CODE XREF, llcppc

[wizardo]

всем привет, тему создал для тех, кто не терминально онлайн
начальная тема: https://xss.pro/threads/142046/
все началось с того, что xChimera попросил доделать RE люммы, на что я ответил ссылкой на бусти моего хорошего знакомого colby57, со стороны CODE XREF поступил следующий ответ:

на что colby57 среагировал - начался маленький срач в теме
интересный момент:

Зачем на таком форуме пополнять большой депозит? Темболее зная что я могу получить бан в любую секунду?)

(контекст: 0.15 лайткоина депозит на XSS)

У меня ЕС паспорт, родился в ЕС никогда не был в нищих - снг странах. Кто посадит на карандаш? Ну едь ко мне в Амстердам, посади )

вкратце - на руках имеем русскоговорящего человека с паспортом Амстердама(?) который является частью так называемой LLCPPC Team ( hxxps:\\llcppc[.]xin/ )
так-же, путается в версиях

Повторяю, я не реверсер и никогда им не был, и даже ниже написано что статья с гпт, я работаю совершенно в другой теме которая никак не связанная с реверсингом и в целом IT

А кто сказал, что бесплатно?
Я не реверсер, я уже давно не занимаюсь реверсом, но моя команда — реверс-инженеры, у которых опыта больше, чем лет половине участников форума. Кто-то из нас работает в Eset, кто-то владеет одним из самых известных стиллеров который знают на этой площадке. Я считаю, что, имея такую команду, я могу позволить себе ЧСВ.

(текст в цитате выделил я)
так-же он прямо признается в том, что имеет уже 1 забаненный на XSS аккаунт

https://xss.pro/threads/142046/page-5#post-1008688

^^в случае, если тему удалят за срач, то вот то, что он написал в этом посте

Ок, баньте за ворк по РУ.
У меня уже есть 1 аккаунт который тут в бане по этой же причине)Не велика потеря 🤣

так-же n3byte скинул следующую фотку из канала LLCPPC Team -

самое смешное в самом конце - кто-то из их тимы(точно не он) пропатчили AURA Stealer ( AuraCorp ) и сегодня вечером они собираются делать арбитраж на стиллер АУРА за ворк по РУ

Стиллер аура запатчен, вечером будет арбтираж на них за ворк по ру.

Я не украинец и не русский, корни у меня только русские и я не поддерживаю не украину не россию

запасаемся попкорном?
admin DildoFagins Quake3

 

[PrinceDeLaMort]

Человеку нужно внимание, в Амстердаме общаться не с кем, вот и делает мультиаккаунты чтобы хоть как-то социализироваться в мире и не замкнуться в себе. Извините конечно, но это цирк. Я не хочу особо лезть в политику, но как человек который никогда не был в СНГ может говорить как тут всё плохо.

 

[wizardo]

upd - его откинули
но мысль того, что ресерч лабы могут снимать анти снг с билдов и подставлять так девов оч сильно беспокоит - я уверен, что скоро из-за этого некоторые софты уйдут на модель MaaS - если держать панель открытой как SaaS, то если такой очумелый парень как CODE XREF пропатчит твою панель с билдомй можно ахуенно залететь

 

[n3byte]

upd - его откинули
но мысль того, что ресерч лабы могут снимать анти снг с билдов и подставлять так девов оч сильно беспокоит - я уверен, что скоро из-за этого некоторые софты уйдут на модель MaaS - если держать панель открытой как SaaS, то если такой очумелый парень как CODE XREF пропатчит твою панель с билдомй можно ахуенно залететь

Это решается обычным добавлением фильтрации по ГЕО на стороне панели и переносом критической логики на сервер сайд

 

[wizardo]

Это решается обычным добавлением фильтрации по ГЕО на стороне панели и переносом критической логики на сервер сайд

если стиллер выдается билд + файлы панели как StealC от plymouth , то тут гео чеки врятли спасут

 

[plymouth]

если стиллер выдается билд + файлы панели как StealC от plymouth , то тут гео чеки врятли спасут

пусть пропатчит все функции с ascii на юникод чтобы оно русские буквы переваривало)
вот из-за таких умников и приходится ограничивать код и минимально использовать юникод только где оно реально надо, а не везде - потому что иначе пару байт поправит вот такой "реверсер" в функции проверки анти-снг и получишь себе клиентов идиотов по ру работающих
у нас многие функции используются в ascii-версии (с приставкой A если совсем просто объяснять), так что даже если условный анти-снг уберешь, то код на ру машинах все равно не сможет ничего собрать кроме инфы о системе и то частичной

 

[yslvintage]

, то код на ру машинах все равно не сможет ничего собрать кроме инфы о системе и то частичной

А китайцы с индусами че? У них Ascii?

 

[yslvintage]

если стиллер выдается билд + файлы панели как StealC от plymouth , то тут гео чеки врятли спасут

Вообще анти-снг в таких панелях как у стилц - фикция. Нормальный анти-снг может быть разве что в MaaS (кодер должен быть с прямыми руками), которым по понятными причинам не доверяют)

 

[DildoFagins]

но мысль того, что ресерч лабы могут снимать анти снг с билдов и подставлять так девов оч сильно беспокоит

Девам рекомендуется сохранять у себя в архиве все билды и для кого они делались, в случае, если всплывает билд с выпеленным антиснг, находите его у себя в базе и предоставляете в арбитраже оригинальный, по сравнению байт будет заметно, что и где пропатчили. Если у девов билды разные каждый раз из-за морферов. Если же билд один и тот же, наверное, достаточно сохранять только разные версии.

Это не панацея, но опять же, например, я мало знаю крякеров, которые потом еще CRC PE-файла корректно пересчитывают и патчат соответствующее поле в заголовке. Тоже может свидетельствовать о том, что что-то патчилось.

