Гайд [Reverse-Engineering] Изучение вирусов через кряки (motoboy900, LPSOPG, ...)

[StihlMaker]

 

[ALOL1]

Колбу, как ты не смог найти вирусы в своем собственном кряке alternative hack,

Пожалуйста, авторизуйтесь для просмотра ссылки.

Remote shell menu(меню отображающее список юзеров, которое позволяет выполнять cmd.exe команды удалённо, воровать папки, снимать видео и скрины с рабочего стола жертвы)


сам его туда добавил ?

Давай разбери свой кряк, а то других обвиняешь а сам тем же занимаешься?))
Нука опытные реверсеры соберитесь гляньте чё ваш колба делает)

Прошу закроите компьютер и не заходите больше в интернет . Желательно еще сломайте все свои телефоны и компьютеры это вредно .

 

[StihlMaker]

Давайте без флуда тема очень серьезная.

 

[WantToFreak]

Колбу, как ты не смог найти вирусы в своем собственном кряке alternative hack,

Пожалуйста, авторизуйтесь для просмотра ссылки.

Remote shell menu(меню отображающее список юзеров, которое позволяет выполнять cmd.exe команды удалённо, воровать папки, снимать видео и скрины с рабочего стола жертвы)


сам его туда добавил ?

Давай разбери свой кряк, а то других обвиняешь а сам тем же занимаешься?))
Нука опытные реверсеры соберитесь гляньте чё ваш колба делает)

 

[StihlMaker]

кряк альты был сделан полностью ручными патчами через x32dbg, там нет моего маппера, и эт легко проверить, сравнив оригинальный сайз чита и уже сам пропатченный чит, поэтому весь тот бред, что он повесил на меня, соответственно, никак ко мне не относится

Интересно как на столько опытный реверсер мог совершенно случайно пропустить такую мелочь как RAT в чите который сам же и крякал?

Мало вариантов ответа, правда ведь?

По мне так:

1. Сам и встроил туда эту дрянь
2. Разработчики чита встроили эту дрянь туда а ты никак с ними не связан и просто не заметил вирус

 

[StihlMaker]

Что тут за не добрые личности собрались, давайте будем добрее друг к другу.

 

[colby57]

Hidden content


Интересно как на столько опытный реверсер мог совершенно случайно пропустить такую мелочь как RAT в чите который сам же и крякал?

Мало вариантов ответа, правда ведь?

ну наверное с того, что ты дебилоид 30-летний, который основывается на одних лишь строчках в бинарнике, если я в своем маппере в кряке какого-нибудь чита оставлю шелл по типу

std::string a = "Downloading rat.exe...."

то ты и это говно проглотишь, поскольку не додумаешься проверить псевдо функции, которая принимает как аргумент эту самую строку

в целом так и произошло, ты купился на липовую админ панель в чите, купился на строки, и при этом ни разу не попытался брякнуть функции, которые могут вгетать твои файлы

ну в целом я тя поздравляю, тратишь своё время правильно, можешь ещё этот пост почитать

Пожалуйста, авторизуйтесь для просмотра ссылки.

 

[StihlMaker]

ну наверное с того, что ты дебилоид 30-летний, который основывается на одних лишь строчках в бинарнике, если я в своем маппере в кряке какого-нибудь чита оставлю шелл по типу

std::string a = "Downloading rat.exe...."

то ты и это говно проглотишь, поскольку не додумаешься проверить псевдо функции, которая принимает как аргумент эту самую строку

в целом так и произошло, ты купился на липовую админ панель в чите, купился на строки, и при этом ни разу не попытался брякнуть функции, которые могут вгетать твои файлы

ну в целом я тя поздравляю, тратишь своё время правильно, можешь ещё этот пост почитать

Пожалуйста, авторизуйтесь для просмотра ссылки.

То есть если опытные реверсеры глянут, то не найдут там RATник в dll, верно?

Ты так называемую "фейковую админ панель" не открыл до конца, только какие-то огрызки показал, ещё твой кряк поднимает cmd.exe процесс и инжектится туда для выполнения remote shell команд вероятно (тоже скажешь фейк, типа фейковый инжект делает на всякий случай?)

 

[Kodama]

Kodama, с чего ты взял что я являюсь тем самым человеком?

Только ты сейчас пытаешься, как бы выразиться правильно, натыкать в бинаре "хуйпоймичто" через метод "хуйзнаеткакнокак-нибудь", будучи, как ты выражаешься "умеющий ревёрсить". Только ты на данный момент до сих пор ебёшь голову другому человеку этим, блядь, кряком. Ёбанный врот, нахуй и впизду, ты серьёзно?

Скрытое содержимое

Что тут за не добрые личности собрались, давайте будем добрее друг к другу.

Как можно быть добрее к 30 летнему лбу, который также, как и любители гейсенса, реверсит снова не в ту сторону? Который снова, как и такие же любители поревёрсить через метод "хуйзнаеткакнокак-нибудь", неиронично пишет простейший алгоритм для реализации в иде, блядь, через ебучий ChatGPT и, сука, на шарпах, когда есть, сука, IDAAPI? Который банально, блядь, не может самостоятельно проверить весь функционал, просто поставив ГИПЕРВИЗОР с ВИНДОЙ и ЕБУЧИЙ ОТЛАДЧИК В ЭТУ ЖЕ ВИРТУ, запустить ЕБАННЫЙ ПРОЦЕСС и ПРИАТАЧТЬСЯ К НЕМУ. Нееееет, мы блядь будем всем людям мозг ебать своим "смотрите какой я умный блядь, а вот <никнейм> еблан))))00))". Рыцарь СТАТИЧЕСКОГО АНАЛИЗА с ТУЛЗАМИ из говна и палок, блядь.

Караулов, Караулов, дам тебе совет - пойди почитай хотя бы какой-нибудь материал по ревёрсу, ну хотя бы ебучий "Вскрытие покажет" или RE4B. Посмотри, как же наконец-то начать ревёрсить. Прокачай, блядь, наконец-то свою логику - потренируй нахуй на крякмисах. И последний совет - съеби отсюда, скулящая шлюха, не еби мозг никому

 

[colby57]

твой кряк поднимает cmd.exe процесс и инжектится туда для remote shell команд.

ты если бы самостоятельно ковырял чит (на самом деле нет, потому шо не сможешь), то понял что большая часть нетворкинга (авторизация, клауд и т.д.) завязана на том, что чит создаёт внутри дочерний процесс cmd.exe замороженным, и туда инжектит свой бинарь, в котором в основном сидят wininet.dll импорты (HttpSendRequestA, InternetReadFile, InternetCloseHandle)
и чит в связке с ReadProcessMemory+WriteProcessMemory+CreateRemoteThread передает и получаем таким образом пакеты

можешь звать кого угодно на анализ кряка, мне по барабану будет лел, тут тебе не dev-cs, где ты можешь спиздануть любую хуйню, а хомячки с таким же уровнем квалификации как и у тебя поверят этому

 

[StihlMaker]

Давайте не будем поддаваться эмоциям а будем рассуждать логически, мыслить рационально.

 

[Blick1337]

Рационально? Пока не приведешь псевдокод где используется данная строка, и после там реально исполняется какой либо код, то все твои попытки со строками бессильны

PS: какой ваще долбаеб будет делать меню управления ратником в чите. Чтобы блять что? В разы проще это все на сайте поднять. И в игру не надо заходить.

 

[StihlMaker]

Рационально? Пока не приведешь псевдокод где используется данная строка, и после там реально исполняется какой либо код, то все твои попытки со строками бессильны

PS: какой ваще долбаеб будет делать меню управления ратником в чите. Чтобы блять что? В разы проще это все на сайте поднять. И в игру не надо заходить.

Вероятно автор веб части и автор чита разные персонажи, может быть автор чита делал это в тайне от автора веб части. Ну или колбу57 сам встроил этот ратник в чит. Декомпиль имеется с 50% открытых строк,

Пожалуйста, авторизуйтесь для просмотра ссылки.

, смотрите:)

Возможно кому-то пригодится и сама программа которая снимает защиту строк (sse2 xorps 128bit операнды используется для constexpr защиты строк, снять получилось только в декомпиле т.к питон скрипта не было)

 

[Blick1337]

Почему ты не можешь понять, что наличие строк не доказывает, что там малварь.

Это может являться подтверждающим фактором, только при подтверждении что данная строка используется в месте где идет например отрисовка, и дальше при нажатии он исполняет команду такую то, которая в свою очередь такими то методами качает файл или что то ещё.

 

[Hack3r_jopi]

Вероятно автор веб части и автор чита разные персонажи, может быть автор чита делал это в тайне от автора веб части. Ну или колбу57 сам встроил этот ратник в чит. Декомпиль имеется с 50% открытых строк,

Пожалуйста, авторизуйтесь для просмотра ссылки.

, смотрите:)

Возможно кому-то пригодится и сама программа которая снимает защиту строк (sse2 xorps 128bit операнды используется для constexpr защиты строк, снять получилось только в декомпиле т.к питон скрипта не было)

Ну это уже проделки не колбу, к этому он не причастен, а также если он причастен по твоему мнению приложи псевдокод с которым согласится колби оригинальной хуйни которую заливал колби и уже отталкивайся от этого, твои дагадки это простая детская чушь с которой спорить нет смысла только потому что ты не пытался обратно разработать конкретно его хуйню

 

[ALOL1]

ты кста читал статью у colby?

 

[StihlMaker]

Ну это уже проделки не колбу, к этому он не причастен

Ну может быть, интересует само наличие ратника и почему колбу не заметил этого. Разобрал бы он этот чит и смешал разработчика с говном, так нет будет лизать им до последнего...

 

[Hack3r_jopi]

Скрытое содержимое


Ну может быть, интересует само наличие ратника и почему колбу не заметил этого. Разобрал бы он этот чит и смешал разработчика с говном, так нет будет лизать им до последнего...

Ну как минимум кобли даже если бы заметил это, то это уже конкретно к нему не относится по причине того что его задача была конкретно в кряке самой хуйни. А смысла разбирать это говно и смешивать кого либо с говном если у него нет на это интересов, и он просто сделал своё дело, я не вижу смысла тут как либо оправдывать это и прочее, а также строить тупые теории заговора тоже нет смысла, он уже нормально обьяснил что к этой всей проделке он никак не относится и лишь крякнул залупу, и уже рассказал методы работы его кряка, к чему устраивать этот весь цирк я не понимаю...

 

[StihlMaker]

Почему ты не можешь понять, что наличие строк не доказывает, что там малварь.

Это может являться подтверждающим фактором, только при подтверждении что данная строка используется в месте где идет например отрисовка, и дальше при нажатии он исполняет команду такую то, которая в свою очередь такими то методами качает файл или что то ещё.

Ну так и есть, глянь функцию с видео, там прямо идёт отправка команды через remotecmd загрузить эту папку у жертвы, да декомпиль может быть не полный. А затем эта же функция вызывается со строкой "c:\projects\cs1.6\unrealcheatfinder\src"

То есть заморочились что бы нарисовать фейковую менюшку, со списком юзеров и кнопками "выполнить remote cmd из поле SendCmd, снять скриншот, снять видео указанной длительности, вызвать краш", в которую можно попасть вскрыв чит и произведя какие-то нелепые манипуляции с патчами кода? А причем тогда тут строка "c:\projects\cs1.6\unrealcheatfinder\src" отправляемая в функцию "send_remote_dir", тоже случайно фейк добавили, и почему все строки были надёжно зашифрованы если это сделано для фейка, слишком много вопросов и мало ответов верно?

По этому хотелось бы что бы кто-то взял и разобрался раз и навсегда) склоняюсь к наличию дряни в виде ратника в бинаре)

Функция через send отправляет удалённую команду под номером 1337 и название папки, команда должна будет выполнится у любого выбранного пользователя. Сама команда под номером 1337 получает у жертвы список файлов из указанной папки, игнорирует папки .vs .git blackbone, читает их и отправляет н удалённый сервер

 

[Hack3r_jopi]

Скрытое содержимое


Разобрал бы он этот чит и смешал разработчика с говном, так нет будет лизать им до последнего...

Бля мужик ты нашёл до чего доебатся, сиди создавай большую тему разоблачение на данную персону которая делала сам чит, пиши в посте "я выпорю тебя атата за такие проказы" и обратно разработай чит и покажи весь псевдокод который успешно инициализирован и в случае чего исполнит те самые проказы, я не понимаю реально чего ты добиваешься, колби ничем не обязан что либо делать тебе доказывать и прочее, также он обьяснил от своего лица что за что отвечает конкретно его кряк, а то что в самом чите вирус (по твоему мнению) ебаный был и есть без его участия то это проблема ебаного кодера