Наколотим бабло вместе!

Отслеживать

KraZz

(L3) cache
Пользователь
Регистрация
18.06.2009
Сообщения
196
Реакции
7
Каждая команда (DL team) должна иметь несколько тем (а может и еще больше) для зароботка, иначе через некоторое время все может рухнуть.
Здесь предлагаю постить все, что с этим связано или даже просто мысли (которые на первый взгляд могут показаться бредовыми) или что-то уже конкретное, где нужно уже срочно что-то сделать.
Мне в принципе как-то пох как там будут делиться деньги, но главное, чтобы это было справедливо. И никого не задевало/не обежало. Деньги - это ведь самая скользкая тема и от нее зависит очень многое...
Предлагаю это все обсудить и вносить изменения в правила походу обсуждения тем.

Здесь будет список правил: (который будет появляться в процессе обсуждения тем.)

P. S.
Немного позже (скорее всего завтра) выложу тестовую тему для обсуждения (кстати, немного связанную с лоадером), просто нужно кое-что проверить...
Это не значит, что мы должны сделать что-то уже сразу. Нет. Просто нужно увидеть у кого какие интересы, в каком направлении нужно двигаться и т.д.
 
Вообщем вчера делал тесты над аттачем, который прицепил Left4Dead и результат следующий:
VS 2010 (все настройки по-умолчанию)
https://www.virustotal.com/file/0f64e649649...sis/1346065179/
результат:
Detection ratio: 0/42
Далее все тоже самое, за исключение того что изменил одну опцию компиля - выставил /MT
https://www.virustotal.com/file/5c3f4aab674...sis/1346065395/
результат:
Detection ratio: 0/42
Теперь читаем из паблик топа это: (я конечно же мог об этом здесь не писать, но специально сделаю акцент на то что ... не в состоянии понять то, что ему пишут.. иначе бы... но это не важно, главное нужно обратить после чего (после какого поста) greenzy поделился своими "наблюдениями")
greenzy пишет:
Недавно игрался с вирустоталом. Многие эвристики пропускают файл, если точка входа начинается не с голой программы, а через стандартный старт ап код компиляторов.
Компилим этот говнокод в VS 6, но с точки входа убираем run-time (как нам советует greenzy)
И.. и-и.., вуаля...
https://www.virustotal.com/file/9481474ea01...sis/1346065570/
Detection ratio: 7/42

Забегая вперед, скажу что, криптор тоже может попадать под детект BitDefender и его многочисленных клонов, чтобы не быть гадалками (как серая масса) естественно нужно понять причину детекта, а для этого нужно сделать реверс, но об этом чуть позже...
Мы знаем, что в паблик вывалились сорцы одного из антивирусов, можно взять их за основу (как букварь) и изучить, но в процессе этого также сравнить техники детекта KASPERSKY.AV и BitDefender (есть ли в них что-то общее), также мы знаем, что по мере наработок остальные AV гораздо проще будет "рвать"...
Теперь к самой сути, просто так реверсить AV ради лоадера?
Но есть вариант, идем и читаем этот топ:
https://xss.pro/index.php?topic=23009
Короче, я ему в ПМ написал такую мессагу:
Реверс BitDefender и его клонов
https://xss.pro/index.php?topic=23009
Еще актуально?
Цена?

Ситуация следующая - есть два файла, которые палит BitDefender и его клоны.
Gen:Variant.Barys.2204
Gen:trojan.Heur.FU.ymW@aq@J2@d
Нужно будет выяснить причину их детекта, возможно, что нужно будет реверсить все или большую часть, чтобы понять причину детекта...

В принципе можно совместить твой заказ с нашим и нашими возможностями...
Но нужно это будет еще обсудить со всеми, кто будет заниматься реверсом.. короче надо будет определить объем работ и обсудить твою предложенную цену...
Вообщем, что мы возьмемся за твой заказ - еще неизвестно, все зависеть будет от многих факторов...
ЗЫ: Если у тебя есть еще варианты, то ты от них сразу так не отказывайся...
Он ее еще не видел, когда появицца на форуме, то естественно увидит...
Ее можно удалить (форум это позволяет сделать), а нужно ли ее удалять?
Можно ускорить процесс и стукнуть ему в жабу...
Как бы есть вариант соединить и реверс и бабло вместе + это усилит наши возможности в борьбе с AV
Мы как бы команда, сталобыть решать должны вместе, если есть какие-то мысли - пишем...
ЗЫ: Еще есть время, чтобы отказаться...
 
Какой реверс АВ что вы выдумывате. Если за 5 минут найденные мною случайные апи сбивают все детекты с только что написанного виндового лоадера с функцией бекконекта. Не занимаемся ерундой.

И еще - зачем менять точку входа у файла?! Ну не детектится с ней - пусть будет.
 
Стартап код это действительно нужная весч, позволяющая избежать получения лишних баллов со стороны ав (т.е. схлопотать детект).
Да и вообще маскировка под некий компилер, соблюдение его характерных черт, сигнатура компилера на еп, архитектура секций очень могут помочь в избежании детектов.

Какой реверс АВ что вы выдумывате. Если за 5 минут найденные мною случайные апи сбивают все детекты с только что написанного виндового лоадера с функцией бекконекта. Не занимаемся ерундой.
Если за 5 минут найденные случайные апишки сбивают детект, это лишь частный случай и о таком говорить сейчас нет смысла. Мы рассматриваем идею реверса ав в целом и это не делается каждый раз чтобы сбить детект. Это делается в тех случаях, когда детект жестко привязан к криптору, и игры с основными признаками, такие как генерация кода, импорта, структура секций, энтропия не могут сбить этот детект. В таких случаях делается реверс ав, анализируется причина, затачивается под это дело криптор и некоторое время детекта нет. Но в большинстве случаев проканывает тупой перебор по "возможным причинам", который кстати тоже можно автотамизировать.

По поводу реверса бита, помойму крем недавно реверсил + точно знаю что реверсил он мсе, кстати с сайта еофа можно стянуть дебагинфу для мсе.
была даже идея написать парсер, который будет скармливать вм мсе некий код, и далее можно будет визуально наблюдать как вм ведет себя с предложенным ей кодом. Т.е. чтобы не только они изучали наши поделки, но и у нас была возможность поковырять их эмульВМы...

p.s. Команда, держащаяся на чистом интузиазме и силе к знаниям не долго протянет, далеко ходить не нужно, вспомним что недавно писал wahoo... семъе кушать надо и поэтому приходится вкалывать, и времени может не хватать больше ни на что по большому счету.
Гораздо важнее создать баланс между развитием комманды, коммандных продуктов и получением профита и наслажедения от этого. Т.е. приятное с полезным, это как занимаемся любимым делом, развиваемся попутно + получаем не плохой доход... малина!

p.s.s. KraZz куда опять пропал?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Касаемо скамерца - мне лично он сейчас не особо актуален, но какие-то идеи обсудить можно. Например, месяца 2 назад хотели заказать такое:

Требуется следующий малварь:
Когда человек серфит в интернете, в ЛЮБОМ браузере, перед переходом на сайт выставляется счетчик, таймер, как при скачивании с депозита типа,
и надпись посередине браузера "Переход на сайт блаблба.ру будет через 5(4 3 2 1) сек", и снизу кнопка "Что это такое? Как убрать ожидание".
Когда человек жмет на эту кнопку, открывается окошко в этом же окне браузера, с моим сайтом, сайт подгружается в зависимости от того

какая страна у бота. Если РУ - ру лендинг, если ЮС - юс лендинг.

+Под это дело веб админка, и возможность подключать адвертов(тип пп)
Что думаете? Как по мне, идея неплохая, люди на такое поведутся, но мне кажется весьма сложной идея реализовать такое для всех браузеров. Ведь если я правильно понимаю, нужно делать перехват сетевых Апи, а в каждом браузере они другие.
 
винсок перехватить, только хттп но тем не менее везде робит
 
это подмена выдачи та же.. люди успешно юзают и срубают профит оччень даже не плохой. идея гуд
 
предлагаю обновить темку и для затравки - как считаете, мб сделать анонимный впн (гибридный) спецом для подполья ДЛ?
 
Dark Koder сказал(а):
предлагаю обновить темку и для затравки - как считаете, мб сделать анонимный впн (гибридный) спецом для подполья ДЛ?
Не вариант :) а то если накроют впн ) то и накроют всех:)
 
rtkm сказал(а):
Не вариант :) а то если накроют впн ) то и накроют всех:)
не факт.
но мнение учёл =)
 
Оффтоп. Vpn поднять можно (хотя я пробовал сделать doublevpn и там все очень не просто), но тут возникает самый главный вопрос. Кто этот бал будет оплачивать? Да и как определять кому давать доступ а кому нет?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
На самом деле затея классная, есть некие идеи от полу легального, до чернухи, но такое надо где-то от постороних глаз обсуждать. Думаю если дружно начать что-то соображать, то можно получать профит, тут вроде люди разных мастей, только вот петухов чё-та невиднао
 
Идея говно изначально. Оплачивать ладно, как и с доступом, кто проплатил - тем и доступ (там в принципе иных вариантов и нет), да кто будет заниматься? Кто будет держать абузы, кто будет в ответе за чернышей, которые подставят по итогу всех остальных? Да и чем это тогда будет отличаться от обычных впн которых немеряно? Говно короче идея. Альтруизм остался где то в 2004-5, меценатство без интереса так и вообще никогда не было реализовано, интерес всегда был
 
Desoxyn сказал(а):
Идея говно изначально. Оплачивать ладно, как и с доступом, кто проплатил - тем и доступ (там в принципе иных вариантов и нет), да кто будет заниматься? Кто будет держать абузы, кто будет в ответе за чернышей, которые подставят по итогу всех остальных? Да и чем это тогда будет отличаться от обычных впн которых немеряно? Говно короче идея. Альтруизм остался где то в 2004-5, меценатство без интереса так и вообще никогда не было реализовано, интерес всегда был
Создатель темы наверно давно накалатил бабла)
 
Ar3s сказал(а):
Оффтоп. Vpn поднять можно (хотя я пробовал сделать doublevpn и там все очень не просто), но тут возникает самый главный вопрос. Кто этот бал будет оплачивать? Да и как определять кому давать доступ а кому нет?
по поводу определения доступа - ну начать например, с тех кто проверен и сделать для начала, чисто для доступа на дамагу (безопасный канал).

Desoxyn сказал(а):
Идея говно изначально. Оплачивать ладно, как и с доступом, кто проплатил - тем и доступ (там в принципе иных вариантов и нет), да кто будет заниматься? Кто будет держать абузы, кто будет в ответе за чернышей, которые подставят по итогу всех остальных? Да и чем это тогда будет отличаться от обычных впн которых немеряно? Говно короче идея. Альтруизм остался где то в 2004-5, меценатство без интереса так и вообще никогда не было реализовано, интерес всегда был

для чернышей сделать можно отдельный канал + не забываем о том, что можно траф впн спрятать под тор\ssh\i2p etc+ лить например, через вебшелл (как исходную ноду).
по поводу оплаты - это зависит исключительно от тех, кому это будет нужно.
чем отличаться от обычных - тем, что будет гарантированный канал без сохъранения логов (например, проверку сделать может арес и гарант) и маскировкой трафа + то, что в отличие от сервисов - при желании\опасеннии легко изменить\модернизировать цепочки и узлы, ччерез которые идёт траф.
З.Ы: мнение учёл =)
 
Dark Koder сказал(а):
по поводу определения доступа - ну начать например, с тех кто проверен и сделать для начала, чисто для доступа на дамагу (безопасный канал).



для чернышей сделать можно отдельный канал + не забываем о том, что можно траф впн спрятать под тор\ssh\i2p etc+ лить например, через вебшелл (как исходную ноду).
по поводу оплаты - это зависит исключительно от тех, кому это будет нужно.
чем отличаться от обычных - тем, что будет гарантированный канал без сохъранения логов (например, проверку сделать может арес и гарант) и маскировкой трафа + то, что в отличие от сервисов - при желании\опасеннии легко изменить\модернизировать цепочки и узлы, ччерез которые идёт траф.
З.Ы: мнение учёл =)
В любом случае форуму нужны новые пользаватели, а их можно привлечь новыми знаниями.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Я не про впн, а про совместное дело, если каждый сделает что-то немного, то с него не убудет. В целом 10 человек делающие что-то одно не перетрудиться и профит делить удобно, любое число делиться на 10, даже ноль, кто-бы что не пиздил про деление на ноль. Вот табак фейки делает, рассылку, У кого-то ботнет есть, кто-то идею подкинет, кто-то выведит бабло. норм же идея
 
BabaDook
Ты бываешь трезвым? Не "побухай" недельку, перечитай форум трезвым как тебе идейка? Это я тебе как алкаш и наркоман говорю, со своей позиции. Спасает.

Dark Koder
>>>для чернышей сделать можно отдельный канал
А ты это как будешь вычислять =) Мы ж логов не ведем (орли?). Или ты думаешь тебе кто то будет писать "я вот с вашего пабл сервера черное делаю, дайте канал отдельный"? Что за ....
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх