• XSS.stack #1 – первый литературный журнал от юзеров форума

Как пруфануть, что софт с малварем?

Отслеживать
brute

brute

CD-диск
Пользователь
Регистрация
19.04.2023
Сообщения
14
Реакции
7
Такая ситуация, что выпустили кряк одного популярного софта на который не выходили кряки уже как несколько лет, а если и были, то в привате. Мой вопрос заключается в том, какие мне тулы лучше всего использовать для того, чтобы были точные доказательства, что файл содержит что-то? К примеру, тот же wireshark по коннектам сможет найти что-то?
Такой вопрос задаю, ибо я более чем уверен, что он с ратником/бэкдором, ибо автор этого кряка был перебанен на всех пирсах, где он что-либо выкладывал. Вирустотал/антивирусы не воспринимают всерьез, ибо "у многих чистых кряков тоже есть детекты". Как в такой ситуации быть, подскажите, пожалуйста?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Отстук смотреть wireshark'ом, но надо понимать что может быть детект запуска в виртуальной машине - поэтому лучше отдельный комп с чистой системой + снифер трафика на шлюзе.
Внутренности и механизм работы софта - смотреть отладчиком.
 
bigheadguy сказал(а):
о каком софте речь идет, если не секрет?
в 3д графике есть рендер движок, является одним из индустриальных стандартов, "Redshift".
 
Попробуй найти чистую версию того же софта (той же версии) и сравни BinDiff-ом. Там буду видны дополнительные блоки кода, в них уже и вглядывайся.
 
wireshark
http analyzer
если на скорую руку
 
Если вы хотите защитить свое устройство от вредоносных программ, вам нужно загрузить устройство в Virustotal или другие организации, чтобы проверить, содержит ли программное обеспечение вредоносное ПО или нет. При тестировании необходимо не забывать использовать RDP или VM.
 
Red3v1l сказал(а):
Если вы хотите защитить свое устройство от вредоносных программ, вам нужно загрузить устройство в Virustotal или другие организации
думаю, что это не однозначно. вирустотал может поставить детект как на "подозрительный софт". просто потому, что его залили для проверки.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Red3v1l сказал(а):
При тестировании необходимо не забывать использовать RDP или VM.
ну а под вм нормальная малварь не стартанет )
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Если софт под винду, то можно посмотреть через Event Viewer + Sysmon. Event ID = 1 (Process Create), посмотреть какие дочерние процессы с какими параметрами создаются, возможно что-то мутное попадется.
 
varwar сказал(а):
Если софт под винду, то можно посмотреть через Event Viewer + Sysmon. Event ID = 1 (Process Create), посмотреть какие дочерние процессы с какими параметрами создаются, возможно что-то мутное попадется.
есть ли 100% вариант, чтобы понять, что бэк имеется? а не сомнительные строчки кода или закрытые?
 
gliderexpert сказал(а):
отдельный комп с чистой системой + снифер трафика на шлюзе.
вот это обязательно. софт запустить на одном физическом компе, не в виртуальной машине, а wireshark на соседнем физическом компе, и подключить первый комп к интернету через второй комп с ваершарком.
и писать трафик хотя бы день - особо умный софт может не сразу стучаться домой, а через некоторое время.

bigheadguy сказал(а):
есть ли 100% вариант, чтобы понять, что бэк имеется? а не сомнительные строчки кода или закрытые?
только разбирать кряк декомпилятором/дизассемблером и искать стучалки.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Выложи ВТшный репорт, посмотрим какие там алерты.
Кстати в подарок может идти не ратник, а засранчик а-ля чернобыль. Мало ли хулиганов. Тогда об этом узнаешь только в апреле.

Но если прям уж очень-очень нужно, закажи реверс кряка/движка. Либо выложи кряк на торренты и подожди реакции других юзеров. Либо найди способ, который позволит запускать рендер движок на виртуалке без потери производительности.
 
int3 сказал(а):
Выложи ВТшный репорт, посмотрим какие там алерты.
Кстати в подарок может идти не ратник, а засранчик а-ля чернобыль. Мало ли хулиганов. Тогда об этом узнаешь только в апреле.

Но если прям уж очень-очень нужно, закажи реверс кряка/движка. Либо выложи кряк на торренты и подожди реакции других юзеров. Либо найди способ, который позволит запускать рендер движок на виртуалке без потери производительности.
https://www.virustotal.com/gui/file/df1b5630e1b71fb51755a52d30cddfc651b6144ad26165fff7be6460959a9622 - сам архив
https://www.virustotal.com/gui/file...40c77057606d2a8341ca7670ed6e1a77068/detection - .dll из кряка
https://www.virustotal.com/gui/file/802ff85804d2980c56a008faaf630d43fbabd1cf3926d154189fb482d9e64948 - виртуальный сервер

кряк работает по принципу создания виртуального сервера с лицензиями на пк (если это имеет значение в данном случае, конечно же)
 
brute сказал(а):
вот самые основные файлы из этого кряка
ЛС прочти . И файлы желательно все , а не "основные" или "часть" .
Ибо можно склеить софт с батником , и батник запустит картинку лежащую среди файлов при старте основного файла ,
в итоге получишь на борт зверя от куда и не ждал.
 
Bard сказал(а):
ЛС прочти . И файлы желательно все , а не "основные" или "часть" .
Ибо можно склеить софт с батником , и батник запустит картинку лежащую среди файлов при старте основного файла ,
в итоге получишь на борт зверя от куда и не ждал.
Скрытый контент для пользователей: Bard.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх