734 ответов в теме

[Chazm]

Все какахи мимо, ибо не играю с марта 2013, агиткомом и тем паче рекрутером не был, ни единого крабшипа не слил. 

Так что ваши домыслы про мой "чемоданинг" не иначе как ваши влажные фантазии. Хомячек, знай, ставя минус - мозгов себе не прибавишь

Не пость с августа 2014, а?

[WarStalkeR]

Это которая с китайским бекдором? Хватай распространителя малвари!

Тебя никто не просит запускать ее с компа, есть виртуалка. А эта со стыренной лицензией из фирмы
 

Эту?
http://forum.eve-ru....showtopic=89599

Эту, эту. Ты не прогадал
 

Если взять рандомный кусок библиотеки, и снабдить столбцы всяких там "MOV EAX, ECX" комментариями "а вот тут мы переходим в каталог где Ева хранит логи", "Здесь мы вычитываем из реестра сохраненный username", "тут стартует кусок, который отвечает за перехват клавиатуры, и логирование вводимых символов - воруется пароль от учетки", "ведется поиск информации о кредитных картах и паролях от платежных систем" и т.д. - 95% народа купится, оставшиеся 5% поржут, и только дарспауны прибегут танковать такую жирноту. Но их тут мало кто будет слушать

Эта идея просто таки бесценная
 

Есть еще полный релиз от русских (IDA утащенная у ESET)

Да, это он самый.

Спойлер

Если использовать из виртуалки, лицензия получается бесконечная

Сообщение отредактировал WarStalkeR: 06 August 2014 - 17:14

[MERKATOR]

Тек-с, сколько там ща плексов сулят?

 

А, сколько за исходники дадите?

[Alkarian]

Тек-с, сколько там ща плексов сулят?

 

А, сколько за исходники дадите?

нисколько. ты докажи что твои исходники и запакованная дллка это одно и то же

[MERKATOR]

нисколько. ты докажи что твои исходники и запакованная дллка это одно и то ж

 

хитро -хитро   так сколько?

[Darth Fett]

Ну что, выкладывать или ждем до пятницы?

[Geriko]

Призовой фонд у алекса фишки я так понял 8 плексов и 50 кк.Пишите тут и жюри будет решать кто победитель.

[makstomaks]

Ну что, выкладывать или ждем до пятницы?

 

давай уже!

[Doppelganger]

Ну что, выкладывать или ждем до пятницы?

Бахай братишка, и поскорее! Посмакуем до пятницы и так. 

[Darth Fett]

Плагин накрыт протектором VMPROTECT:

darkspawn.dll packed by VMPROTECT

Файл запакован и просто так ничего не видно. Впрочем сдампить его труда не составляет.
В дампе уже обнаруживаются намеки на его деятельность, например такие строки:

Host: darkspawn.net
HTTP/1.1
GET /ts_guard.php?k=

Гугление показало, что остальные строки по большей части принадлежат примеру плагина из дистрибутива тимспика, а также библиотеке cryptopp.
Очевидно, что плагин авторизуется на серваке даркспавна через http, отсылая какой-то идентификатор, по видимому для допуска в тс. Делается это в функции ts3plugin_init.
К счастью большая часть кода оказалась не затронутой вмпротектом, что давало надежду найти что-то интересное.
Поскольку плагин сделан из примера с общедоступными исходниками при этом практически не измененного, найти секреты можно просто сравнив код дллки и плагина.
Большая часть функций 1 в 1 соответствовали примеру. Автор даже не потрудился выпилить всякие тестовые меню с ничего не делающими функциями. Разве что "Test Plugin" заменил на "Darkspawn".
Внимание привлекла функция ts3plugin_onEditPlaybackVoiceDataEvent.
Судя по названию и аргументам (см.пример плагина) она используется для обработки звука.
Чтоб разобратся, что же она делает, я написал свою версию тимспика :troll: :

typedef void ts3plugin_onEditPlaybackVoiceDataEvent(unsigned __int64 serverConnectionHandlerID, int clientID, short* samples, int sampleCount, int channels);

HANDLE hdll=LoadLibrary("darkspawn.dll");
ts3plugin_onEditPlaybackVoiceDataEvent * ts3plugin_onEditPlaybackVoiceDataEventPtr=(ts3plugin_onEditPlaybackVoiceDataEvent *)GetProcAddress(hdll,"ts3plugin_onEditPlaybackVoiceDataEvent");
WORD * IdPtr=(WORD *)((DWORD)hdll+0x2A3F0);
short buf[20000];
for (int i=0;i<10000;i++)buf[i]=10000;
for (int i=10000;i<20000;i++)buf[i]=-10000;
*IdPtr=1;//это передаваемый Id
ts3plugin_onEditPlaybackVoiceDataEventPtr(0,0,buf,20000,0);
for (int i=0;i<20000;i++)printf("%d\n",buf[i]);

Всякие инклуды и прочее стандартное проскипано.
Запуск выявил, что инициализированный константой массив оказался модулирован синусом.
Поигравшись со значением Id, удалось определить принцип кодирования - 16битное число кодируется по 1 полупериоду на бит, при этом частота у 0 в 2 раза выше чем у 1, передается старшим битом вперед.
Вот графики сигнала для значений Id 0, 1, 2, 4, 8:

Само же Id по видимому отдает сервер, плагин получает его функцией ts3client_getClientVariableAsInt(...,32,...) при инициализации.
Больше пока что ничего подозрительного не обнаружилось, впрочем это не означает что больше ничего нет. Библиотека cryptopp по видимому используется для авторизации на сервере.
Таким образом цель плагина - подмешивать некие идентификаторы в звук, по видимому для разоблачения шпионов по выложенным записям ТСа.
При логине плагин авторизуется на сервере даркспавнов, получает ид юзера и доступы. Полученное ид периодически подмешивается в принимаемый звук. На сервере очевидно хранится таблица Id <-> user.
Качество исполнения плагина оставляет желать лучшего - в тестовом примере перебиты только копирайты и выше указанные функции. Куча тестовых хвостов, которые не потрудились даже вычистить. Как работает протектор тоже не разобрались, что позволило легко провести анализ. Короче кодеры у даркспавнов не лучше пвпшников, так что врятли там еще что-то скрыто, хотя вероятность остается.
Приведенный выше код позволяет любому желающему с опытом программирования уровня hello world проверить предоставленную инфу. Ингейм ник указан верно.

Сообщение отредактировал Darth Fett: 06 August 2014 - 18:51

[Doppelganger]

Кажется у нас есть победитель!

[makstomaks]

в фонд ат!

[Gelen R]

Было

Мда. Мне со своим опытом бэйсика первой половины 90х далеко до местных грандов кодинга/хакинга этого топика.

Однако ж ничего не мешает строить предположения, а для чего этот плагин собственно нужен.

 

Итак, с вашего позволения, позволю себе включить ВООБРАЖЕНИЕ (с)

 

Как тут уже предполагали, есть мнение, что этот плагин создан в качестве средства борьбы против шпионов, возможно против несанкционированных записей народных вече.

Воображение предполагает, что данный плагин не препятствует записи, ибо ищущий да найдёт способ. Данный плагин нечто совершенно другое - он монтирует в записываемый или даже (что более верно) получаемый абонентом на выход из колонок/наушников аудиоряд некие маркеры, сигнатуры. Эти сигнатуры генерируется согласно уникальному никнейму абонента в тимспике, например на основе букв его (никнейма) составляющих. Вряд ли это сильно сложный способ создания "уникальности" сигнатур. Эту сигнатуру не различить на слух - это могут быть трески, щелчки, помехи, искусственные паузы, незаметная обрезка/дописывание звука, мельчайшие кратковременные ускорения-замедления аудиопотока. Обнаружить такие аудиоартефакты невозможно без специальной программы-анализатора. Перезапись, переформатирование, переупаковка в другой аудиоформат, изменение битрейта не помогает, сигнатуры зашиты именно в виде аудиоартефактов.

Но всё меняется если у вас есть вторая половина этого антишпионского ПО - программа-анализатор. Находим выложенную запись секретного народного вече в сети, загоняем её и оригинальный файл серверной записи в программу-анализатор, тыц в кнопку. Программа сравнивает, анализирует два трека и вуаля - "эта запись произведена с уникальной сигнатурой хХХ-ВАСЯН-ХХх". Ура заговор раскрыт, имя шпиона вытащено на белый свет, кик с корпы негодяя!

 

Если такой программы до сих пор не придумано, то её, право стоило бы уже написать

 

Один эксплойт я только вижу в своей теории. Всего один. Зачем делать это на клиенте тимспика, когда можно реализовать на серверной части и раздавать уже модифицированный и персонализированный аудиопоток персонально каждому абоненту независимо от того ведёт он запись или нет? Возможно это будет слишком большая нагрузка на сервер, в этом причина.

 

Как проверить мою фантазию? Записать народное вече дарспаунов через несколько тимспиков с установленными плагинами. И сравнить "попиксельно". Спектральный, частотный анализ например или ещё какой (как там правильно называется запись звука графически выглядящая как осцилограмма).

 

фффф, выдохнул клубы дыма   не судите строго

 

собственно технических пруфов бы уровня рядового пользователя

Сообщение отредактировал Gelen R: 06 August 2014 - 18:56

[Голос Бездны]

А как же украденные данные? Воровство аккаунтов, кредитных карточек? Как же так? Неужели все слюнявые фантазии хейтеров дсп остались фантазиями? 

 

От коллектива Darkspawn подтверждаю что выше приведенные данные и доводы верны, приз можно смело передавать Darth Fett

 

 

 

P.S. Господа всем спасибо за мозговой штурм и тест плагина, ожидайте в ближайшем времени V 2.0 

Сообщение отредактировал Голос Бездны: 06 August 2014 - 19:01

[Starain]

А фракция, фракция-то в фонде была? Фракцию ж немезис отберет, сначала перепродайте на плексы!111

[makstomaks]

а как же украденные данные? воровство аккаунтов, кредитных карточек? как же так? неужели все слюнявые фантазии хейтеров дсп остались фантазиями? 

 

но ведь никто серьезно не говорил ни про вовровство аккаунтов, ни про кредитные карточки.

а нонеймы от дсп, которые даже не осилили представится как всегда постят всякий бред.

[Голос Бездны]

но ведь никто серьезно не говорил ни про вовровство аккаунтов, ни про кредитные карточки.

а нонеймы от дсп, которые даже не осилили представится как всегда постят всякий бред.

Да лизун, все здесь делается не всерьез, это же игра, правда?  

[makstomaks]

Да лизун, все здесь делается не всерьез, это же игра, правда?

 

следует как то понимать разницу между сарказмом и реальным предположением.

[SkyNexGen]

Господа! Пузырь лопнул. Поздравляем победителя.

Надеюсь с выигранных денег он купит себе микрофон 

[Ashu]

Плагин накрыт протектором VMPROTECT:
Файл запакован и просто так ничего не видно. Впрочем сдампить его труда не составляет.
В дампе уже обнаруживаются намеки на его деятельность, например такие строки:
Гугление показало, что остальные строки по большей части принадлежат примеру плагина из дистрибутива тимспика, а также библиотеке cryptopp.
Очевидно, что плагин авторизуется на серваке даркспавна через http, отсылая какой-то идентификатор, по видимому для допуска в тс. Делается это в функции ts3plugin_init.
К счастью большая часть кода оказалась не затронутой вмпротектом, что давало надежду найти что-то интересное.
Поскольку плагин сделан из примера с общедоступными исходниками при этом практически не измененного, найти секреты можно просто сравнив код дллки и плагина.
Большая часть функций 1 в 1 соответствовали примеру. Автор даже не потрудился выпилить всякие тестовые меню с ничего не делающими функциями. Разве что "Test Plugin" заменил на "Darkspawn".
Внимание привлекла функция ts3plugin_onEditPlaybackVoiceDataEvent.
Судя по названию и аргументам (см.пример плагина) она используется для обработки звука.
Чтоб разобратся, что же она делает, я написал свою версию тимспика :troll: :
Всякие инклуды и прочее стандартное проскипано.
Запуск выявил, что инициализированный константой массив оказался модулирован синусом.
Поигравшись со значением Id, удалось определить принцип кодирования - 16битное число кодируется по 1 полупериоду на бит, при этом частота у 0 в 2 раза выше чем у 1, передается старшим битом вперед.
Вот графики сигнала для значений Id 0, 1, 2, 4, 8:

Само же Id по видимому отдает сервер, плагин получает его функцией ts3client_getClientVariableAsInt(...,32,...) при инициализации.
Больше пока что ничего подозрительного не обнаружилось, впрочем это не означает что больше ничего нет. Библиотека cryptopp по видимому используется для авторизации на сервере.
Таким образом цель плагина - подмешивать некие идентификаторы в звук, по видимому для разоблачения шпионов по выложенным записям ТСа.
При логине плагин авторизуется на сервере даркспавнов, получает ид юзера и доступы. Полученное ид периодически подмешивается в принимаемый звук. На сервере очевидно хранится таблица Id <-> user.
Качество исполнения плагина оставляет желать лучшего - в тестовом примере перебиты только копирайты и выше указанные функции. Куча тестовых хвостов, которые не потрудились даже вычистить. Как работает протектор тоже не разобрались, что позволило легко провести анализ. Короче кодеры у даркспавнов не лучше пвпшников, так что врятли там еще что-то скрыто, хотя вероятность остается.
Приведенный выше код позволяет любому желающему с опытом программирования уровня hello world проверить предоставленную инфу. Ингейм ник указан верно.

Мужикк ! Разобрался и не поленился ...! Думаю тебе первое место, второе за теорию наверно Gelen R ну и дальше комуповезет )