734 ответов в теме

[Gelen R]

del

перепутал топики

 

P.S. кстати Алексфишку заРОшили до середины пятницы примерно, в Майдан-топике. Он держит местный банк если кто не в курсе.

Сообщение отредактировал Gelen R: 08 August 2014 - 8:01

[SkyNexGen]

Эх, так и не дождался, рабочий день закончился, пойду домой.

ДВ страдает

[WarStalkeR]

И так, по многочисленным просьбам трудящихся, я выкладываю видео, в котором поэтапно показывается, как самостоятельно (ложь, за вас почти все сделает скрипт) дампнуть истинное рыло сего плагина, для последующих версий. Дабы особо не замарачиваться с подготовкой самого OllyDbg, советую сразу использовать готовую версию OllyDbg от товарища Базана и желательно в виртуалке (так, на всякий случай, ибо мало ли). По скольку установка виртуалки занятие муторное, жителям Нерезиновой сразу советую стянуть уже готовую VMware виртуалку с Виндой 7 (64 бит).


И так, после всего этого занятия начинается самое интересное. Теперь самая пора наконец-то добраться до той тайны, которая скрыта в самом плагине. Меня, знаете, очень долгое время, очень сильно мучил вопрос, что же в этом плагине такое спрятано, что пришлось использовать не какой-то говнопакер, а самый что не есть серьезный VMProtect Ultra? Зачем потребовалось не только запаковывать плагин, но также еще и "мутировать" его исходный код (фича VMProtect'a), чтобы он был еще менее понятен, хотя тут уже вроде кривизны рук вроде бы должно было быть достаточно? Разве какие-то криптоключи, для которых существует более 9000 способов запрятать их в самом же коде стоят таких усилий? Нет. Пусть это мое личное мнение - но нет.

Вы знаете за что я люблю Айду (IDA Pro) 6.1, честно взятую от ESET'a еще несколько лет назад? За один из ее великолепных аддонов, которые позволяет чуть ли не декомпилировать бинарник обратно в С++. Да, в ассемблере я нубоват, но вот любой С-язык я понимаю на ура, даже если он перерыт в говно. Товарищ Дарт Фетт без сомнения рассказал об очень интересной находке, о которой Спектр был бы не против, чтобы все знали. Но что по поводу остального? Разве это действительно все? Если да, то почему же стандартный test_plugin.dll весит всего 30 килобайт, а дампнутый darkspawn.dll основанный на стандартном test_plugin.dll весит все 500 килобайт и даже в запакованном виде 220 килобайт? Что туда блин нужно было засунуть и в каких количествах, чтобы он СТОЛЬКО весил!? То, что нашел Дарт Фетт, явно не весит еще 470 килобайт.

Доскональные проверки некоторых частей кода через Айду, таки дали результаты. Весьма интересные результаты:

Спойлер

Я конечно понимаю, что есть люди, которые не просто играют в Еву, а живут Евой, по той или иной причине. Но я очень сильно сомневаюсь, что Ева стоит того, чтобы идти на ТАКИЕ риски. Серьезно Спектр? Сбор чат логов игроков? Перехват инпутов с клавы? Определение местонахождения игроков? Я бы еще понял о стягивании чат-логов игроков, тут очень просто выловить шпиона. Но кейлоггер? Зачем тебе он? Ты что тырить пароли от акков собрался? Или создавать API ключи, чтобы игрок не имел малейшего понятия о них? А игроков зачем тебе в ИРЛ отслеживать? Ты что, шипёнов ИРЛ собрался искать и говорить с ними "по мужски", что так делать нельзя - шпионить против ДСП (сия часть написана через жопу, так что не удивлюсь, если она не работает)? ССР точно забанит твой акк в евке, ибо ты ее использовал как повод для распространения этой гадости. А если кто-то на тебя еще и обидится за этот плагин, тебе может угрожать тюремное заключение, причем на продолжительный срок.

[Lehadyd]

Подумываю о написании информационных писем на ив ньюс, ив ру ньюс, харбу.

Петиция в сисипи ужеотправлена.

Сбросил инфу  товарищу из органов, посомтрим, достаточно ли для... ну вы поняли.

[makstomaks]

ты б для тех кто не очень в коде побольше русского текста написал, а то не очень понятно если честно.

[WarStalkeR]

ты б для тех кто не очень в коде побольше русского текста написал, а то не очень понятно если честно.

Значит дословно попытаюсь:
UserListToArray → Список Пользователей в массив.
SearchChatLogs → Искать Чат Логи.
DumpChatLogs → Дампнуть Чат Логи.
TransferToServer → Отправить на Сервер.
GetKbrdInput → Получить ввод с клавиатуры.
SendInputContent → Отправить ввод.
TraceLocation → Отследить Локацию.
SendInfo → Отослать Информацию.

Сообщение отредактировал WarStalkeR: 08 August 2014 - 10:11

[Ashu]

И так, по многочисленным просьбам трудящихся, я выкладываю видео, в котором поэтапно показывается, как самостоятельно (ложь, за вас почти все сделает скрипт) дампнуть истинное рыло сего плагина, для последующих версий. Дабы особо не замарачиваться с подготовкой самого OllyDbg, советую сразу использовать готовую версию OllyDbg от товарища Базана и желательно в виртуалке (так, на всякий случай, ибо мало ли). По скольку установка виртуалки занятие муторное, жителям Нерезиновой сразу советую стянуть уже готовую VMware виртуалку с Виндой 7 (64 бит).


И так, после всего этого занятия начинается самое интересное. Теперь самая пора наконец-то добраться до той тайны, которая скрыта в самом плагине. Меня, знаете, очень долгое время, очень сильно мучил вопрос, что же в этом плагине такое спрятано, что пришлось использовать не какой-то говнопакер, а самый что не есть серьезный VMProtect Ultra? Зачем потребовалось не только запаковывать плагин, но также еще и "мутировать" его исходный код (фича VMProtect'a), чтобы он был еще менее понятен, хотя тут уже вроде кривизны рук вроде бы должно было быть достаточно? Разве какие-то криптоключи, для которых существует более 9000 способов запрятать их в самом же коде стоят таких усилий? Нет. Пусть это мое личное мнение - но нет.

Вы знаете за что я люблю Айду (IDA Pro) 6.1, честно взятую от ESET'a еще несколько лет назад? За один из ее великолепных аддонов, которые позволяет чуть ли не декомпилировать бинарник обратно в С++. Да, в ассемблере я нубоват, но вот любой С-язык я понимаю на ура, даже если он перерыт в говно. Товарищ Дарт Фетт без сомнения рассказал об очень интересной находке, о которой Спектр был бы не против, чтобы все знали. Но что по поводу остального? Разве это действительно все? Если да, то почему же стандартный test_plugin.dll весит всего 30 килобайт, а дампнутый darkspawn.dll основанный на стандартном test_plugin.dll весит все 500 килобайт и даже в запакованном виде 220 килобайт? Что туда блин нужно было засунуть и в каких количествах, чтобы он СТОЛЬКО весил!? То, что нашел Дарт Фетт, явно не весит еще 470 килобайт.

Доскональные проверки некоторых частей кода через Айду, таки дали результаты. Весьма интересные результаты:

Спойлер

Я конечно понимаю, что есть люди, которые не просто играют в Еву, а живут Евой, по той или иной причине. Но я очень сильно сомневаюсь, что Ева стоит того, чтобы идти на ТАКИЕ риски. Серьезно Спектр? Сбор чат логов игроков? Перехват инпутов с клавы? Определение местонахождения игроков? Я бы еще понял о стягивании чат-логов игроков, тут очень просто выловить шпиона. Но кейлоггер? Зачем тебе он? Ты что тырить пароли от акков собрался? Или создавать API ключи, чтобы игрок не имел малейшего понятия о них? А игроков зачем тебе в ИРЛ отслеживать? Ты что, шипёнов ИРЛ собрался искать и говорить с ними "по мужски", что так делать нельзя - шпионить против ДСП (сия часть написана через жопу, так что не удивлюсь, если она не работает)? ССР точно забанит твой акк в евке, ибо ты ее использовал как повод для распространения этой гадости. А если кто-то на тебя еще и обидится за этот плагин, тебе может угрожать тюремное заключение, причем на продолжительный срок.

