• XSS.stack #1 – первый литературный журнал от юзеров форума

Обход алерта браузеров при скачивании файлов *.exe

Отслеживать

NightUkUs

HDD-drive
Пользователь
Регистрация
20.05.2025
Сообщения
21
Реакции
2
Гарант сделки
2
Всем привет.


Запускаю пролив своего трафика,
С вопросом обхода смартскрина тут все понятно - решение это EV сертификат.

А вот как быть с обходом алерта браузеров на файл exe ?

Смотрю предлагают делать памп,
а кто пишет что криптованием можно обойти, и при этом использовать для файла трастовый домен.
Но все как-то размыто, четкой информации не нашел.

Нужен реальный, рабочий способ обхода алерта браузеров при скачивании файлов *.exe

Если есть предложения, просьба писать в ПМ
или Tox 62BDB8FD1217AB6C3A97EAF59E6BD643C4C32C822B47F738399110E204515C2201956621D9FB
 
Сортировать по дате Сортировать по голосам
Пожалуйста, обратите внимание, что пользователь заблокирован
трастовый домен действительно помогает. связка примерно следующая: хороший крипт (фуд) + трастовый домен при скачивании (например - дропбокс). памп не думаю что слишком актуален сейчас в наши дни, все таки он вызывает подозрение из-за своего огромного веса.

upd: на данный момент эта схема не работает
 
Последнее редактирование модератором:
За 0 Против
society сказал(а):
трастовый домен действительно помогает. связка примерно следующая: хороший крипт (фуд) + трастовый домен при скачивании (например - дропбокс). памп не думаю что слишком актуален сейчас в наши дни, все таки он вызывает подозрение из-за своего огромного веса.
напиши в пм трастовый домен
NightUkUs сказал(а):
Всем привет.


Запускаю пролив своего трафика,
С вопросом обхода смартскрина тут все понятно - решение это EV сертификат.

А вот как быть с обходом алерта браузеров на файл exe ?

Смотрю предлагают делать памп,
а кто пишет что криптованием можно обойти, и при этом использовать для файла трастовый домен.
Но все как-то размыто, четкой информации не нашел.

Нужен реальный, рабочий способ обхода алерта браузеров при скачивании файлов *.exe

Если есть предложения, просьба писать в ПМ
или Tox 62BDB8FD1217AB6C3A97EAF59E6BD643C4C32C822B47F738399110E204515C2201956621D9FB
ты можешь скачать любой проект который был выложен недавно в ехе или в мси и на нем будет алер- он ставится на новые файлы, если у тебя алер на вирус, там другая история.
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
proexp сказал(а):
напиши в пм трастовый домен
я могу ошибаться, т.к. около года не лью трафик и не знаю актуальных методов, но эта связка всегда работала. трастовый домен - дропбокс, как пример (https://www.dropbox.com/). я лил примерно так:
лендинг -> кнопка скачать -> фуд файл на дропбоксе -> прямая ссылка на скачивание = успешный обход алертов от хрома.
 
За 0 Против
proexp сказал(а):
ты можешь скачать любой проект который был выложен недавно в ехе или в мси и на нем будет алер- он ставится на новые файлы, если у тебя алер на вирус, там другая история.
Задача именно в том, что скачивать нужно именно exe (не zip) и чтобы он не попадал в алерт хрома.
 
За 0 Против
society сказал(а):
я могу ошибаться, т.к. около года не лью трафик и не знаю актуальных методов, но эта связка всегда работала. трастовый домен - дропбокс, как пример (https://www.dropbox.com/). я лил примерно так:
лендинг -> кнопка скачать -> фуд файл на дропбоксе -> прямая ссылка на скачивание = успешный обход алертов от хрома.
Минимум 1.5 года эта связка не работает, зачем ты в первом посте даешь совет человеку, если не знаешь - работает или нет? Что бы люди просто так тратили время?
 
За 0 Против
NightUkUs сказал(а):
Задача именно в том, что скачивать нужно именно exe (не zip) и чтобы он не попадал в алерт хрома.
какой бюджет на эту задачу?
w0nd3r сказал(а):
Что насчёт расшифровки файла на стороне клиента, как это сделано к мега.нз? Тестил? Или уже не катит?
поясни о чем ты для начала
 
За 0 Против
NightUkUs сказал(а):
Всем привет.


Запускаю пролив своего трафика,
С вопросом обхода смартскрина тут все понятно - решение это EV сертификат.

А вот как быть с обходом алерта браузеров на файл exe ?

Смотрю предлагают делать памп,
а кто пишет что криптованием можно обойти, и при этом использовать для файла трастовый домен.
Но все как-то размыто, четкой информации не нашел.

Нужен реальный, рабочий способ обхода алерта браузеров при скачивании файлов *.exe

Если есть предложения, просьба писать в ПМ
или Tox 62BDB8FD1217AB6C3A97EAF59E6BD643C4C32C822B47F738399110E204515C2201956621D9FB
всегда умиляют хитровы@банные ноунейм новореги, задающие подобные вопросы.
в твоем вопросе и есть ответ, EV серт с нормального домена спокойно позволит обойти GSB алерт.
без серта ты никогда не скачаешь файл без предупреждений, так как хром проверяешь md5 и его размер серт итд. и если в его базе нету этого хеша с пометкой траст, то hui ты его скачаешь без алертов.
других способов нету. причем хром работает с api Endpoint Detection and Response винды.
хром давно закрутил гайки. исходник хрома кстате отрыт, и там по сути есть весь код. то есть там описано как реагировать на те или иные файлы. есть список расширений и какие будут реакции на них.
 