 

[yslvintage]

Девам рекомендуется сохранять у себя в архиве все билды и для кого они делались, в случае, если всплывает билд с выпеленным антиснг, находите его у себя в базе и предоставляете в арбитраже оригинальный, по сравнению байт будет заметно, что и где пропатчили. Если у девов билды разные каждый раз из-за морферов. Если же билд один и тот же, наверное, достаточно сохранять только разные версии.

И в чем смысл? Если я захочу объебать админов форума - буду сохранять билд с анти-снг, а отдавать клиенту (который мне к примеру 25k$ заплатил) без этого модуля (да хоть вручную асм пропатчу, похуй). И чем докажешь тогда?

 

[DildoFagins]

И в чем смысл? Если я захочу объебать админов форума - буду сохранять билд с анти-снг, а отдавать клиенту (который мне к примеру 25k$ заплатил) без этого модуля (да хоть вручную асм пропатчу, похуй). И чем докажешь тогда?

Именно в том, что билд с антиснг существовал, что его патчили. А кто его патчил, ты и так по одному семплу никак не докажешь.

 

[AuraCorp]

Именно в том, что билд с антиснг существовал, что его патчили. А кто его патчил, ты и так по одному семплу никак не докажешь.

Думаете, хешей выгруженных билдов недостаточно ?

 

[DildoFagins]

Думаете, хешей выгруженных билдов недостаточно ?

Если ты будешь сравнивать два файла бинарно, будет очевидно место патча, как бы реверсеры ограничены существующей структурой PE-файла, они поменяют N-байт кода/данных в M-местах, остальное останется неизменным и это будет видно. Даже если внесешь минимальные изменения в исходники, в исполняемом файле наиболее вероятно поменяются хоть какие-то смещения данных и других функций, при патчинге смещения не изменятся. А от того, что ты хеш сохранишь, ты только увидишь, что такого хеша у тебя нет в базе, типа ты не делал этот билд. Но ничего показать в подтверждение своих слов ты не сможешь. Как использовать этот аргумент, и является ли это аргументом в принципе - спорно, но хоть что-то.

Выше сказанное не касается дотнетов, много ума не надо, чтобы с помощью какого-нибудь dnlib'а сборку пересобрать в пропатченном виде.

 

[yslvintage]

Именно в том, что билд с антиснг существовал, что его патчили. А кто его патчил, ты и так по одному семплу никак не докажешь.

Ну так, я беру билд с анти-снг, записываю его в базу, но юзеру (который мне доплатил, к примеру) выдаю билд пропатченный (мной же, автоматически даже), и никто в жизни не докажет (разве что клиент, который отвалил мне купу бабла) что я петух.
А добавлять байтики какие-либо зачастую и не надо)) Да и ребилднуть PE файла не так уж и тяжело, насколько я понимаю

 

[DildoFagins]

что я петух

Петух или нет можно сказать только из совокупности факторов поведения и только исходя из мнения авторитетов.

 

[xChimera]

А китайцы с индусами че? У них Ascii?

у нас многие функции используются в ascii-версии (с приставкой A если совсем просто объяснять), так что даже если условный анти-снг уберешь, то код на ру машинах все равно не сможет ничего собрать кроме инфы о системе и то частичной

Точно такой же вопрос, как на счет файлов с отличными от английского языка?

Девам рекомендуется сохранять у себя в архиве все билды и для кого они делались, в случае, если всплывает билд с выпеленным антиснг, находите его у себя в базе и предоставляете в арбитраже оригинальный, по сравнению байт будет заметно, что и где пропатчили. Если у девов билды разные каждый раз из-за морферов. Если же билд один и тот же, наверное, достаточно сохранять только разные версии.

В топике про ауру я уже писал это, сохранять хеши заголовков, секций
Кстати не каждый крякер умеет править релоки, потому их тупо выпиливают))

Петух или нет можно сказать только из совокупности факторов поведения и только исходя из мнения авторитетов.

Двоякий смысл, я бы сказал универсальная фраза которая подойдет в асболютно разных местах: на форума, в тюрьме и даже школе

Вообще анти-снг в таких панелях как у стилц - фикция.

В данной ситуации предоставляются сурсы панели, и человек может что угодно сделать, все равно ничего не докажешь
Максимум что можно делать в рамках борьбы с работой по ру - пресекать ее публичность максимально и всячески осуждать

Стилц уже патчили, ничего удивительного в этом нет

 

[yslvintage]

Стилц уже патчили, ничего удивительного в этом нет

хдэ бан собсна?

 

[xChimera]

хдэ бан собсна?

Бан кого? Стилц? Они за это банально не могут нести ответственности, хоть чем накрой

От патча до кряка два шага если можно так выразиться - я к тому что даже с огромным обфом люди выпилят проверки, напишут свой сервер - вопрос времени и желания

 

[yslvintage]

Бан кого? Стилц? Они за это банально не могут нести ответственности, хоть чем накрой

От патча до кряка два шага если можно так выразиться - я к тому что даже с огромным обфом люди выпилят проверки, напишут свой сервер - вопрос времени и желания

Да я угараю, просто само требование не ворка по СНГ практически не выполнимо)

 

[DildoFagins]

Точно такой же вопрос, как на счет файлов с отличными от английского языка?

На самом деле русские буквы прекрасно влезают в один байт: cp866 и win1251, как и всякие умляуты вроде бы, но насчет азиатских и арабских языков - я не уверен. Поэтому в данном плане не совсем понятно, как это должно помочь от работы на снг, тем более что большинство путей даже на русской системе могут и не включать не latin-1 символы: APPDATA и LOCALAPPDATA и подобные папки, в которых бены стиллеры рыщут, если в имени пользователя нет русских букв, будут состоять только из латинских букв.