВЕНСТЕЧ ( офк 100% легал бизнесс ибо читы это капец какой белый заработок) или тот же самый никсвар но с ратником внутри, или че блять ты думаешь батя такой подойдет скажет бляяяя сын не делай вирусы в тюрьму сядешь, а qhide такой ЕБААААААТЬ ладно лишаю себя заработка впизду. Так что это все выглядит как нелепая показуха.

Да я ваще кстати хуй знает, кто это чем-то крутым считать начал. Когда чел вместо аргументов в разговоре открывает какой нить INFOAPP и сидит паблики и прочее ищет :))) Сколько раз это вижу и всегда забавляло

 

[Mercury1337]

и не забываем что данный участник форума уже давно не участник и забанен за распространение вредоносного ПО :wink::wink:

Это так не работает.

 

[L1ney]

Это так не работает.

ладно.................

 

[liquidCR]

А в каком моменте с этим хэшем в базе он будет без склейки со стилером? А то может у харьковского гуля нанотехнология есть, которая при склейке хэш не меняет, а ратник сам бог запускает


P.s.

Пожалуйста, авторизуйтесь для просмотра ссылки.

через файл, который

Пожалуйста, авторизуйтесь для просмотра ссылки.

у себя

Я вообще не понимаю, зачем весь этот спор?
Всем известно, что Истон всегда прав.

 

[star_lite]

Я вообще не понимаю, зачем весь этот спор. Всем известно, что Истон всегда прав.

всем известно что истон всегда гей

 

[liquidCR]

всем известно что истон всегда гей

У меня есть достоверные сведения, что это не так.

 

[idesync]

А в каком моменте с этим хэшем в базе он будет без склейки со стилером? А то может у харьковского гуля нанотехнология есть, которая при склейке хэш не меняет, а ратник сам бог запускает

Сам посмотри. На любой анализ execution partners из пяти перейди, там у него во вкладке relations в dropped files будет ссылка и на оригинальный файл лоадера.

Файл со вшитым вирусом дропает оригинальный лоадер:

Правда тут уж хз, может в алгоритмах вирустотала и неправильно что-то работает, куз тут почему-то сразу три bat_crack дропает. Но мб на деле так оно и есть.