Последнее редактирование:
За 1 Против
NightUkUs сказал(а):
Всем привет.


Запускаю пролив своего трафика,
С вопросом обхода смартскрина тут все понятно - решение это EV сертификат.

А вот как быть с обходом алерта браузеров на файл exe ?

Смотрю предлагают делать памп,
а кто пишет что криптованием можно обойти, и при этом использовать для файла трастовый домен.
Но все как-то размыто, четкой информации не нашел.

Нужен реальный, рабочий способ обхода алерта браузеров при скачивании файлов *.exe

Если есть предложения, просьба писать в ПМ
или Tox 62BDB8FD1217AB6C3A97EAF59E6BD643C4C32C822B47F738399110E204515C2201956621D9FB
Реально рабочий способ и самый нормальный не меняя размер PE файла и не пакуя его в архив - это выдача с трастового FTP сервера, альтернатива - выдача с прогретого шелла. Проверял и правда работает, в какой то момент помню даже обошелся смарт ( скорее всего какой то баг, он потом появился снова ), но это самый нормальный способ обхода алертов хрома, это не распространяется на алерт «вредоносный файл».
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
Hex0r сказал(а):
Минимум 1.5 года эта связка не работает, зачем ты в первом посте даешь совет человеку, если не знаешь - работает или нет? Что бы люди просто так тратили время?
Привет, спасибо, что сказал об этом. Я же уточнил, что не совсем уверен, работает это или нет. Но ты ошибся во времени, ровно год назад эта связка работала.

DarkBLUP сказал(а):
это выдача с трастового FTP сервера
Выше говорят, что этот способ уже не работает. Есть свежие тесты?
 
За 0 Против
mtd сказал(а):
без серта ты никогда не скачаешь файл без предупреждений, так как хром проверяешь md5 и его размер серт итд. и если в его базе нету этого хеша с пометкой траст, то hui ты его скачаешь без алертов.
На сколько спорим, что скачаешь?
В базе, говорит, нету с пометкой траст. Я щас уссусь от смеха 😆😂
Покажешь где эта база существует? В твоем воображении?
 
Последнее редактирование:
За 0 Против
w0nd3r сказал(а):
Что насчёт расшифровки файла на стороне клиента, как это сделано к мега.нз? Тестил? Или уже не катит?
Уместно только для маленьких файлов, потом конверсия очень сильно страдает
(У меня сделано до 40 мб (думаю до 20 вообще сделать))
 
За 0 Против
Hex0r сказал(а):
На сколько спорим, что скачаешь?
В базе, говорит, нету с пометкой кеш. Я щас уссусь от смеха 😆😂
Покажешь где эта база существует? В твоем воображении?

хром перехватывает все файлы кравлером и чекает на вирустотале давно уже. и если раньше раньше клоачить можно было кравлер, то сейчас это сделать нельзя. базу хешей хранит локальную и так же может через edr все проверять или используя свой внутренний движок антивируса. все выше описанные способы работают на минимальных обьемах. я например лью от 10 до 20к инсталлов в сутки и директ выдача любая дохнет через пол часа включая ev ceрт.
 
За 0 Против
society сказал(а):
Привет, спасибо, что сказал об этом. Я же уточнил, что не совсем уверен, работает это или нет. Но ты ошибся во времени, ровно год назад эта связка работала.


Выше говорят, что этот способ уже не работает. Есть свежие тесты?
Уххх не знаю, не подскажу, но я проверял эту связку месяцев 6-8 назад, только выдача с шелла была.
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
DarkBLUP сказал(а):
Уххх не знаю, не подскажу, но я проверял эту связку месяцев 6-8 назад, только выдача с шелла была.
да, я тоже знаю, что этот способ раньше работал и я об этом сказал в первом посте - закидали минусами(
 
За 0 Против
mtd сказал(а):
хром перехватывает все файлы кравлером и чекает на вирустотале давно уже. и если раньше раньше клоачить можно было кравлер, то сейчас это сделать нельзя. базу хешей хранит локальную и так же может через edr все проверять или используя свой внутренний движок антивируса. все выше описанные способы работают на минимальных обьемах. я например лью от 10 до 20к инсталлов в сутки и директ выдача любая дохнет через пол часа включая ev ceрт.
Я может ошибаюсь но ты что то прям загнул, по твоим словам хром как универсальная система детектирования всего что находится на машине или скачивается с интернета. Ботов Гугла, тг, твиттеров и прочего можно легко блокировать, они как минимум многое имеют юзерагент уникальный которого не будет ни у одного обычного юзера, даже если будут использоваться дефолтные есть ещё много методов их ловить. Всё что мешает файлу жить - это или хреново написанный софт или крипт.
 
За 0 Против
society сказал(а):
да, я тоже знаю, что этот способ раньше работал и я об этом сказал в первом посте - закидали минусами(
Хапхахха бывает)
 
За 0 Против
society сказал(а):
да, я тоже знаю, что этот способ раньше работал и я об этом сказал в первом посте - закидали минусами(
Потому что в первом посте ты на уверенных щах сказал, что оно работает) А оно не работает уже давно)
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх