C:\Documents and Settings\Ar3s>ping -t xss.pro/
Обмен пакетами с xss.pro/ [92.241.162.45] по 32 байт:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Статистика Ping для 92.241.162.45:
Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),
Ну вот и началось...
Это пока шутка, которая вполне после этого обзора могла стать реальностью. В результате моих "раскопок" вылезло много разных моментов. но обо всем по-порядку.
На "операционном столе" новый продукт. Dloader
Официальный топ тут.
В котором дано следующее описание:
Связался с автором получил билд и понеслось.
Размер билда 3 584 байта.
Написан на ассемблере
Некриптованный билд палят 7 / 38 по результатам виртеста.
Админка написана на PHP. Установка без инсталлятора. Время затраченное на установку админки - минут 5.
Основное меню | Задачи | Настройки
---===Отдаем билд на реверс===---
Ну чтож, приступим к изучению, основываясь на описании продукта.
Малый размер билда ~4кб. Билд, который попал ко мне весил всего 3.5 кб. Открвая PEID'ом
видим, что в файле всего одна секция,смотрим версию линкера и видим 1.69. Кэп намекает, что
файл собран на фасме (как позже выяснится с применением макросов). Ладно, пора заглянуть внутрь
Недалеко от точки входа видим цикл
Можно не ждать пока файл расшифруется, а просто остановится на CALL EBX и перейти на следующую
стадию. Тут уже поинтересней. Фишка кроется тут:
если быть более точным, в особенности работы конструкции REP STOS
Заполнение памяти будет продолжаться даже после перезаписи выполняемого кода в памяти.
Таким образом, если ктото трассирует программу то она выйдет из под контроля
но посмотрим чуть ниже и увидим
поставим точку останова сюда, и получим измененный код
Казалось бы метода новая, но гдето она уже проскакивало. Поискав на васме находим.
Там дана интересная задача и описана работа
конструкции. Также описание можно найти в мануалах интела. Дальше код начинает восстанавливать
API по хешам самым обычным методом. Код здесь я не привожу, ибо его можно найти в гугле за пару
минут. После получения адресов функций лоадер получает текущее имя файла. Сделано это чтобы потом
куда-нибудь его подальше спрятать, например во временный каталог.
Ну а дальше самое интересное. Описано аж 10 фаерволлов, которые софт вроде как успешно обошел.
Посмотрим на одей метод:
Лоадер создает процесс svchost.exe с флагом CREATE_SUSPENDED. Это означает, что процесс выполнятся не
будет до тех пор, пока не будет запущен его первичный поток (это должны сделать мы).
Далее происходит маппинг секции с шеллкодом в адресное пространство нашего svchost с помощью
функции ZwMapViewOfSection. Посылаем асинхронный вызов процедур в процесс svchost. Возобновим замороженный
процесс и наш код будет выполнен. Продвинутый читатель вспомнит и скажет "а гдето вроде такое я читал".
Ну чтож link. Описание метода один в один. Дальше больше. Такой же метод используется
в myloader и в полуприватном лоадере с названием 2к8! Да, вы не ослышались, техника примерно 2007 года.
Работает ли оно на обход спросите вы? Весьма сомнительно,если правила для файрволла не заданы автоматически.
Не знаю, что проверял \х45\х50, но мой аутпост блокирует даже создание процесса. Скорее всего Остальные тоже,
достаточно посмотреть список того что похукано в SDT. А функции что использованы выше точно
пристутствуют в аутпосте и полследнем NIS (проверялось мной лично). Итак, отличия в обходе от других
продуктов минимальны. Единственный плюс в том, что секция с шеллкодом не сохраняется на диск (как в 2к8) и
лоадер не содержит длл (как myloader). Что выполняет заинжекченный код я не смотрел, но это не столь важно.
Svchost является для большинства фаерволлов доверенным процессом, из него можно скачивать файлы, запускать их
и делать прочие пакости
Очень неприятно, что нет никаких проверок,выполнился код или нет.
Например
как видите, после вызова CreateProcess мы не знаем создался процесс или нет, а лишь полагаем что все прошло
успешно. Ну а если не создался, то бог с ним, можно код выполнять дальше, авось и так сойдет.
p.s. Пожалуй автору стоит задуматся над тем, имеет ли смысл антиотладка, ведь она элементарно проходится, ну и актуальность
обходов само собой.
В топе на вхб проскакивали заявления типа "GoLoad, опять ты". Спешу вас обрадовать что это не один и тотже продукт,
в голоде другой обход, другие методы.
---===Беремся за обходы===---
Ставим виртуалку, скачиваем с сайтов производителей последние версии фаерволов и поехали.
Все тесты проводились на WinXP SP3 сборка philka под админской учеткой.
Все тесты проводились на НЕКРИПТОВАННОМ билде, дабы откинуть фактор (возможный) влияния крипта на результаты тестов.
1. запуск чистого некриптованного билда. Через лоадер гружу стукача. - Удачно
2. agava firewall (все по дэфолту. spamprotects и antispy ставятся по умолчанию) - палит Рис.1
3. ashampo (единственное что выбрал - упрощенный режим) - палит. Рис.2
4. comodo internet security V4.1.149672.916 (без обновления антивирусных баз) - палит. Выключаю sandbox - палит инжект. Рис.3 Рис.4
5. F-Secure internet security (пока я курил установился автоматом, ввел только пароль родительского контроля. Ограничения на содержание сайтов оставил по дэфолту, обновление баз не делал) - Палит Рис.5
6. KIS 11.0.1.401 - даже без обновлений спалил файл. Добавил файл в исключения в антивирусе, надо же на фаерволе провериться. Как я ни старался - на дэфолтных настройках запустить этот лоадер не удалось. Даже при выключенных всех типах защиты, кроме фаервола, файл все-равно блокирвался куда бы я его не заливал. - неизвестно. (хотя мой вердикт - нет) Рис.6 Рис.7
7. Outpost Security Suite 7.0.3 (выбрал простой режим при инстале, базы обновились автоматом) - палит, но в режиме автосоздания правил пропускает и информирует пользователя. Рис.8 Рис.9
8. Zone Alarm (все по дэфолту) - палит. Рис.10
9. Norton Internet Security - палит sonar. Выключаю для пробы антивирус и оставляю только фаервол - пропускает. т.е. при крипте файл сработает. Рис.11 Рис.12
10. NOD32 - в полном комплекте палит АВ. Если выключить АВ и проверить чисто на фаерволе - палит. Вернее в фоновом режиме блокирует. Рис.13
---===Криптуемся и переходим к тестам===---
Тут хочется сказать пару слов:
1. Крипторы-крипторы. Я больше в жизни не буду вас рекламировать и советовать. Еще вчера вас был вагон и две тележки. В некоторых я был уверен как в том, что чак норис может взглядом луну с орбиты сдвинуть, а сегодня вас не найти. Вообще никого. Долбанную неделю я шарился по всей сети в поисках. В итоге криптанулся у абсолютно нового чела и всего за 10$. Ну не херня ли? Проверка файла.
2. Метод тестов я организовал сделующий: источник_прогруза(связка/лоадер)=>Dloader=>Стукач. В этом случае мы убиваем двух зайцев. Считаем отстук самого лоадера с прогруза и считаем отстук стукача с лоадера. И получаем на выходе два результата которые и будем сравнивать от теста к тесту.
---===Тест #1===---
Прогруз лоадера с лоадера
Для теста я использовал предоставленный HTC ботнет.
отгружено по стате 129
отстучалось 131
процент отстука 101,5%
Судя по стате лоадера НТС - должно было отстучаться 94,3% = 121 бот
Рис.14 Рис.15 Рис.16
Интересный процент отстука. Верно? И не понятно почему. Я думал изначально что баги нет. И совершенно случайно вдруг отстучались боты с которыми я баловался ранее или неправильно считает лодырь НТС. Но после некоторых раздумий пришел к выводу ,что это не так. Предварительные мои тесты дали бы +2, +4 бота. И даже если плюсануть 121+4= 125, но не 129. Да и не могли они все именно в этот момент "ожить". Думаю нужно пересмотреть админку. Где-то есть подвох.
отгружено с лоадера 127
отстучалось 124
процент отстука 97,6%
Рис.16 Рис.17
---===Тест #2===---
Грузимся со связки феникс. Траф покупаю у d33
отгружено 737
отстучалось 527
процент отстука 71,5%
Рис.18 Рис.19 Рис.20 рис.21
Тут вылазит вторая бага админки. Я заметил ее еще при пробном запуске. В админке 1 бот, а запусков файла - 10. Рис.22 Значит нет проверки на повторные запуски. Сообщаю об этом автору. Он говорит что уже понял это и дорабатывает этот момент.
Поэтому отгружено с лоадера, будем считать по максимуму = 527
отстучалось 457
процент отстука 86,7%
рис.21
---===Тест #3===---
Грузимся на связке элеонора. Траф покупаю у d33
отгружено 102
отстучалось 63
процент отстука 61,8%
Рис.23 Рис.24
Как видим бага и тут вылезла.
отгружено с лоадера будем считать по максимуму 63
отстучалось 56
процент отстука 88,9%
Рис.24
----------------------------------------
Теперь давайте выведем средние показатели.
Отстук файла с лоадера - ну не 101,5%. Я думаю в районе 95%. Это если учесть отстук стукача с лоадера.
Отстук со связки средний 66,7%
Отстук файла с лоадера средний 91%. (напомню, что грузился просто стукач.)
---------------------------------------
---===Разбор полетов===---
1. Обходов нет, а отстук довольно высокий. Почему?
Причин несколько:
1. файл не палится АВ.
2. размер файла очень мал. Написан на FASM, поэтому в файле нет ничего лишнего.
3. Машины на которые он грузился в своем большинстве не имели фаерволов.
2. Обходов нет. Лодырь говно!
Нет и нет. Задолбали меня такие выкрики. Чего вам свет клином на обходах сошелся? Обходы - это хорошо если работать по определенным целям. А если грузиться массово, да еще и по такой цене - то вполне юзабельно. Смотрите на показатели, на отстук. Нормальный лодырь. Автор, кстати, очень доволен остался реверсом!!!!! Заметьте. Не кричал подъеба, суки! Он сказал спасибо. "Я знаю куда мне стоит теперь обратить внимание и где стоит поработать" Я так же сообщил обо всех найденных мной недоработках, на что мне ответили, что найденные баги в админке уже фиксятся. А результаты моих тестов подталкивают к улучшению продукта и мозговой активности.
В любом случае. Я уверен что лоадер стоит своих денег! Как сказал один мой знакомый: "я за чистку криптора больше беру".
3. Маленький размер файла, быстро спалят.
Тут ситуация двояка. Да, спалить такой файл можно довольно быстро, но ввиду небольшого размера его и почистить автору очень не сложно будет. Можно через день проворачивать такое. Пока фантазии будет хватать.
4. АХАХАХА феникс лучше Элеоноры. Уделали конкретно!
Спешу огорчить любителей холивара. Это все временная фигня. Во время моего теста феникс получил на борт все обновления. Я был в числе первых (спасибо alexudakov за связку) кто грузился на новой версии. Элеонора же, довольно давно не обновлялась. Только чистки.
После тестов я связывался с автором феникса. Мы довольно долгое время беседовали по-теме и просто ни-о-чем. И мне понравилось его отношение к Exmanoize. Оно в целом соответствует моему:
5. Как получилось так, что на WBX обходы есть, а в моем обзоре их нет?
Я не знаю. На самом деле все происходило довольно запутанно. После того как я на одном закрытом форуме выложил результаты своих тестов - они быстро появились в топе на WBX. С заголовком будьте аккуратны. Проверка сделанная x45x50 была тут же анулирована им самим. У меня в асе творился некоторое время полный пи... Кто-то обвинял автора, что он сам изменил в своем топе проверку от x45x50 в свою пользу. Кто-то обвинял x45x50 в некомпетентности и взыманию бабла ни за что. Меня это достало. Я вам проще скажу. Я не мировой судья. Мне глубоко фиолетово кто и кого там обманул. Я не буду лезть в эти разборы.
6. В результате опубликованных мной на закрытом форуме тестов на обходы пострадало (в какой-то степени) два человека. Ребята. Ничего личного. Меня попросили выложить. Я выложил. После разговора с одним из вас и услышанными извинениями, а так же убранным материалом на WBX у меня претензий не осталось.
--------------------P.S.---------------------------
Как всегда в конце своих обзоров я выражаю благодарности. Все чаще я хочу указать огромное количество ников, которые так или иначе мне помогают, но это превратится в хрен знает что.
Итак: EL-, HTC, Exmanoize, Alexudakov, Ragnar. Это люди которые мне реально помогли. Так же благодарю xss.pro/ и exploit.in за моральную поддержку.
Отдельно хочется выразить благодарность автору за предоставленный лоадер. Хочется сказать, что осталось от сотрудничества исключительно положительная эмоция. Радовал постоянный онлайн и всевозможная помощь в любое время суток. Спасибо.
Записки на полях специально для xss.pro/
Обмен пакетами с xss.pro/ [92.241.162.45] по 32 байт:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Статистика Ping для 92.241.162.45:
Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),
Ну вот и началось...
Это пока шутка, которая вполне после этого обзора могла стать реальностью. В результате моих "раскопок" вылезло много разных моментов. но обо всем по-порядку.
На "операционном столе" новый продукт. Dloader
Официальный топ тут.
В котором дано следующее описание:
Связался с автором получил билд и понеслось.
Размер билда 3 584 байта.
Написан на ассемблере
Некриптованный билд палят 7 / 38 по результатам виртеста.
Админка написана на PHP. Установка без инсталлятора. Время затраченное на установку админки - минут 5.
Основное меню | Задачи | Настройки
---===Отдаем билд на реверс===---
Ну чтож, приступим к изучению, основываясь на описании продукта.
Малый размер билда ~4кб. Билд, который попал ко мне весил всего 3.5 кб. Открвая PEID'ом
видим, что в файле всего одна секция,смотрим версию линкера и видим 1.69. Кэп намекает, что
файл собран на фасме (как позже выяснится с применением макросов). Ладно, пора заглянуть внутрь
Недалеко от точки входа видим цикл
Код:
00401017 |> /70 00 /JO SHORT 00401019
00401019 |> |81748B FC 2D8 |XOR DWORD PTR DS:[ECX*4+EBX-4],1838832D
00401021 |. |74 00 |JE SHORT 00401023
00401023 |> |83E9 01 |SUB ECX,1
00401026 |.^\75 EF \JNE SHORT 00401017
00401028 |. 83E1 FF AND ECX,FFFFFFFF
0040102B |. FFD3 CALL EBXстадию. Тут уже поинтересней. Фишка кроется тут:
Код:
00401055 8D7D 0A LEA EDI,[EBP+0A]
00401058 B9 19000000 MOV ECX,19
0040105D F3:AA REP STOS BYTE PTR ES:[EDI]
0040105F 6200 BOUND EAX,QWORD PTR DS:[EAX]
00401061 0000 ADD BYTE PTR DS:[EAX],AL
00401063 C031 C0 SAL BYTE PTR DS:[ECX],0C0 ; Shift out of range
00401066 4F DEC EDI
00401067 8B40 18 MOV EAX,DWORD PTR DS:[EAX+18]Заполнение памяти будет продолжаться даже после перезаписи выполняемого кода в памяти.
Таким образом, если ктото трассирует программу то она выйдет из под контроля
но посмотрим чуть ниже и увидим
Код:
00401066 64:8B40 18 MOV EAX,DWORD PTR FS:[EAX+18];TEB
0040106A 8B40 30 MOV EAX,DWORD PTR DS:[EAX+30]
0040106D 8B40 0C MOV EAX,DWORD PTR DS:[EAX+0C]
Код:
0040105F 83ED 07 SUB EBP,7
00401062 31C0 XOR EAX,EAX
00401064 31C0 XOR EAX,EAX
00401066 64:8B40 18 MOV EAX,DWORD PTR FS:[EAX+18]
0040106A 8B40 30 MOV EAX,DWORD PTR DS:[EAX+30]
0040106D 8B40 0C MOV EAX,DWORD PTR DS:[EAX+0C]Там дана интересная задача и описана работа
конструкции. Также описание можно найти в мануалах интела. Дальше код начинает восстанавливать
API по хешам самым обычным методом. Код здесь я не привожу, ибо его можно найти в гугле за пару
минут. После получения адресов функций лоадер получает текущее имя файла. Сделано это чтобы потом
куда-нибудь его подальше спрятать, например во временный каталог.
Ну а дальше самое интересное. Описано аж 10 фаерволлов, которые софт вроде как успешно обошел.
Посмотрим на одей метод:
Лоадер создает процесс svchost.exe с флагом CREATE_SUSPENDED. Это означает, что процесс выполнятся не
будет до тех пор, пока не будет запущен его первичный поток (это должны сделать мы).
Далее происходит маппинг секции с шеллкодом в адресное пространство нашего svchost с помощью
функции ZwMapViewOfSection. Посылаем асинхронный вызов процедур в процесс svchost. Возобновим замороженный
процесс и наш код будет выполнен. Продвинутый читатель вспомнит и скажет "а гдето вроде такое я читал".
Ну чтож link. Описание метода один в один. Дальше больше. Такой же метод используется
в myloader и в полуприватном лоадере с названием 2к8! Да, вы не ослышались, техника примерно 2007 года.
Работает ли оно на обход спросите вы? Весьма сомнительно,если правила для файрволла не заданы автоматически.
Не знаю, что проверял \х45\х50, но мой аутпост блокирует даже создание процесса. Скорее всего Остальные тоже,
достаточно посмотреть список того что похукано в SDT. А функции что использованы выше точно
пристутствуют в аутпосте и полследнем NIS (проверялось мной лично). Итак, отличия в обходе от других
продуктов минимальны. Единственный плюс в том, что секция с шеллкодом не сохраняется на диск (как в 2к8) и
лоадер не содержит длл (как myloader). Что выполняет заинжекченный код я не смотрел, но это не столь важно.
Svchost является для большинства фаерволлов доверенным процессом, из него можно скачивать файлы, запускать их
и делать прочие пакости
Очень неприятно, что нет никаких проверок,выполнился код или нет.
Например
Код:
00401110 FF95 F8090 CALL DWORD PTR SS:[EBP+9F8];CreateProcess
00401116 6A 00 PUSH 0
00401118 68 BD06000 PUSH 6BD
0040111D 6A 00 PUSH 0
0040111F 6A 40 PUSH 40
00401121 6A 00 PUSH 0
00401123 6A FF PUSH -1
00401125 FF95 F4090 CALL DWORD PTR SS:[EBP+9F4]успешно. Ну а если не создался, то бог с ним, можно код выполнять дальше, авось и так сойдет.
p.s. Пожалуй автору стоит задуматся над тем, имеет ли смысл антиотладка, ведь она элементарно проходится, ну и актуальность
обходов само собой.
В топе на вхб проскакивали заявления типа "GoLoad, опять ты". Спешу вас обрадовать что это не один и тотже продукт,
в голоде другой обход, другие методы.
---===Беремся за обходы===---
Ставим виртуалку, скачиваем с сайтов производителей последние версии фаерволов и поехали.
Все тесты проводились на WinXP SP3 сборка philka под админской учеткой.
Все тесты проводились на НЕКРИПТОВАННОМ билде, дабы откинуть фактор (возможный) влияния крипта на результаты тестов.
1. запуск чистого некриптованного билда. Через лоадер гружу стукача. - Удачно
2. agava firewall (все по дэфолту. spamprotects и antispy ставятся по умолчанию) - палит Рис.1
3. ashampo (единственное что выбрал - упрощенный режим) - палит. Рис.2
4. comodo internet security V4.1.149672.916 (без обновления антивирусных баз) - палит. Выключаю sandbox - палит инжект. Рис.3 Рис.4
5. F-Secure internet security (пока я курил установился автоматом, ввел только пароль родительского контроля. Ограничения на содержание сайтов оставил по дэфолту, обновление баз не делал) - Палит Рис.5
6. KIS 11.0.1.401 - даже без обновлений спалил файл. Добавил файл в исключения в антивирусе, надо же на фаерволе провериться. Как я ни старался - на дэфолтных настройках запустить этот лоадер не удалось. Даже при выключенных всех типах защиты, кроме фаервола, файл все-равно блокирвался куда бы я его не заливал. - неизвестно. (хотя мой вердикт - нет) Рис.6 Рис.7
7. Outpost Security Suite 7.0.3 (выбрал простой режим при инстале, базы обновились автоматом) - палит, но в режиме автосоздания правил пропускает и информирует пользователя. Рис.8 Рис.9
8. Zone Alarm (все по дэфолту) - палит. Рис.10
9. Norton Internet Security - палит sonar. Выключаю для пробы антивирус и оставляю только фаервол - пропускает. т.е. при крипте файл сработает. Рис.11 Рис.12
10. NOD32 - в полном комплекте палит АВ. Если выключить АВ и проверить чисто на фаерволе - палит. Вернее в фоновом режиме блокирует. Рис.13
---===Криптуемся и переходим к тестам===---
Тут хочется сказать пару слов:
1. Крипторы-крипторы. Я больше в жизни не буду вас рекламировать и советовать. Еще вчера вас был вагон и две тележки. В некоторых я был уверен как в том, что чак норис может взглядом луну с орбиты сдвинуть, а сегодня вас не найти. Вообще никого. Долбанную неделю я шарился по всей сети в поисках. В итоге криптанулся у абсолютно нового чела и всего за 10$. Ну не херня ли? Проверка файла.
2. Метод тестов я организовал сделующий: источник_прогруза(связка/лоадер)=>Dloader=>Стукач. В этом случае мы убиваем двух зайцев. Считаем отстук самого лоадера с прогруза и считаем отстук стукача с лоадера. И получаем на выходе два результата которые и будем сравнивать от теста к тесту.
---===Тест #1===---
Прогруз лоадера с лоадера
Для теста я использовал предоставленный HTC ботнет.
отгружено по стате 129
отстучалось 131
процент отстука 101,5%
Судя по стате лоадера НТС - должно было отстучаться 94,3% = 121 бот
Рис.14 Рис.15 Рис.16
Интересный процент отстука. Верно? И не понятно почему. Я думал изначально что баги нет. И совершенно случайно вдруг отстучались боты с которыми я баловался ранее или неправильно считает лодырь НТС. Но после некоторых раздумий пришел к выводу ,что это не так. Предварительные мои тесты дали бы +2, +4 бота. И даже если плюсануть 121+4= 125, но не 129. Да и не могли они все именно в этот момент "ожить". Думаю нужно пересмотреть админку. Где-то есть подвох.
отгружено с лоадера 127
отстучалось 124
процент отстука 97,6%
Рис.16 Рис.17
---===Тест #2===---
Грузимся со связки феникс. Траф покупаю у d33
отгружено 737
отстучалось 527
процент отстука 71,5%
Рис.18 Рис.19 Рис.20 рис.21
Тут вылазит вторая бага админки. Я заметил ее еще при пробном запуске. В админке 1 бот, а запусков файла - 10. Рис.22 Значит нет проверки на повторные запуски. Сообщаю об этом автору. Он говорит что уже понял это и дорабатывает этот момент.
Поэтому отгружено с лоадера, будем считать по максимуму = 527
отстучалось 457
процент отстука 86,7%
рис.21
---===Тест #3===---
Грузимся на связке элеонора. Траф покупаю у d33
отгружено 102
отстучалось 63
процент отстука 61,8%
Рис.23 Рис.24
Как видим бага и тут вылезла.
отгружено с лоадера будем считать по максимуму 63
отстучалось 56
процент отстука 88,9%
Рис.24
----------------------------------------
Теперь давайте выведем средние показатели.
Отстук файла с лоадера - ну не 101,5%. Я думаю в районе 95%. Это если учесть отстук стукача с лоадера.
Отстук со связки средний 66,7%
Отстук файла с лоадера средний 91%. (напомню, что грузился просто стукач.)
---------------------------------------
---===Разбор полетов===---
1. Обходов нет, а отстук довольно высокий. Почему?
Причин несколько:
1. файл не палится АВ.
2. размер файла очень мал. Написан на FASM, поэтому в файле нет ничего лишнего.
3. Машины на которые он грузился в своем большинстве не имели фаерволов.
2. Обходов нет. Лодырь говно!
Нет и нет. Задолбали меня такие выкрики. Чего вам свет клином на обходах сошелся? Обходы - это хорошо если работать по определенным целям. А если грузиться массово, да еще и по такой цене - то вполне юзабельно. Смотрите на показатели, на отстук. Нормальный лодырь. Автор, кстати, очень доволен остался реверсом!!!!! Заметьте. Не кричал подъеба, суки! Он сказал спасибо. "Я знаю куда мне стоит теперь обратить внимание и где стоит поработать" Я так же сообщил обо всех найденных мной недоработках, на что мне ответили, что найденные баги в админке уже фиксятся. А результаты моих тестов подталкивают к улучшению продукта и мозговой активности.
В любом случае. Я уверен что лоадер стоит своих денег! Как сказал один мой знакомый: "я за чистку криптора больше беру".
3. Маленький размер файла, быстро спалят.
Тут ситуация двояка. Да, спалить такой файл можно довольно быстро, но ввиду небольшого размера его и почистить автору очень не сложно будет. Можно через день проворачивать такое. Пока фантазии будет хватать.
4. АХАХАХА феникс лучше Элеоноры. Уделали конкретно!
Спешу огорчить любителей холивара. Это все временная фигня. Во время моего теста феникс получил на борт все обновления. Я был в числе первых (спасибо alexudakov за связку) кто грузился на новой версии. Элеонора же, довольно давно не обновлялась. Только чистки.
После тестов я связывался с автором феникса. Мы довольно долгое время беседовали по-теме и просто ни-о-чем. И мне понравилось его отношение к Exmanoize. Оно в целом соответствует моему:
А так же хочу, по-случаю, всем сообщить что на подходе новая версия Элеоноры.
5. Как получилось так, что на WBX обходы есть, а в моем обзоре их нет?
Я не знаю. На самом деле все происходило довольно запутанно. После того как я на одном закрытом форуме выложил результаты своих тестов - они быстро появились в топе на WBX. С заголовком будьте аккуратны. Проверка сделанная x45x50 была тут же анулирована им самим. У меня в асе творился некоторое время полный пи... Кто-то обвинял автора, что он сам изменил в своем топе проверку от x45x50 в свою пользу. Кто-то обвинял x45x50 в некомпетентности и взыманию бабла ни за что. Меня это достало. Я вам проще скажу. Я не мировой судья. Мне глубоко фиолетово кто и кого там обманул. Я не буду лезть в эти разборы.
6. В результате опубликованных мной на закрытом форуме тестов на обходы пострадало (в какой-то степени) два человека. Ребята. Ничего личного. Меня попросили выложить. Я выложил. После разговора с одним из вас и услышанными извинениями, а так же убранным материалом на WBX у меня претензий не осталось.
--------------------P.S.---------------------------
Как всегда в конце своих обзоров я выражаю благодарности. Все чаще я хочу указать огромное количество ников, которые так или иначе мне помогают, но это превратится в хрен знает что.
Итак: EL-, HTC, Exmanoize, Alexudakov, Ragnar. Это люди которые мне реально помогли. Так же благодарю xss.pro/ и exploit.in за моральную поддержку.
Отдельно хочется выразить благодарность автору за предоставленный лоадер. Хочется сказать, что осталось от сотрудничества исключительно положительная эмоция. Радовал постоянный онлайн и всевозможная помощь в любое время суток. Спасибо.
Записки на полях специально для xss.pro/
