Всем привет, сегодня изучаем код нового *******а Lightning ******* ценой 300 рублей в неделю. В этой статье я лишь изучаю код, за снятие обфускации спасибо кодервиру. Предыстория: Сразу после моей покупки этого прикола вся панель была засорена фейк логами с рекламой какого-то софта, из скринов осталось только это - Спойлер Как было видно, защиты от дубликатов в нем нет. Мне захотелось посмотреть, каким таким интересным образом отправляются ****, что ими можно легко заспамить юзеров. Пройдемся по коду, начнем с отправки *****. log - объект со всей собранной *******ом информацией. Что происходит на скриншоте - объект через Serialize переводится в JSON и записывается в файл на диске, после чего ЭТОТ ЖЕ ФАЙЛ ЧИТАЕТСЯ И СОДЕРЖИМОЕ ЭТОГО ФАЙЛА В ЧИСТОМ ВИДЕ ОТПРАВЛЯЕТСЯ НА СЕРВЕР. После сих волшебных действий файл остается лежать на диске Спойлер минутка msdn На выходе получается примерно такое: Скриншот тоже сохраняется на диск и тоже не удаляется после работы, на моем дедике до сих пор в аппдате одиноко валяются 444.txt и 1.png Telegram ID покупателя надежно зашифрован и находится в самом неожиданном месте. Для сбора Gecko зачем-то вгружаются мозилловские дллки, спрашивается зачем, ведь на шарпах легко реализовать дешифровку без них? Создается впечатление, что код по частям был собран из различных паблик *******ов. Все базы данных склайта складываются в одно место - %temp%. Ну и под конец, из продажника: "И т.д." - громко сказано. Особенно, когда все кошельки кроме Exodus ищутся в каком-то Wallets в аппдате, в котором их разумеется никогда не будет, и ******* их не соберет. Спойлер Я не буду говорить, стоит ******* своих денег или нет - он не годится для продажи вовсе. Очевидно, что его сделал неопытный в сфере малварей кодер, так как в нем отсутствуют самые минимальные требования - анти-дубликат, анти-снг, сбор кошельков (один не считается). Стаб для изучения - https://anonfiles.com/n0Y0gbMcx1/Buil-noAnti_bin (не запускайте на основной машине!) Что тогда покупать? Однозначного ответа нет, но если вы новичок, на которых и рассчитан этот *******, то стоит брать *******ы, которые на рынке дольше всего, ведь у них наименьший шанс недобросовестности ТСа. Хорошим вариантом, как по мне, до сих пор остается XFiles (не реклама). Стоит учитывать, что вы всегда покупаете бюджетные *******ы на свой страх и риск - в них ваши **** проходят через сервер ТСа, кто знает, куда они улетают потом. Если возможности взять ******* нет совсем, или есть желание получить относительно качественный ******* и вы готовы рисковать криптой в ваших логах, то стоит воркать на какую-нибудь тиму, их можно найти здесь - https://zelenka.guru/forums/936/ . Спасибо за прочтение.
Работяга_неактив621235, яндекс записывается в хромиум и ******* пытается его застилить так же, как хром. по факту его нет
сука --- Сообщение объединено с предыдущим 5 мар 2022 мой анализ не одабряют, уже 3 с хуем весит на проверке --- Сообщение объединено с предыдущим 5 мар 2022 ахуено
Спрашивали никому не нужное мнение? Вот и оно. Я надеюсь, разработчик прочитает это и усвоит что-то. На самом деле действительно странное решение перевода файла в JSON формат, как минимум это непрактично (на мой взгляд). Что по сбору, то удивительно, что разработчик не дошел до fileless методов сбора и отправления на сервер, и предварительном сжатии результатов сбора. На крестах и сишке это реализуется не просто, но и не то, чтоб сложно. Если есть такие штуки и шарпов, то тут проблем особых не будет, наверное (можете скинуть и документацию функций, я просто ленивый). Вот удаление могло вызвать трудности, так как стандартный COMPSEC удаляет файлы только после перезагрузки, если мне память не изменяет. Однако, не мешает найти кое-какие другие методы. **** на диск ваших результатов плохо сказывается на вашей незаметной работе, да. Парниша не знает, что такое криптография, что уж поделаешь. Кодовая база, возможно, одна и та же (могу ошибаться, так как работаю с более хардкорными вещами, а не *******ами, все не знаю), поэтому он решил, что это будет хорошей идеей. Насколько я понимаю, эвристический анализ в таком случае дает (пизды) детекты. От себя еще: Я не нашел ни одного метода/функции закрепления в системе. Т.е эта штука работает одноразово, что ли? Или это фишка у всех *******ов? Нашел crypt32.dll (отвечает за DPAPI) и реализацию DPAPI, однако применения самого DPAPI я нигде не увидел. Видимо, разработчик не понял, как с ним работать (не удивительно, ибо там все совсем по другому), поэтому для Gecko был выбран вариант с мозиловскими либами. Ультразадроченный метод детекта гипервизора и сахарный IsDebuggerPresent. Почему бы не использовать что-то более нормальное и менее заметное (IDTR, к примеру, или проверка на двунаправленный буффер). Про сахарный IsDebuggerPresent помолчу. Здоровья всем.
Replacer, как мне кажется, кодер где-то услышал про преимущества сбора лога на сервере, но реализовал это идиотским образом dpapi (а именно CryptUnprotectData) используется в дешифровке хромиумоподобных браузеров. в самом геко, если не путаю, используется 3des + какое-то хэширование пароля *******у не имеет смысла оставаться в системе. его задача - собрать как можно больше информации за максимально короткий промежуток времени, желательно оставшись незамеченным, и "свалить".
Бессмысленное занятие, особенно когда расшифровка происходит на сервере. А по поводу высера за 'json', расскажи мне мальчик, в каком формате данные отправлять? в байтах ?
ksdfjxc123z, кому ты рассказываешь, по скриншоту видно, что у тебя чистый json отправляется на сервер) по секрету скажу - все, что ты отправляешь в интернет, отправляется так или иначе в байтах. мб ты имел ввиду перевод жсона в хекс, но это решение не лучше
ksdfjxc123z, надо - я могу за полчаса сделать сервер с переводом твоего жсона в лог с его последующей отправкой и пропатчить стаб в два клика, но зачем? смысл крякать абсолютно негодный для использования малварь?
ksdfjxc123z, Идиот ебаный. Это дерьмо никому не нужно блядь. О каком кряке идёт речь? цель была проанализировать, а не крякнуть хуйню от школьников для школьников. Надо быть дауном чтобы юзать софты дешёвые. Как говориться, ТристА. отсоси у тракториста.
Мы вам обещаем, что это лишь первое обновление *******а, в скором времени он будет написан на СИ, за который вы не шарите, потому что вы шарпоёбы). Так что ожидайте, и готовьте свои петушиные дырочки
ksdfjxc123z, твое творение, получается? Если действительно так, то тут твои "7 лет стажа" просто напросто аннулируются. Люди такое с "опытом программирования - 7 лет" не пишут, уж поверь мне. А че, какой стандарт хоть? C89? C99? Мб еще с CRT? А че проект сразу не был написан на сишке? В чем прикол писать на шарпе и потом резко перелазить на совершенно другой язык с совершенно другими правилами? Если тебя так рвет с критики - у меня для тебя плохие новости.
ksdfjxc123z, так ты кодер проекта, а Decibel_inactive3959444 лишь посред? Могли бы хоть сказать спасибо @backdoortp за разбор и указание ошибок и уже учесть, исправить ошибки и спокойно отреагрировать, а тут лишь 1 негатив.