Ищу тех кто поможет решить мою проблему с лодырем.

Статус
Закрыто для дальнейших ответов.
Отслеживать
P.s лодырь кончился, впечатления от x.loader не очень мягко говоря, посоветуйте хорошие лодыри бюджет 3-5к$ в мес, также прислушаюсь к мнениям о том как максимально повысить конверсии в текущее время
 
USA_Straday сказал(а):
а цепочка лоадер -> вирус ни кого не смущает в плане детектов на лоадер или серт?
Меня не смущает. Самый элементарный тебе пример, раз ты настолько не осведомлен в теме. Если твой малварь палит дефендер, то за ним падает детект дефа на сертификат. Сертификат могут сразу не отозвать, но даже при подписи легитимного файла - у тебя будет детект дефендера. Тк серт имеет детект

Quake3 Рассуди, пожалуйста, что подписывают ЕВ - сразу малварь или все же дропер?
 
Hex0r сказал(а):
Меня не смущает. Самый элементарный тебе пример, раз ты настолько не осведомлен в теме. Если твой малварь палит дефендер, то за ним падает детект дефа на сертификат. Сертификат могут сразу не отозвать, но даже при подписи легитимного файла - у тебя будет детект дефендера. Тк серт имеет детект

Quake3 Рассуди, пожалуйста, что подписывают ЕВ - сразу малварь или все же дропер?
лоадер - такая же малварь, как и стиллер.
//загрузка в памяти это не панацея и не из этого состоит логика работы лоадера, тот же лоадер от какого-то из демонов тут, вообще дропал ( может сейчас дропает ) в темп.

очевидно, что лучше подписывать загрузщик.
 
ice0 сказал(а):
лоадер - такая же малварь, как и стиллер.
//загрузка в памяти это не панацея и не из этого состоит логика работы лоадера, тот же лоадер от какого-то из демонов тут, вообще дропал ( может сейчас дропает ) в темп.

очевидно, что лучше подписывать загрузщик.
Зачем при прогрузе стиллер (как хочет ТС) грузить лоадер (НЕризидентный) или дропе в память? Чем вариант дропа на диск плох, если ему нужен разовый стук стиллера?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Hex0r сказал(а):
Quake3 Рассуди, пожалуйста, что подписывают ЕВ - сразу малварь или все же дропер?
Каждый делает, исходя из своей задачи и средств. EV серт дает возможность обойти виндеф/смарт (конечно, файл должен быть чистым в целом). Т.е. желательно ставить его на дроппер, ибо если он не сработает, то до малвари дела не дойдет. С другой стороны, есть ситуации когда ставят серт на свою малварь, а дроппер берут в аренду. Обычно, дроппер добавляет софт в исключения виндефа и т.д., но серт также желателен, чтобы дольше прожил.
+ риск спалить серт на дроппере в разы выше, чем на малвари.
 
Quake3 сказал(а):
Каждый делает, исходя из своей задачи и средств. EV серт дает возможность обойти виндеф/смарт (конечно, файл должен быть чистым в целом). Т.е. желательно ставить его на дроппер, ибо если он не сработает, то до малвари дела не дойдет. С другой стороны, есть ситуации когда ставят серт на свою малварь, а дроппер берут в аренду. Обычно, дроппер добавляет софт в исключения виндефа и т.д., но серт также желателен, чтобы дольше прожил.
+ риск спалить серт на дроппере в разы выше, чем на малвари.
Почему риск спалить на дропере выше - чем на малваре?
Ведь на малваре куда быстрее выскакивают детекты (от того же дефа), чем на дропере/лоадере?
 
Hex0r сказал(а):
Почему риск спалить на дропере выше - чем на малваре?
Ведь на малваре куда быстрее выскакивают детекты (от того же дефа), чем на дропере/лоадере?
потомучто дроппер, лоадер по любому попадает в руки жертвы для запуска. и жертва мрожет послать его на вирустоал или куда еще.
а вот сам трой в идеале никогда никому в руки не попадает. скачался лоадером, запустился, отработал, удалился. кто что видел ?
 
parag0n сказал(а):
потомучто дроппер, лоадер по любому попадает в руки жертвы для запуска. и жертва мрожет послать его на вирустоал или куда еще.
а вот сам трой в идеале никогда никому в руки не попадает. скачался лоадером, запустился, отработал, удалился. кто что видел ?
Именно, он попадет в руки жертвы

Ты делаешь хитровыебаный лоадер, я видел такие на джаве: 0 на вт, без серта
Месяц ребята лили, только потом уже появилось парочку детектов

Лоадер\гуи лаунчер изначально должен быть андетект, и уже тогда сверху вешают сертификат с целью обхода хрома, смартскрина, etc.
 
malware_cryptor сказал(а):
и уже тогда сверху вешают сертификат с целью обхода хрома, смартскрина, etc.
Криптер, а не знаешь что смартскрин не обходит гугл хром? Как и etc. Он выполняет единственную роль - запуск файла без смартскрина
parag0n сказал(а):
потомучто дроппер, лоадер по любому попадает в руки жертвы для запуска. и жертва мрожет послать его на вирустоал или куда еще.
а вот сам трой в идеале никогда никому в руки не попадает. скачался лоадером, запустился, отработал, удалился. кто что видел ?
Что мешает прикрутить автоудаление дроперу, после скачки и запуска малваря?
 
Quake3 сказал(а):
С другой стороны, есть ситуации когда ставят серт на свою малварь, а дроппер берут в аренду. Обычно, дроппер добавляет софт в исключения виндефа и т.д., но серт также желателен, чтобы дольше прожил.
+ риск спалить серт на дроппере в разы выше, чем на малвари.
Если дропер берут в аренду - имхо он должен быть андетект
Исключения дефа это как по мне х#йня полная + для этого требуется повышение привелигий
Да и на кой х#й дропать если можно использовать лоадпе? Тогда и сертификат не нужен будет на малвари

Техник для сокрытия пейлоада в процессе исполнения туча
Таже самая самоотладка:
выделяется память, заполняется 0хСС, ставится вех, проверки Eip, вычисление размера инструкции, востановление ее, выполнение, снова заполнение 0хСС
 
Hex0r сказал(а):
смартскрин не обходит гугл хром
Не понял че ты сказал
 
Hex0r сказал(а):
Что мешает прикрутить автоудаление дроперу, после скачки и запуска малваря?
Вопрос наxуя дропать на диск актуален
 
Hex0r сказал(а):
Что мешает прикрутить автоудаление дроперу, после скачки и запуска малваря?

можно, но во многих случаях юзер сам должен запустить дропер,
а до этого он его видит, на него любуется, гладит курсором и при подозрении заливает на вирустотал или еще куда.
а вот основной продукт, как я уже говорил, в идеале никто не видит и не подозревает что он есть и уже делает свою работу.
 
parag0n сказал(а):
можно, но во многих случаях юзер сам должен запустить дропер,
а до этого он его видит, на него любуется, гладит курсором и при подозрении заливает на вирустотал или еще куда.
а вот основной продукт, как я уже говорил, в идеале никто не видит и не подозревает что он есть и уже делает свою работу.
А малварь он не видит и не любуются на него? Не понимаю тебя
 
Hex0r сказал(а):
А малварь он не видит и не любуются на него? Не понимаю тебя

обычно схема такая...

дроппер, он же лоадер, замаскированый под крутейший чит для чегототам скачивается юзером на свой пк.
в этот момент юзер видит файл дроппера и может сделать с ним что угодно. послать на вт, знакомому соседу аверу реверсеру и тд.
если лоадер или дропер подписан, то эта подпись также видна. и если вдруг файл запалится соседом авером реверсером то и серт попадет под подозрение.

если же лоадер был запущен юзером, то юзер дальше никоим образом не знает что там он загрузил и выполнил,
(разве что ктото повесил прогресс бар с надписью "малваре давнлоадинг" а потом выдал мессаджбокс "ваши данные успешно украдены")
поэтому сама малвара в идеале никогда не попадает в руки юзеру. она отработала в памяти лоадера и помахала ручкой.
а если никто ничего не видел, то никто ничего не скажет. нельзя запалить серт на том чего не видел и оно на диск даже не дропалось. ясненько ?
 
parag0n сказал(а):
обычно схема такая...

