-------------------------====<Вступление>====----------------------
И снова здравствуйте.
Жара, лето, лень... Работать абсолютно не хочется. Мозг регулярно расплывается от жары...
Но суть сегодняшнего обзора иная.
Ко мне в асю постучался человечек и сообщил, что он автор нашумевшей в свое время связки Unique Pack Sploit.
Сообщил, что в связи с тем, что решил вновь вернуться на "сцену", создал более новую версию своей связки и хочет чтобы я написал обзор этой связки. Сделал тест и опубликовал результаты. Меня обрадовало то, что люди сами стали стучаться ко мне и предлагать продукты для обзоров.
Итак:
Описание от автора:
https://xss.pro/index.php?topic=17750
Останавливаясь на главном, видим:
1. На борту:
[ + ] MDAC Modified - for IE 5, 6
[ + ] SNAPSHOT - for IE 7
[ + ] TELNET - for OPERA 9.0 - 9.25
[ + ] PDF collab.getIcon - for all
[ + ] PDF Util.Printf - for all
[ + ] PDF collab.collectEmailInfo - for all
2. Админ-панель выполнена в удобном для работы стиле, не "режет" глаза и имеет
все необходимые функции
3. Приблизительный ОБЩИЙ пробив сплойтов:
на RU трафе составляет: от 10% (адалт) до 30% (хороший траф)
на US трафе составляет: от 3%-5% (адалт) до 15-20%% (хороший траф)
-------------------------====<Установка>====----------------------
Что ж. Приступим.
Получаю от автора связку.
Размер связки в распакованном виде составляет 1,28 мб. (Рис.1)
Заливаем связку по ftp на сервак и согласно подробного Readme вносим данные в файл ./cfg/config.php (Рис.2)
(Синим отметил где я вносил изменения)
Открываем браузер и запускаем http://site.ru/unik/install.php
т.к. я все данные внес правильно, видим счастливую надпись "Installation finished Please delete install.php"
Все правильно.
Переходим на http://site.ru/unik/stats.php и видим админку. (Рис.3)
Ну что же. Автор не соврал. Админка действительно выполнена в приятных тонах и абсолютно не режет глаз. В ней можно смело провести не один час наблюдая за показателями и не устать.
При этом используется около 40Кб трафика. Хорошо.
Далее находим трафик и криптуем наш exe. Exe ложим в папочку со связкой под указанным нами в конфиге именем.
Траф льём на http://site.ru/unik/index.php
-------------------------====<Тесты>====----------------------
Первым тестом шел адалт.
Результаты таковы:
HITS - 3034, Loads - 272, Total - 8.97%
(для сравнения, на этом трафике торнадо дает пробив 8.37%)
Рис.4 | Рис.5 | рис.6
Вторым тестом шел iframe траф.
(честно говоря, с этим трафом у меня был напряг. Долго не мог найти. Вообщем спасибо добрым людям. Мне помог один знакомый ReeD icq 4xxxxxx4. За что ему одельная благодарность!)
Результаты таковы:
HITS 1047 - , Loads - 123, Total - 11.75%
(По словам человека, предоставившего трафик, для этого трафика нормальным считается пробив 13-15%)
Рис.7 | Рис.8 | рис.9
Блииин. Писал обзор - нашел в связке еще одну функцию. Она каждый тип браузеров в статистике еще и на версии разлаживает.
А я сразу и не обнаружил... ЛОЛ.
В обоих случаях я грузил Elite loader V3 от Одинокого Волка.
Закриптованный уже известным вам, по прошлым моим обзорам человеком. (r00f icq 685820. ОЧЕНЬ СОВЕТУЮ! Отличный человек, хороший спец.)
В первом тесте отстук составил:
272 - отгружено
142 - отстучалось
142*100/272 = 52,2%
Во-втором тесте отстук составил:
123 - отгружено
80 - отстучалось
80*100/123 = 65%
Как видно на скринах связка абсолютно не пробивала на моем трафе FF. С этим вопросом я обращался к автору.
На что мне было отвечено, что на сегодняшний день идет странная тенденция. Траф FF то бьется, то нет. И это напрямую зависит от качества трафика.
В качестве подтверждения работоспособности связки, в плане FF, мне было предоставлено автором два скрина. На первом из них видно, что FF все-таки бьется этой связкой.
рис.10 | Рис.11
Несколько позже, пробуя различные виды трафа я сам убедился что FF пробивается, У меня очень вяло, но все-таки пробило. Рис.12
Как вы уже знаете, я не делаю сейчас в своих обзорах анализа качества работы. Эту часть я оставляю на совесть каждого читателя.
т.к. Для одного полученный результат - это хорошо, для второго - слишком мало и т.д. Вообщем, тем кто в теме и знает реальные получаемые результаты, все станет итак понятно.
-------------------------====<Анализ эксплоитов от DeusTirael>====----------------------
Любезности:
1. Хорошее шифрование выдачи связки. Если еще совсем слегка доработать и избавиться от некоторых сигнатур, то антивирусы обламаются навсегда.
2. Эксплойты работают тихо и быстро. Для сбережения траффика это очень хорошо.
3. База почти не напрягается, так что связка должна держать довольно хорошие объемы трафика.
4. Админка простая в установке и использовании. Достаточно информативная.
Гадости:
1. Не забывать обновлять GeoIP во 2-4 числах каждого месяца http://geolite.maxmind.com/download/geoip/...ry/GeoIP.dat.gz
2. Не совсем понятно для чего в файле getexe.php строка define('EXE', "$file");
3. Привязка реализована с ошибкой:
if(!eregi("domain.com", $_SERVER['HTTP_HOST'])) die('Not licence version the program!');
Cвязка будет считать себя лицензионной на доменах "1domain.com","lala-domain.com" ...
Вобщем при добавлении к началу лицензированого домена любой последовательности символов.
5. TELNET - for OPERA 9.0-9.25 на самом деле бьет 9.0-9.19 и 9.20 только первые бетки. Я съем свою шляпу если этот эксп сработает на 9.25 =\
При тестировании на 9.0 файл не запустился, но в админке загрузка была показана, Это, возможно, кривость уже моих рук.
6. Кстати снепшот тоже не сработал. Возможно офис у меня не той версии.
Вцелом впечатление хорошее.
p.s. by Ar3s - В данный момент автор связки обо всех найденных нюансах проинформирован и проводит исправления.
-------------------------====<Другое>====----------------------
Так же связку я проверил на паливность выдачи.
На 19.06.2009 анализ вадачи показал 0/24!
Скан выдачи FF | Скан выдачи Opera | Скан выдачи IE | Скан выдачи IE_Seven
В тест на АВ я отправлял каждую выдачу на проверку индивидуально (особенности связки).
Хочется так же добавить, что автор не соврал по-поводу "тихой" работы.
Во время тестирования я заходил на связку различными браузерами (FF 3.0.11, 3.0.6, Opera 9.64, 9.27, IE 8, 7, 6) и Использовались мной WinXP SP3 (с установленным пакетом PRE SP4), WinXP SP2, WinXP SP1. Во всех случаях не было замечено никаких зависаний браузера/системы.
А так же, во всех случаях при повторном заходе мне выдавало положенные 404.
Подтверждаю. Заявленные автором функции работают.
В качестве анализа адекватности автора, хочу написать следующее: В разговоре был учтив, никаких быдловыпадов, жаргонов и загонов не замечено.
Всегда активно помогал, всячески старался разъяснить те или иные моменты. Сложилось впечатление надежного человека.
Как модератор этого форума, напоминаю вам о возможности делать тесты перед покупкой. Автор человек понятливый. Я думаю вы без проблем сможете договориться на тест связки на вашем трафе. И сделаете выводы основываясь на конкретной цифре. Это для вашего (покупатели/продавцы) и нашего (админы/модеры) спокойствия. Попробовали товар => понравился=>купили. Не понравился => разбежались без блэков, срача и прочей лабуды.
-------------------------====<Благодарности>====----------------------
DeusTirael (анализ связки/траф), ReeD (траф), SharedHost (за предоставленный хостинг).
Ну и конечно огромная благодарность всем нашим читателям. СПАСИБО что вы с нами!
Записки на полях, специально для xss.pro/
p.s. ссылка на галерею скриншотов использованных в обзоре.
