Анализ & Кряк *******а X-FILES

В общем недавно увидел на просторах лолзтима замечательный X-FILES



Решил заполучить данное чудо, и посмотреть что оно умеет

*Приступим к самому анализу*

• Закинем софт в dnSpy, посмотрим что он вообще умеет

Простейший бейпасс, сетится значение нашего юзера(купившего билд), и подгружается основной билд(самого *******а)





*Обращу внимание, что код не поддавался никакой обфускации*

Самое забавное, что бейпасс полностью сворован у лимера(
(https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp/blob/5937e381f9569f2568c5fcc6c00c99cbb8198805/AsyncRAT-C#/Plugin/Extra/Extra/Handler/HandleDisableDefender.cs)

Явно нельзя говорить о работе с нуля, и прочем



Перейдем к анализу самого *******а => Откроем его все тем же dnSpy



Софт явно не имеет никаких зависимостей, ну а если серьезно, то это вообще жесть, он все это запихнул в sfx







Простейшинг грабинг, и декрипт(который по понятным причинам украли с гитхаба) (https://github.com/cainqs/AllInOneA...f3faca/AllInOneAV/Utils/ChromeCookieReader.cs)

Отправка идет на сервера ТС, скорее всего там они успешно хранятся, их никто не удаляет



Выводы: Очередная паста, автор не удосужился реализовать банальные вещи, а решил их позаимствовать. Явно не идет речь о какой-то уникальности, большая часть кода - в паблике. Так же **** хранятся на сервере ТС, поэтому советую пользоваться с опаской

Если хотите крякнуть софт - напишите простейший пхп обработчик, и радуйтесь жизни ;)))

https://telegra.ph/X-FILES-*******-Ocherednaya-pasta-ili-novyj-vyser-Malware-Research-Pablik-03-22 - телеграф версия =)​