в листинге что ты привел, нет ничего что указывает на то что воруют нажатие клавы ,,функция с названием "ПоискчатЛОгов" не гворит пока ни о чем, нужно разобратся конкретно,какие логи и каких чатов она ищет, и ищет ли вообще ?

[makstomaks]

но ведь это тс плагин, он разве палит не логи тса?

[Ashu]

Значит дословно попытаюсь:
UserListToArray → Список Пользователей в массив.
SearchChatLogs → Искать Чат Логи.
DumpChatLogs → Дампнуть Чат Логи.
TransferToServer → Отправить на Сервер.
GetKbrdInput → Получить ввод с клавиатуры.
SendInputContent → Отправить ввод.
TraceLocation → Отследить Локацию.
SendInfo → Отослать Информацию.

Как-то так.

Код что внутри этих функций давай

[Alkarian]

а можешь выложить этот самый полу-си код? я как то тоже ассемблер не шарю, зато по си можно поискать чтонить

[SkyNexGen]

дел. попридержу радость до часа Х
 

Сообщение отредактировал SkyNexGen: 08 August 2014 - 10:13

[Doppelganger]

Хочу запись тса когда спектр это увидит! 

[Skywize]

 Серьезно Спектр? Сбор чат логов игроков? Перехват инпутов с клавы? Определение местонахождения игроков? .

Ай да ВарСталкер, ай да красавчик!))

Видимо сегодня пригорит у ДСП по полной.

Супер утро пятницы!

 

Петиция в сисипи ужеотправлена.

[WarStalkeR]

Код что внутри этих функций давай

а можешь выложить этот самый полу-си код? я как то тоже ассемблер не шарю, зато по си можно поискать чтонить

Вот такие вот сообщения я получаю когда нажимаю на них:


Могу дать Айду в помощь тем, кто хорошо курит в ассемблер

Сообщение отредактировал WarStalkeR: 08 August 2014 - 10:25

[Lehadyd]

Хочу запись тса когда спектр это увидит! 

думаю,  будут сборы чумаданов и срочная поездка в Анголу, а не записм тимспика.

Хотя, думаю, спектр выйдет сухим из воды. Более достанется чуваку этот плагин-троян написавшему.

[sgetout]

Ну так в этих функциях может лежать что угодно, а не обязательно клавиатурный перехват, дамп логов и определение местоположения пользователя. Всё-таки без полной о них информации это только догадка.

[chuzhoi]

Рано радоваться. Нужно раскрыть код внутри функций. Названия хоть и говорящие, но не являются сами по себе доказательной базой. Но интригует, да...

[WarStalkeR]

Ну так в этих функциях может лежать что угодно, а не обязательно клавиатурный перехват, дамп логов и определение местоположения пользователя. Всё-таки без полной о них информации это только догадка.

Увы, я не могу в ассемблер на том уровне, чтобы перевести то, что в них находится на Си самостоятельно. Не было бы этого плагина, вряд ли я нашел бы что-то в чистом ассемблере.

Я также пытался еще использоваться всякие декомпиляторы. Один просто сдыхал во время работы над дампнутым плагином. А второй выдавал 14 мегабайт совсем непонятного Сишного текста на пополам с ассемблером. Названия декомпиляторов: Boomerang и RecStudio.

Сообщение отредактировал WarStalkeR: 08 August 2014 - 10:31

[Asphyxiant]

И так, по многочисленным просьбам трудящихся, я выкладываю видео, в котором поэтапно показывается, как самостоятельно (ложь, за вас почти все сделает скрипт) дампнуть истинное рыло сего плагина, для последующих версий. Дабы особо не замарачиваться с подготовкой самого OllyDbg, советую сразу использовать готовую версию OllyDbg от товарища Базана и желательно в виртуалке (так, на всякий случай, ибо мало ли). По скольку установка виртуалки занятие муторное, жителям Нерезиновой сразу советую стянуть уже готовую VMware виртуалку с Виндой 7 (64 бит).


И так, после всего этого занятия начинается самое интересное. Теперь самая пора наконец-то добраться до той тайны, которая скрыта в самом плагине. Меня, знаете, очень долгое время, очень сильно мучил вопрос, что же в этом плагине такое спрятано, что пришлось использовать не какой-то говнопакер, а самый что не есть серьезный VMProtect Ultra? Зачем потребовалось не только запаковывать плагин, но также еще и "мутировать" его исходный код (фича VMProtect'a), чтобы он был еще менее понятен, хотя тут уже вроде кривизны рук вроде бы должно было быть достаточно? Разве какие-то криптоключи, для которых существует более 9000 способов запрятать их в самом же коде стоят таких усилий? Нет. Пусть это мое личное мнение - но нет.

Вы знаете за что я люблю Айду (IDA Pro) 6.1, честно взятую от ESET'a еще несколько лет назад? За один из ее великолепных аддонов, которые позволяет чуть ли не декомпилировать бинарник обратно в С++. Да, в ассемблере я нубоват, но вот любой С-язык я понимаю на ура, даже если он перерыт в говно. Товарищ Дарт Фетт без сомнения рассказал об очень интересной находке, о которой Спектр был бы не против, чтобы все знали. Но что по поводу остального? Разве это действительно все? Если да, то почему же стандартный test_plugin.dll весит всего 30 килобайт, а дампнутый darkspawn.dll основанный на стандартном test_plugin.dll весит все 500 килобайт и даже в запакованном виде 220 килобайт? Что туда блин нужно было засунуть и в каких количествах, чтобы он СТОЛЬКО весил!? То, что нашел Дарт Фетт, явно не весит еще 470 килобайт.

Доскональные проверки некоторых частей кода через Айду, таки дали результаты. Весьма интересные результаты:

Спойлер

Я конечно понимаю, что есть люди, которые не просто играют в Еву, а живут Евой, по той или иной причине. Но я очень сильно сомневаюсь, что Ева стоит того, чтобы идти на ТАКИЕ риски. Серьезно Спектр? Сбор чат логов игроков? Перехват инпутов с клавы? Определение местонахождения игроков? Я бы еще понял о стягивании чат-логов игроков, тут очень просто выловить шпиона. Но кейлоггер? Зачем тебе он? Ты что тырить пароли от акков собрался? Или создавать API ключи, чтобы игрок не имел малейшего понятия о них? А игроков зачем тебе в ИРЛ отслеживать? Ты что, шипёнов ИРЛ собрался искать и говорить с ними "по мужски", что так делать нельзя - шпионить против ДСП (сия часть написана через жопу, так что не удивлюсь, если она не работает)? ССР точно забанит твой акк в евке, ибо ты ее использовал как повод для распространения этой гадости. А если кто-то на тебя еще и обидится за этот плагин, тебе может угрожать тюремное заключение, причем на продолжительный срок.

 

Очень толсто и глупо, даже для пятницы. Переименовал случайные функции в весёлые названия и вбросил, браво.

 

Поясню разницу в размерах для нешарящих: 220 КБ в запакованном виде по той причине, что при обфускации код имеет свойство раздуваться. Добавляется код виртуальной машины, антидебаг, инструкции набиваются мусором, запутываются и переводятся в байткод виртуальной машины.

 

Теперь о том, почему в снова распакованном виде либа раздувается в 2.5 раза. Дело в том, что скрипт на всякий случай не удаляет оригинальный код, а цепляет к нему распакованный и перенаправляет выполнение программы в секции с распакованным кодом + добавляет восстановленную таблицу импортов. Если человек хоть сколько-то шарит в реверсинге, то ненужные секции по завершении процесса удаляет ручками и ребилдит PE-шку в каком-нибудь LordPE. Поскольку в данном случае товарищ либо не думая запустил скрипт и протыкал OK OK OK, либо просто поленился, то весь этот мусор остался в либе и дал размер >500КБ.

[hzkto]

А как ребята наверно с облегчением выдохнули, когда был первый уровень "разоблачения" ) Надеялись, что все успокоятся и забудут))