EFI_COMPROMISED_DATA
- Статус
- Оффлайн
- Регистрация
- 26 Янв 2018
- Сообщения
- 947
- Реакции
- 1,625
/r/oflanebalo theme
Хай салют здарова
Сегодня я кароче взял билд у @SakariHack его стиллера и решил поковырять его, заодно сделать разбор
стоит сие чудо на с# 500 рубасов
Кстати я хотел бы сказать, что сакари знал, на что идет, когда давал билд, на анализ он согласился.
Сняв обфускацию запихнем в dnspy и посмотрим на код
Вот наша точка входа в приложение
Если защита от второго запуска включена, то оно проверяет по реестру запись
Папка, в которую дропаются файлики которые мы с вами видим в архиве(в конце статьи будет ссылка на лог)
Вот так приходит лог к вам в телеграм
Вернемся к коду, вот так создается директория и скидываются файлы(сами функции стилла не буду показывать, т.к. все таки сакари я уважаю)
Создание архива и отправка его на сайт, откуда пхп скрипт пересылает вам в телеграм
ш-шифрование
Конечно же функция самоудаления через батник
Отстук на иплоггер
Ну по классике в каждой функции try{}catch{}
Дебаг в релизе, как тебе такое Илон Маск?
По факту на этом все, код написан в целом хорошо, но по 4 try catch в функциях для стилла из браузеров это как-то калхозно(в стиле сорика кстати)
Ссылка на лог - https://dropmefiles.com/HvVHe
Продажник - https://yougame.biz/posts/573813/
Селлер - https://t.me/SakariHack
Хай салют здарова
Сегодня я кароче взял билд у @SakariHack его стиллера и решил поковырять его, заодно сделать разбор
стоит сие чудо на с# 500 рубасов
Кстати я хотел бы сказать, что сакари знал, на что идет, когда давал билд, на анализ он согласился.
Сняв обфускацию запихнем в dnspy и посмотрим на код
Вот наша точка входа в приложение
Если защита от второго запуска включена, то оно проверяет по реестру запись
Папка, в которую дропаются файлики которые мы с вами видим в архиве(в конце статьи будет ссылка на лог)
Вот так приходит лог к вам в телеграм
Вернемся к коду, вот так создается директория и скидываются файлы(сами функции стилла не буду показывать, т.к. все таки сакари я уважаю)
Создание архива и отправка его на сайт, откуда пхп скрипт пересылает вам в телеграм
ш-шифрование
Конечно же функция самоудаления через батник
Отстук на иплоггер
Ну по классике в каждой функции try{}catch{}
Дебаг в релизе, как тебе такое Илон Маск?
По факту на этом все, код написан в целом хорошо, но по 4 try catch в функциях для стилла из браузеров это как-то калхозно(в стиле сорика кстати)
Ссылка на лог - https://dropmefiles.com/HvVHe
Продажник - https://yougame.biz/posts/573813/
Селлер - https://t.me/SakariHack