-
Автор темы
- #1
Изначально Heleks не хотел давать мне билд, но у меня получилось взять билд на проверку. Я обещал не сливать исходный код, но я и не буду. Но гайд как достать сурс из билда (ссылка ниже), я все-таки сделаю.
Во-первых, он поделился билдом, закинув его, на я.диск, но без запароленного архива! А, значит билд уже просканирован VT. Давайте, кстати, глянем его на детект его билда:
Вряд ли билд просел бы за менее, чем 3 недели. Поэтому вывод про крипт делайте сами. А теперь перейдем к самому сочному - протектор, исходы.
Давайте, просто взглянем на свойства файла:
Как можно так жестко проебаться? Я про описание файла. Размер более чем нормальный, а также по свойствам можно заметить что это архив. Проверяем:
Правда не знаю нахуй здесь SFX.
Давайте глянем на анализ DIE:
Хмм... Даже не понятно, что это за пакер, а давайте глянем секции:
Думаю, стоило поменять имя секции...
Ну, анпакать SafeEngine я умею. Зная, что это .NET надо просто сдампить процесс.
1) Скачиваем и запускаем MegaDumper
2) Кликаем:
3)
4) Далее запускаем процесс и дампим файл в главном окне (не делаю тут инструкций, чтобы топ реверсеры не смогли так легко получить исходник)
**Внимание, делаем все на ВМ.
Получаем папку с файлами:
Запихиваем в dnSpy и исходники наши, ооо дааа, но сейчас начнется разбор кода.
Вот от этой строчки мне хотелось блевать:
Короче, вместо того, чтобы сделать приложение WindowsForms и форма не будет рендериться, этот гений решает перехватить и скрыть консоль... (В начале, на секунду, появится консоль)
Насколько надо быть ЧСВ (не в обиду хелексу), чтобы назвать все (проект, решение, папку, где хранятся логи жертвы, папка на сервере)?
FileZilla также сохраняет site manager.xml
Билд:
Продажник: https://yougame.biz/threads/36001
Во-первых, он поделился билдом, закинув его, на я.диск, но без запароленного архива! А, значит билд уже просканирован VT. Давайте, кстати, глянем его на детект его билда:
Давайте, просто взглянем на свойства файла:
Как можно так жестко проебаться? Я про описание файла. Размер более чем нормальный, а также по свойствам можно заметить что это архив. Проверяем:
Правда не знаю нахуй здесь SFX.
Давайте глянем на анализ DIE:
Хмм... Даже не понятно, что это за пакер, а давайте глянем секции:
Думаю, стоило поменять имя секции...
Ну, анпакать SafeEngine я умею. Зная, что это .NET надо просто сдампить процесс.
1) Скачиваем и запускаем MegaDumper
2) Кликаем:
**Внимание, делаем все на ВМ.
Получаем папку с файлами:
Вот от этой строчки мне хотелось блевать:
Короче, вместо того, чтобы сделать приложение WindowsForms и форма не будет рендериться, этот гений решает перехватить и скрыть консоль... (В начале, на секунду, появится консоль)
Насколько надо быть ЧСВ (не в обиду хелексу), чтобы назвать все (проект, решение, папку, где хранятся логи жертвы, папка на сервере)?
FileZilla также сохраняет site manager.xml
Билд:
Пожалуйста, авторизуйтесь для просмотра ссылки.
(не запускать у себя на ПК!!!) (это вирус!)Продажник: https://yougame.biz/threads/36001
Последнее редактирование: