Вначале я не хотел постить здесь эту тему, так как думал, что такой софт тут не то, что обсуждать, но и продавать запрещено
Думал, такой софт можно продавать только на сайтах типа лолза, но потом по стечению обстоятельств, люди намекнули, что это нужно сделать, но я все равно не хотел здесь постить эту инфу...
И вот захожу сейчас и думаю, а дай гляну, что тут по стиллерам есть из информации и сразу наткнулся на эту тему, да еще вроде и свежая пару месяцев ей...
Я все-таки решился это сделать, ноги дрожат и руки трясутся, но я бодрячком
Вначале хакерская предыстория, без нее не будет интересно... (хотя это всего лишь 10% от всей истории)
Я бы мимо прошел, но так получилось, что не получилось мимо пройти... - ЛОЛ
Стучит, значит один чел мне в ЛС и пишет, что мой криптор ломает стиллер Predator, ну думаю, надо глянуть, что за софт такой, ну и пофиксить баг в крипторе.
На тот момент у меня не было репы, чтобы скачать последнюю паблик версию стиллера, но мог скачать версию 3.0.0
прочитав один топик, а потом и второй
стало понятно, что билд стиллера v3.1.0 по каким-то причинам не рабочий, то есть мне нужно проверить, стиллер версии 3.0.0 - закриптовал, запустил, - вроде работает...
Отписал ему, чтобы юзал старый билд, а не новый. Но он начал настаивать, что стиллер запускаться-то запускается, но не стучит в админку.
Пришлось гуглить, и искать новую версию этого стиллера, а именно v3.1.0 - нагуглилось быстро, оказалась какая-та склейка, но билдер вытаскивался из склейки без проблем...
Сбилдил новую версию и закриптовал, запускаю и.. и... и.... крипт падает... начал дебажить и выяснил, что проблема в наличии TLS - именно присутствие этой директории в исполняемом файле не давало нормально работать закриптованному файлу с сетью.
И вот чего-то я начал думать, а как у него так получилось закриптовать своим криптором, и у него стучит в админку стиллер версии 3.1.0 (хотя он начал утверждать, что именно старую версию мой криптор не может закриптовать, я естественно не поверил и отложил этот факт в долгий ящик)
Прошло время...
И вот значит сижу сейчас, программирую... мля, слово противное какое-то, кодю (не-е-е, тоже не то), короче, стругаю не... о! пилю новую версию криптора и вспоминаю про кхе-кхе, этот значит стиллер и думаю, надо посмотреть, как у того чела получилось запустить новый билд стиллера версии v3.1.0 (да-да-да, я знаю, это вроде, как и не возможно...)
Включаю электрическую магию мозга и начинаю...
Первое с чем я столкнулся (противно-то как), нужно установить на виртуальную машину новую админку v11 - с ней может работать как старый билд, так и новый...
Установил XAMPP, потом не помню, что-то сделал, и админка установилась и заработала.
Первым делом стал тестить стиллер версии 3.0.0 (билд не запускался на виртуалке, пришлось пропатчить), - ну вроде нормально отстучал, и даже лог/отчет прислал (хотя, прислал - это не то слово, но пусть будет)
Ну и вторым делом начал тестить, стиллер версии 3.1.0 и первое что он сделал, так это (правильно) упал...
Дебагер запускаем и пытаемся найти ошибку, но стиллер упорно продолжает падать, ошибка уходит корнями в системные дебри манифеста.
Посмотрев внимательнее на ошибку
Я подумал, а откуда там появилось это унылое api-ms-win-crt-runtime-l1-1-0.dll ведь в импорте стиллера такой длл нет.
Позвав на помощь Олю Дебаговну, и посмотрев, что она показывает, стало понятно что, этот стиллер пытается загрузить в свой процесс C:\Program Files\Mozilla Firefox\nss3.dll
Насколько помню, существует два метода получения данных из Firefox: первый - добавление кода в стиллер работающего с базами данных, и это нормальный вариант...
Ну и второй (школоло варик) - это юзать дллки из директории Firefox - тут сразу куча проблем выскакивает, если билд стиллера для win32, то такой стиллер не будет тырить пароли из Firefox x64...
Так как nss3.dll будет предназначена для x64, а наш стиллер будет работать в win32, отсюда и может создаваться ложно впечатление, что вроде стиллак запустился и отстучал, но паролей от Firefox и т. д. нет... и начинаются претензии к качеству трафика и т. д., но не знали они... что проблема в говнософте...
Наш процесс стиллера стартовал из под древнего Total Commander, попробуем запустить из под системного C:\Windows\Explorer.EXE и вуаля - ошибка пропала, но стиллер не отстучался в админку.
Опять зовем на помощь Олю Дебаговну, чтобы она удовлетворила наши мужские потребности, и... и... отладчик нам показывает, что ошибка внутри HttpSendRequest, смотрим чуть глубже и... и... обля...
Оказывается билдер неправильно патчит билд стиллера, фиксим и запускаем, и ого отстучался наш стиллак-то, да и стырил он пароли...
Если сравнивать со старым билдом стиллера v3.0.0, то тот не смог у меня достать пароли из Firefox 67, а вот билд версии v3.1.0 скоммуниздил все из Firefox 67
сразу предупреждаю, что этот билд тянет настройки из админки (возможно их там нужно выставить правильно Настройки->Конфиг), и возможно в зависимости от них выполняет те или иные действия... (хотя при тестах, вроде эти настройки ни на что не влияют, но мало ли, я-то тестил на виртуалке)
Теперь подробнее о том, что нужно делать, чтобы заработал билд стиллера версии v3.1.0, короче, делаем фикс...
скачать можно здесь: https://lolzteam.net/threads/910533/
Запускаем билдер, вписываем адрес админки и делаем билд.
Далее открываем наш свежеиспеченный билд стиллера в hex-редакторе (я использовал HxD Hex Editor), и ищем наш адрес админки, я вводил predator31.local - эту строку и буду искать...
Теперь делаем как на рисунке ниже
Для тех, кто не понял, что произошло, поясню...
Я просто переместил адрес админки на один байт влево и остальное заполнил нулями, то есть не работало из-за того, что перед адресом админки был один левый байт (количество символов адреса админки)
Этот байт попадал в имя админки и поэтому стиллер стучал не на predator31.local а на Xpredator31.local
Ну и не забываем юзать какой-нибудь примитивный дроппер, чтобы запускал стиллер через C:\Windows\Explorer.EXE - иначе возможно не будет воровать пароли из различного софта...
Ну, и комментарии на лолзе, заскринил на память поколению next...
Думал, такой софт можно продавать только на сайтах типа лолза, но потом по стечению обстоятельств, люди намекнули, что это нужно сделать, но я все равно не хотел здесь постить эту инфу...
И вот захожу сейчас и думаю, а дай гляну, что тут по стиллерам есть из информации и сразу наткнулся на эту тему, да еще вроде и свежая пару месяцев ей...
https://xss.pro/threads/29956/
Ну, раз модератор так пишет, и мне советовали люди это сделать (причем не один человек)
Я все-таки решился это сделать, ноги дрожат и руки трясутся, но я бодрячком
Вначале хакерская предыстория, без нее не будет интересно... (хотя это всего лишь 10% от всей истории)
Я бы мимо прошел, но так получилось, что не получилось мимо пройти... - ЛОЛ
Стучит, значит один чел мне в ЛС и пишет, что мой криптор ломает стиллер Predator, ну думаю, надо глянуть, что за софт такой, ну и пофиксить баг в крипторе.
На тот момент у меня не было репы, чтобы скачать последнюю паблик версию стиллера, но мог скачать версию 3.0.0
прочитав один топик, а потом и второй
стало понятно, что билд стиллера v3.1.0 по каким-то причинам не рабочий, то есть мне нужно проверить, стиллер версии 3.0.0 - закриптовал, запустил, - вроде работает...
Отписал ему, чтобы юзал старый билд, а не новый. Но он начал настаивать, что стиллер запускаться-то запускается, но не стучит в админку.
Пришлось гуглить, и искать новую версию этого стиллера, а именно v3.1.0 - нагуглилось быстро, оказалась какая-та склейка, но билдер вытаскивался из склейки без проблем...
Сбилдил новую версию и закриптовал, запускаю и.. и... и.... крипт падает... начал дебажить и выяснил, что проблема в наличии TLS - именно присутствие этой директории в исполняемом файле не давало нормально работать закриптованному файлу с сетью.
И вот чего-то я начал думать, а как у него так получилось закриптовать своим криптором, и у него стучит в админку стиллер версии 3.1.0 (хотя он начал утверждать, что именно старую версию мой криптор не может закриптовать, я естественно не поверил и отложил этот факт в долгий ящик)
Прошло время...
И вот значит сижу сейчас, программирую... мля, слово противное какое-то, кодю (не-е-е, тоже не то), короче, стругаю не... о! пилю новую версию криптора и вспоминаю про кхе-кхе, этот значит стиллер и думаю, надо посмотреть, как у того чела получилось запустить новый билд стиллера версии v3.1.0 (да-да-да, я знаю, это вроде, как и не возможно...)
Включаю электрическую магию мозга и начинаю...
Первое с чем я столкнулся (противно-то как), нужно установить на виртуальную машину новую админку v11 - с ней может работать как старый билд, так и новый...
Установил XAMPP, потом не помню, что-то сделал, и админка установилась и заработала.
Первым делом стал тестить стиллер версии 3.0.0 (билд не запускался на виртуалке, пришлось пропатчить), - ну вроде нормально отстучал, и даже лог/отчет прислал (хотя, прислал - это не то слово, но пусть будет)
Ну и вторым делом начал тестить, стиллер версии 3.1.0 и первое что он сделал, так это (правильно) упал...
Дебагер запускаем и пытаемся найти ошибку, но стиллер упорно продолжает падать, ошибка уходит корнями в системные дебри манифеста.
Посмотрев внимательнее на ошибку
Я подумал, а откуда там появилось это унылое api-ms-win-crt-runtime-l1-1-0.dll ведь в импорте стиллера такой длл нет.
Позвав на помощь Олю Дебаговну, и посмотрев, что она показывает, стало понятно что, этот стиллер пытается загрузить в свой процесс C:\Program Files\Mozilla Firefox\nss3.dll
Насколько помню, существует два метода получения данных из Firefox: первый - добавление кода в стиллер работающего с базами данных, и это нормальный вариант...
Ну и второй (школоло варик) - это юзать дллки из директории Firefox - тут сразу куча проблем выскакивает, если билд стиллера для win32, то такой стиллер не будет тырить пароли из Firefox x64...
Так как nss3.dll будет предназначена для x64, а наш стиллер будет работать в win32, отсюда и может создаваться ложно впечатление, что вроде стиллак запустился и отстучал, но паролей от Firefox и т. д. нет... и начинаются претензии к качеству трафика и т. д., но не знали они... что проблема в говнософте...
Наш процесс стиллера стартовал из под древнего Total Commander, попробуем запустить из под системного C:\Windows\Explorer.EXE и вуаля - ошибка пропала, но стиллер не отстучался в админку.
Опять зовем на помощь Олю Дебаговну, чтобы она удовлетворила наши мужские потребности, и... и... отладчик нам показывает, что ошибка внутри HttpSendRequest, смотрим чуть глубже и... и... обля...
Оказывается билдер неправильно патчит билд стиллера, фиксим и запускаем, и ого отстучался наш стиллак-то, да и стырил он пароли...
Если сравнивать со старым билдом стиллера v3.0.0, то тот не смог у меня достать пароли из Firefox 67, а вот билд версии v3.1.0 скоммуниздил все из Firefox 67
сразу предупреждаю, что этот билд тянет настройки из админки (возможно их там нужно выставить правильно Настройки->Конфиг), и возможно в зависимости от них выполняет те или иные действия... (хотя при тестах, вроде эти настройки ни на что не влияют, но мало ли, я-то тестил на виртуалке)
Теперь подробнее о том, что нужно делать, чтобы заработал билд стиллера версии v3.1.0, короче, делаем фикс...
скачать можно здесь: https://lolzteam.net/threads/910533/
Запускаем билдер, вписываем адрес админки и делаем билд.
Далее открываем наш свежеиспеченный билд стиллера в hex-редакторе (я использовал HxD Hex Editor), и ищем наш адрес админки, я вводил predator31.local - эту строку и буду искать...
Теперь делаем как на рисунке ниже
Для тех, кто не понял, что произошло, поясню...
Я просто переместил адрес админки на один байт влево и остальное заполнил нулями, то есть не работало из-за того, что перед адресом админки был один левый байт (количество символов адреса админки)
Этот байт попадал в имя админки и поэтому стиллер стучал не на predator31.local а на Xpredator31.local
Ну и не забываем юзать какой-нибудь примитивный дроппер, чтобы запускал стиллер через C:\Windows\Explorer.EXE - иначе возможно не будет воровать пароли из различного софта...
Ну, и комментарии на лолзе, заскринил на память поколению next...
