Анализ стиллера от @Heleks

Участник
Статус
Оффлайн
Регистрация
23 Фев 2017
Сообщения
612
Реакции[?]
507
Поинты[?]
0
Изначально Heleks не хотел давать мне билд, но у меня получилось взять билд на проверку. Я обещал не сливать исходный код, но я и не буду. Но гайд как достать сурс из билда (ссылка ниже), я все-таки сделаю.
Во-первых, он поделился билдом, закинув его, на я.диск, но без запароленного архива! А, значит билд уже просканирован VT. Давайте, кстати, глянем его на детект его билда:
Вряд ли билд просел бы за менее, чем 3 недели. Поэтому вывод про крипт делайте сами. А теперь перейдем к самому сочному - протектор, исходы.

Давайте, просто взглянем на свойства файла:

Как можно так жестко проебаться? Я про описание файла. Размер более чем нормальный, а также по свойствам можно заметить что это архив. Проверяем:


Правда не знаю нахуй здесь SFX.

Давайте глянем на анализ DIE:

Хмм... Даже не понятно, что это за пакер, а давайте глянем секции:


Думаю, стоило поменять имя секции...

Ну, анпакать SafeEngine я умею. Зная, что это .NET надо просто сдампить процесс.
1) Скачиваем и запускаем MegaDumper
2) Кликаем:
3)
4) Далее запускаем процесс и дампим файл в главном окне (не делаю тут инструкций, чтобы топ реверсеры не смогли так легко получить исходник)
**Внимание, делаем все на ВМ.

Получаем папку с файлами:
Запихиваем в dnSpy и исходники наши, ооо дааа, но сейчас начнется разбор кода.

Вот от этой строчки мне хотелось блевать:


Короче, вместо того, чтобы сделать приложение WindowsForms и форма не будет рендериться, этот гений решает перехватить и скрыть консоль... (В начале, на секунду, появится консоль)

Насколько надо быть ЧСВ (не в обиду хелексу), чтобы назвать все (проект, решение, папку, где хранятся логи жертвы, папка на сервере)?


FileZilla также сохраняет site manager.xml

Билд:
Пожалуйста, авторизуйтесь для просмотра ссылки.
(не запускать у себя на ПК!!!) (это вирус!)
Продажник: https://yougame.biz/threads/36001

 
Последнее редактирование:
паехавший
Участник
Статус
Оффлайн
Регистрация
2 Июл 2017
Сообщения
625
Реакции[?]
154
Поинты[?]
0
как обычно от тебя все ок но расписал как следак нахуй
 
return 0;
Забаненный
Статус
Оффлайн
Регистрация
6 Мар 2017
Сообщения
405
Реакции[?]
237
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
сурсы тож залей :kappa:
 
Продавец
Статус
Оффлайн
Регистрация
12 Сен 2016
Сообщения
870
Реакции[?]
263
Поинты[?]
5K
дада ложь про детект
: Clean
A-Squared: Clean
Ad-Aware: Clean
AhnLab V3 Internet Security: Clean
Arcavir Antivirus 2014: Clean
Avast: Clean
Avira: Clean
BitDefender: Clean
BullGuard: Clean
Clam Antivirus: PUA.Win.Packed.ConfuserEx-6391397-0
Comodo Internet Security: Clean
ESET NOD32: Clean
F-PROT Antivirus: Clean
F-Secure Internet Security: Clean
G Data: Clean
IKARUS Security: Clean
Jiangmin Antivirus 2011: Clean
K7 Ultimate: Clean
Kaspersky Antivirus: Clean
MS Security Essentials: Clean
Malwarebytes Anti-Malware: Clean
McAfee: Clean
NANO Antivirus: Clean
Norton Antivirus: Clean
Outpost Antivirus Pro: Clean
Panda Security: Clean
Quick Heal Antivirus: Clean
SUPERAntiSpyware: Clean
Solo Antivirus: Clean
Sophos: Clean
TrustPort Antivirus: Clean
Twister Antivirus: Clean
VBA32 Antivirus: Clean
VirIT eXplorer: Clean
Zillya! Internet Security: Clean
eScan Antivirus: Clean
eTrust-Vet: Clean
 
Участник
Статус
Оффлайн
Регистрация
23 Фев 2017
Сообщения
612
Реакции[?]
507
Поинты[?]
0
дада ложь про детект
: Clean
A-Squared: Clean
Ad-Aware: Clean
AhnLab V3 Internet Security: Clean
Arcavir Antivirus 2014: Clean
Avast: Clean
Avira: Clean
BitDefender: Clean
BullGuard: Clean
Clam Antivirus: PUA.Win.Packed.ConfuserEx-6391397-0
Comodo Internet Security: Clean
ESET NOD32: Clean
F-PROT Antivirus: Clean
F-Secure Internet Security: Clean
G Data: Clean
IKARUS Security: Clean
Jiangmin Antivirus 2011: Clean
K7 Ultimate: Clean
Kaspersky Antivirus: Clean
MS Security Essentials: Clean
Malwarebytes Anti-Malware: Clean
McAfee: Clean
NANO Antivirus: Clean
Norton Antivirus: Clean
Outpost Antivirus Pro: Clean
Panda Security: Clean
Quick Heal Antivirus: Clean
SUPERAntiSpyware: Clean
Solo Antivirus: Clean
Sophos: Clean
TrustPort Antivirus: Clean
Twister Antivirus: Clean
VBA32 Antivirus: Clean
VirIT eXplorer: Clean
Zillya! Internet Security: Clean
eScan Antivirus: Clean
eTrust-Vet: Clean
Хоть бы под спойлер кинул (лучше ссылку). Я говорил про крипт того файла, что был. А там было 7.
 
Участник
Статус
Оффлайн
Регистрация
23 Фев 2017
Сообщения
612
Реакции[?]
507
Поинты[?]
0
Начинающий
Статус
Оффлайн
Регистрация
12 Фев 2018
Сообщения
30
Реакции[?]
6
Поинты[?]
0
охуенный пост, но стоило бы все таки написать, что надо запускать на ВМ с бб кодом, чтобы не случалось вот такое вот :roflanPominki:
 
Сверху Снизу