дроппер, он же лоадер, замаскированый под крутейший чит для чегототам скачивается юзером на свой пк.
в этот момент юзер видит файл дроппера и может сделать с ним что угодно. послать на вт, знакомому соседу аверу реверсеру и тд.
если лоадер или дропер подписан, то эта подпись также видна. и если вдруг файл запалится соседом авером реверсером то и серт попадет под подозрение.

если же лоадер был запущен юзером, то юзер дальше никоим образом не знает что там он загрузил и выполнил,
(разве что ктото повесил прогресс бар с надписью "малваре давнлоадинг" а потом выдал мессаджбокс "ваши данные успешно украдены")
поэтому сама малвара в идеале никогда не попадает в руки юзеру. она отработала в памяти лоадера и помахала ручкой.
а если никто ничего не видел, то никто ничего не скажет. нельзя запалить серт на том чего не видел и оно на диск даже не дропалось. ясненько ?
Так квейк выше и говорит, что сертификат проще спалить на дропере, чем на малваре. То есть если прямо малварь им подписывать, не используя дропер.
Ты подписываешь всегда исполняемый файл. Если грузишь через дропер/лоадер, то подписываешь его. После он тянет малварь (которую не надо подписывать и не важно, несет он ее в себе или грузит по урл).
Либо ты не используешь дропер/лоадер и сразу подписываешь малварь сертом. Что по мне - глупо. Но квейк сказал:

Quake3 сказал(а):
+ риск спалить серт на дроппере в разы выше, чем на малвари.
Quake3
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Hex0r сказал(а):
Что мешает прикрутить автоудаление дроперу, после скачки и запуска малваря?
Все это где-то да остается; в давние времена люди делали связки с удалением линка, автовыдачей шеллкода, ес-но баном по айпи аверов, блокировкой повторного входа и т.д. И все равно это реверсили.
Как ты на 100% защитишь свой дроппер? Автоудаление хорошо, но где гарантия что его не скачает авер/реверсер? Никогда нельзя на это надеяться, разве что при ручном заражении какого-то корпа, и то могут быть нюансы. Впрочем, выше уже все сказали.

Я также писал, что это спор ни о чем; т.к. существует множество схем и вариантов. Дроппер можно взять в аренду (и тогда пусть голова болит у его владельца), можно дропать через какую-то социнженерию (вида - белое приложение с обновлением в нужный момент), заражении сетевых игр (если баг с подгрузкой длл вместо карты или модели). Да много чего есть.
 
Quake3 сказал(а):
Как ты на 100% защитишь свой дроппер? Автоудаление хорошо, но где гарантия что его не скачает авер/реверсер? Никогда нельзя на это надеяться, разве что при ручном заражении какого-то корпа, и то могут быть нюансы. Впрочем, выше уже все сказали.
У меня был случай с криптом, закинули крипт на вт - по нулям, затем в раздел комментариев отписал эксперт - вируса не обнаружено, так что не все реверсеры\аверы могут определить беглым взглядом что у тебя там
А каждый файл реверсить до талого - неэффективно
 
malware_cryptor сказал(а):
У меня был случай с криптом, закинули крипт на вт - по нулям, затем в раздел комментариев отписал эксперт - вируса не обнаружено, так что не все реверсеры\аверы могут определить беглым взглядом что у тебя там
А каждый файл реверсить до талого - неэффективно
2+2=?
https://xss.pro/threads/132685/post-963542
Иногда файлы даже полезно сливать на вт)))
Quake3 сказал(а):
но где гарантия что его не скачает авер/реверсер?
Значит, нужно, чтобы он его скачал и отреверсил как следует)) но тогда, когда тебе это будет выгодно. Так скажем, превентивный залив на вт. И написал в своей петушиной админке: итс клир, но вирусэс. Осталось сделать это правильным способом, чтобы дроппер этому соответствовал. А это достижимо только 1 способом, что по ссылке. Нужно исходить из того, что файлов много, а ресурсы не вечные, особенно, человекоресурсы специалистов, нужно заставить поверить, что повторный реверс файла это сизифов труд. Хэш в базе, значит, все в поряде
 
Последнее редактирование:
Статус
Закрыто для дальнейших ответов.
Верх