734 ответов в теме

[Lehadyd]

У каждой тайны есть свой срок годности.
 

 

Создание темы навеяно вот сим постом.
Ключевой момент:
 

...
даркспавны, при регистрации в тс засовывают на комп трояны под видом необходимых плагинов
...

 
Вообщем, один из идейных деятелей Темной стороны, makstomaks, он же Лиза, он же Лиза Калм, владетель Осмона, столкнулся с такой петрушкой при плюсотаклинге небезизветсного альянса Darkspawn, вроде как очнувшегося от спячки.
Вики дарскпаунов
 

 

О цели установки плагинов - ни слова.
Довольно интересно, n'est-ce pas? Учитывая, что антивирус, завидя таинственные плагины, голосит о троянах.
Плагины, заботливо скачаные Lanoori Hokkins на яндекс.диск:
 
https://yadi.sk/d/4-CwHh_2Xh38u
https://yadi.sk/d/-a_Q7676Xh396
 
Также было бы интересно послушать официальную версию руководства Darkspawn. С отчетом о работе плагинов, коненчо же
Думается, ввиду летнего периода, сезона отпусков и тотальной лени, зондер-командер ивру упустил этот довольно интересный, на мой взгляд, нюанс.
Но правда должна быть  открыта обществу.
Дабы простимулировать программистов, кодеров и прочих иже с ними специалистов, я решил простимулировать  очередной срыв покровов - человек, написавший отчет с фактическими выкладками о назначении плагина альянса Darkspawn, получит 1 Plex вознаграждения от меня за вклад в расследование.
 
Еще меценаты:
Корпорация БТТТ также подключается к вознаграждению  и гарантирует 1 плекс разоблачителю.
+1 плекс от щедрого shako!
+1 плекс от Amaterrassy.
+1 плекс от emoen

+ анонимные благодетили. Полная инфа у Фишки.
Итого: 8 плексов + 50кк на данный момент.
Ввиду полной своей некомпетентности в данном техническом вопросе, прошу помощи у людей разбирающихся - нужно 2-3 шарящих человека для  маленького ученого совета, который будет проверять выкладки и отчеты  правдоборцев,  дабы не погореть у желающих по легкому срубить бабла.  Работаем за еду правду и зрелища, дамы и господа.
И  напоследок.
Предварительный анализ показал, что плагины хитровыдуманные, разбирательство  в них может превратиться в некий гемор:
 

Что-то такое, что разработчик Даркспауна хочет скрыть настолько, что использует VMP упаковщик (один из самых трудно открываемых), дабы исключить возможность того, что кто-то сможет реверснуть код. У меня возьмет наверное недельку, а может две учитывая мою занятость на работе.

 
Поэтому предлогаю сердобольным и неравнодушным подключиться к вознаграждению потенциальных кибер-ищеек.
Дабы на корню присечь все возможные инсинуации и провокации - общак вручаем человеку с доброй репутацией. Предлагаю Хлада - во время вх-конкурса держал банк общей суммой овер 40ккк, в шалостях замечен не был. Если Хлад согласится, конечно.
Хранитель общака - бох 5-мисок, последний фюрер Аридии и владетель тетана  - Alexfishka. Благотворительные взносы переводить на чара    alexfishka
Думаю, стимул уже хорош. Ваши дополнения, критика - приветствуются.

 

 

 

Бинго!

ДСП: Каждый пилот важен нам так, что мы крадем его личную инфу!

Сообщение отредактировал Lehadyd: 08 August 2014 - 10:02

[fireframe]

зачем это нужно кому-то кроме пары здешних свербоболиков? 

[Lehadyd]

зачем это нужно кому-то кроме пары здешних свербоболиков? 

Ведь, если звезды зажигают если темы создают -
значит - это кому-нибудь нужно?

 

Не ждал ДК так быстро

[Kadze]

а и чоб нет. годная драма будет если что.

[Alexfishka]

.

Дабы на корню присечь все возможные инсинуации и провокации - общак вручаем человеку с доброй репутацией. Предлагаю Хлада - во время вх-конкурса держал банк общей суммой овер 40ккк, в шалостях замечен не был. Если Хлад согласится, конечно.

Думаю, стимул уже хорош. Ваши дополнения, критика - приветствуются.

 

Давай мне общак, я не кину

[shako]

- Дело наше лесное!
- Дело ваше уголовное.

Подогрею возможный интерес в реверсе-дизассембле, с меня плекс в копилку призового фонда. Маякните в лс/ингейм кому контракт запилить.

[Lehadyd]

Давай мне общак, я не кину

Зеленые штанишки Хлада нивелировали возможные подозрения к али-тикеру.

Но, думаю, бох 5-мисок, последний фюрер Аридии и владетель тетана также подходящая кандидатура.

На какого чара переводить?

[Alkarian]

лол, глядишь через пару лет фишка будет гарантом покупки суперов

[Skywize]

Отлично, что тема получила продолжение!

Читая про даркспаун все жду раскрытия секрета от WarStalkeR (неделя прошла уже, но он и про 2 недели говорил).

Тоже подивился про "плагины" для ТС. Первый раз такая тема за несколько ММО моего опыта

[makstomaks]

 

 

 
Вообщем, один из идейных деятелей Темной стороны, makstomaks, он же Лиза, он же Лиза Калм, владетель Осмона

 

посоны, я ничо не платил!

[feddkin]

Суть плагина: Учет активных соединений с серверами (хост, порт, ник)

Этот плагин с бородой и ходит еще со времен...не помню каких.

[makstomaks]

это в плане запалить если у меня 5 тс открыто?

[WarStalkeR]

Этот плагин с бородой и ходит еще со времен...не помню каких.

Да ну? А мне говорят что еще до мая 2014-го его не было... Странно, не так ли?
 

Не ждал ДК так быстро

По мне так, там гораздо больше, чем они хотели бы рассказать.

Добавь в первый пост еще ссылочку на эту, более старую версию плагина, которая кстати и спалилась что используется VMP, ибо в новых, VMP "шифруют" будто это UPX, который распаковывается ленивым нажатием левой пятки, но PEview не обмануть. Есть вероятность, что эту версию сломать будет проще, чем более новую.

И так, информация на данный момент:
В начале я попытался через дебагер дампнуть то, что хранится в запакованном сегменте файла darkspawn.dll (работу над 64-х битной версией я сразу забил, там еще больше мороки, как по мне) - но увы на данный момент фейл, ибо сия падла вместо того, чтобы выплюнуть в память то, что мне нужно, сидит в лупе (т.е. ходит кругами и проверяет). И тут есть три варианта, почему она может ходить кругами:
1) Защита на проверку привязан ли к процессу Дебаггер или нет.
2) Защита на проверку работает ли процесс на железе или же в Виртуальной Машине.
3) Первое и второе сразу, вместе и за компанию. Боль. Много боли. Очень много боли.
Если это все таки только первое, я смогу засунуть сие счастье в песочницу и посмотреть как оно там бултыхается. Если это третье, то я боюсь что таких навыков это раскрыть у меня нету на данный момент, но ради драмы на иврушечке буду потихоньку приобретать.

А теперь немного спекуляций:

MrDrinkins > ну eсть мeтоды
MrDrinkins > зaпрeтить зaпуск фaйлoв из врeмeнныx пaпoк

Это якобы причина почему на этот DLL реагирует антивирь, когда он запускается. Интересно не так ли?
Я использую BitDefender Total Security, который очень хитрый и великолепно вылавливает то, что нужно. Вот такая реакция у него была, когда я DLL превратил в экзешник (посредством пары программ) и попытался его дебагнуть еще просто на компе, без всяких виртуальных машин:

Спойлер

Интересно... На файлы, которые просто распаковываются и запускаются из временной папки он не реагирует. А вот на что он таки да реагирует:
* На всякие известные сигнатуры вирусов и прочей лабуды.
* Попытка получить доступ к персональной информации хранящейся в папке пользователя.
* Попытка получить прямой доступ к дровам и интерфейсам дабы использовать их.
* Попытка получить прямой доступ к системным файлам и прочим интересностям.

Добавим столовую ложку паранойи:
Для чего же может потребоваться такой уровень запаковывания и почему так подозрительно реагирует мой антивирус на простой файл, который всего лишь просто распаковывается и запускается из временной папки? Вы когда нибудь слышали о RAT? На заметку, это не крыса, это Remote Administration Trojan. Это такая софтина, с помощью которой генерируется файл (обычно на С++), который при запуске превращает ваш комп, в сервер, к которому и может присоединиться собственно хозяин сей КРЫСЫ и делать на вашем компе все, что угодно - абсолютно все что угодно: тырить пароли и номера кредитных карт, видеть то, что вы смотрите и даже стереть папку Windows на вашем компе. Лучшие из лучших КРЫС, которые покупаются в Даркнете, могу делать великолепнейшие руткиты, которые обнаруживают дебаггеры и виртуальные машины, которые великолепно запакованы самим сложными упаковщиками и невидным большинством антивирусов вообще, потому что имеют уникальную сигнатуру. Мое счастье, что мной любимый BitDefender Total Security является самым что не есть настоящим аналогом руткита (только антивирус), который сидит довольно таки глубоко и дает пинка всем остальным руткитам, которые пытаются занять его место. Сколько там по Уголовному Кодексу РФ лет дают за такое дело? 2? 4? 5? 10? Ну вы поняли...

И да, улыбнуло:

MrDrinkins > eщё мoжнo нe зaпуcкaть лeвыe coмнитeльныe пpoги и всe

Сообщение отредактировал WarStalkeR: 04 August 2014 - 22:13

[Lehadyd]

Не знаю,  как насчет общей суммы вознаграждения, но,  как первый на крепостной стене,   WarStalkeR явно заслуживает благодарности.

[makstomaks]

то что там что то плохое это и без простынок очевидно, куда интереснее что конкретнее.

банальный смотритель на айдентити\вкладки или троян ворующий пароли.

[Lehadyd]

то что там что то плохое это и без простынок очевидно, куда интереснее что конкретнее.

банальный смотритель на айдентити\вкладки или троян ворующий пароли.

Москва не сразу строилась. Простынка великолепна.

Постучался напрямую, ждем реакции.

[SkyNexGen]

Божечки мои, сниспошлите мне эту драму!!

[Gadsky]

Да ну? А мне говорят что еще до мая 2014-го его не было... Странно, не так ли?
.... skip.... 
И да, улыбнуло:

 

Каюсь, потратил с пару часов чисто пробуя расшифровать строчки в секции данных, уж больно похожи на реальный текст. Но тот факт, что в dll хрен что из реального текста увидишь, и некоторые антивиры сразу говорят - "ой-ой, обфусцировано", и winsock в импорте - вот фига с два бы я себе такой плагин поставил.

[Darth Fett]

Москва не сразу строилась. Простынка великолепна.

Простынка так себе. То, чем оно запаковано, даже доктор веб опознает. Остальное - ничем не подкрепленные домыслы. То есть оно конечно может так быть - а может и не быть. Антивири любят ругаться на все запротекченное, это не доказательство.
Кстати а почему выложен файл .exe, хотя выдается за дллку?

[WarStalkeR]

некоторые антивиры сразу говорят - "ой-ой, обфусцировано", и winsock в импорте - вот фига с два бы я себе такой плагин поставил.

У меня антивирь и на обфускацию и на запаковку не ругается, только на определенные действия. winsock в импорте, потому что сам пакер VMP, который для запуска использует Lightweight Virtual Machine или что-то аналогичное (это на сколько я понял как сей пакер работает).
 

Простынка так себе. То, чем оно запаковано, даже доктор веб опознает.

Открываем ссылочку которую нам дал Лехадид и видим:

Так что там Доктор Веб опознает? И кто вы теперь?
 

Остальное - ничем не подкрепленные домыслы. То есть оно конечно может так быть - а может и не быть. Антивири любят ругаться на все запротекченное, это не доказательство.

Я вроде бы внятно объяснил что у меня не очередной Доктор Веб, а нечто другое, более качественное, которое не ругается на запакованные файлы, а ругается на их действия. Ты точно все прочитал? Или только посмотрел на первое и последние слово?
 

Кстати а почему выложен файл .exe, хотя выдается за дллку?

LordPE тебе в руки, и после пары нажатий пары клавиш, любой длл можно запустить как экзешник. Или вы даже не догадываетесь что хедеры у DLL и EXE практический одинаковые и отличаются только флагом таки DLL это или нет.

Сообщение отредактировал WarStalkeR: 05 August 2014 - 4:40