• XSS.stack #1 – первый литературный журнал от юзеров форума

Концепт модульного бота

Отслеживать
Triada

Triada

RAM
Пользователь
Регистрация
13.12.2019
Сообщения
127
Реакции
53
Получать команду в json формате ->
там ссылка на длл и аргументы запуска ->
бот принимает, качает модуль -> запускает функцию из длл в памяти ->
освобождает буффер длл и так по кругу.

Концепт нормальный? Как можно улучшить?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Я в боте так же реализовал примерно, только формат команды свой (лень парсер json писать).
Модуль - reflective dll. И да, неплохо бы было выдавать модуль пошифрованным
 
Пожалуйста, обратите внимание, что пользователь заблокирован
В целом норм, только оптимизировать надо, чтобы не таскать все время.

ТС а ты случаем ник взял не с названия бота?)
 
2c71e9 сказал(а):
В целом норм, только оптимизировать надо, чтобы не таскать все время.

ТС а ты случаем ник взял не с названия бота?)
Нет. Я ща поискал инфы, такой бот под андрюшу есть
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Triada сказал(а):
Нет. Я ща поискал инфы, такой бот под андрюшу есть
Я знаю что есть, и он очень крут) Только разрабы не с России, вроде как.
 
Вся полезная нагрузка будет реализована в загруженых DLL? Зачем для пары параметров использовать целый json?
Стоит добавить запуск в стороннем процессе, что бы бот не падал вместе с модулем.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
2c71e9 сказал(а):
Я знаю что есть, и он очень крут) Только разрабы не с России, вроде как.

старые разрабы из забугра, которые присутствовали еще на darkcode
 
Quasar3с48 сказал(а):
Вся полезная нагрузка будет реализована в загруженых DLL? Зачем для пары параметров использовать целый json?
Стоит добавить запуск в стороннем процессе, что бы бот не падал вместе с модулем.
С запасом на будующее
 
lefroggy сказал(а):
KISS
Вот именно что keep it simple, а не городи свой кривой велосипед в виде кастомного формата. Постоянно вижу, то по голому tcp че то шлют, то выдумывают свои кривые форматы уже по http. Я понимаю, хотят выглядеть как тру, но выглядят как долбоебы, делая неподдерживаемую херню
 
В принципе подход нормальный. Саму передачу JSON текста шифруй. Это раз. Второе - не скидывай dll на диск, убьешь. Два.
Три. Не выдавай dll по прямой голой ссылке. Пропускай всегда через хэндлер.
Хранишь токен доступа для выданной команды. При выдаче боту команды отправляй токен доступа. И когда бот будет запрашивать по урле данные , передавай вместе с запросом этот токен доступа назад. В хэндлере проверяешь какая команда пришла и есть ли для неё токен, и только после этого выдаёшь dll. Этот разовый токен доступа чистишь. Нужно это для того, чтобы нельзя было без токена доступа получить по урлу актуальный модуль dll.
 
За такие концепты людям руки отрывают или на костре сжигали! Где описание протоколы, где описание поддерживаемых команд, где описание админки, где описание методики автозагрузки, на каком ЯП все делаться должно, наконец схемы не хватает!!!

Ну какой в топку JSON проснитесь, вы что собрались в бота модуль парсина добавить? - это смешно, свой писать устанете.
 
merdock сказал(а):
Ну какой в топку JSON проснитесь, вы что собрались в бота модуль парсина добавить? - это смешно, свой писать устанете.
Да, JSON.
Когда тебе надо маршаллить данные чуть сложнее строки, архитектура твоего самописного велосипеда может не справится, особенно если из тебя архитектор как из меня балерина.
 
Haunt сказал(а):
Да, JSON.
Когда тебе надо маршаллить данные чуть сложнее строки, архитектура твоего самописного велосипеда может не справится, особенно если из тебя архитектор как из меня балерина.
Если человек не может архитектуру сделать сам и разработать нативно протокол - то ему лучше вообще не браться за такие вещи. Как и сказал выше Апокс - смысл темы за 25 баксов впарить белиберду. Я НИКОГДА не видел чтобы народ для ЗЛА юзали JSON потому что это нагрузка на бота который должен быть МАЛЕНЬКИЙ это его задача. Как раньше люди без жсона выжили даже не знаю.
 
merdock сказал(а):
Если человек не может архитектуру сделать сам и разработать нативно протокол - то ему лучше вообще не браться за такие вещи.
Ой, давай не будем, ладно?)
На сервере, к примеру, ничто не мешает кодить нормально по современным меркам. Тем не менее, ты видел когда нибудь код азора или анубиса серверный? Архитектуры никакой, кровь из глаз. Сразу видно, что по белой на нормального заказчика они никогда не работали. Ту же анубис админку, я хз маза это писал или нет, но мало того что код криво написан, так ещё и с уязвимостями. Sqli в 2020 лол кек. Тем не менее крида и мазу тут вроде как почитают. Так что все это отмазки ради, оправдать свою несостоятельность, типо это же малварь, значит можно кодить как криворукий уебан, делая неподдерживаемый продукт, зато с нуля и со своими велосипедами. А норм решения хэйтят. Как ты сейчас. Ясен красен для нормального маршаллинга нужен нормальный парсер, который учтёт все возможные варианты, а не крашнет в проде. Да, это займёт чуть больше килобайт, но кому не похуй на килобайты в 2020, поднимите руки.
 
Haunt сказал(а):
Ой, давай не будем, ладно?)
На сервере, к примеру, ничто не мешает кодить нормально по современным меркам. Тем не менее, ты видел когда нибудь код азора или анубиса серверный? Архитектуры никакой, кровь из глаз. Сразу видно, что по белой на нормального заказчика они никогда не работали. Ту же анубис админку, я хз маза это писал или нет, но мало того что код криво написан, так ещё и с уязвимостями. Sqli в 2020 лол кек. Тем не менее крида и мазу тут вроде как почитают. Так что все это отмазки ради, оправдать свою несостоятельность, типо это же малварь, значит можно кодить как криворукий уебан, делая неподдерживаемый продукт. А норм решения хэйтят. Как ты сейчас. Ясен красен для нормального маршаллинга нужен нормальный парсер, который учтёт все возможные варианты, а не крашнет в проде. Да, это займёт чуть больше килобайт, но кому не похуй на килобайты в 2020, поднимите руки.

Тем не менее, ты видел когда нибудь код азора...
Я тебе даже больше скажу, я реверсил все версии клиента когда делал под него кряк и не считаю Азор чем то выдающимся (Крид уж извини, но это правда ты и сам должен понимать). И Азор - это не бот, а стиллер. И вот еще не знаю кто там Крида и Мазу почитают, я им сочувствую, обоих уважаю и знаком еще когда они только свои ники написали в графе регистрации, но не более.

Сути это не меняет, вопрос был задан, ответил с точки зрения опытного человека. Понятие модульный бот - это понятие высокотехнологичного продукта. Как там ты писал надо жсон чтобы в будущем легче было добавлять непродуманные переменные, так и тут в будущем с этим ботом будут проблемы у человека и жсон его не спасет.
 
merdock сказал(а):
Сути это не меняет, вопрос был задан, ответил с точки зрения опытного человека.
Такая вещь как опыт в it очень специфична. Мы не врачи, где технологии меняются раз в 5-10 лет. Так что сегодня ты тру кодер малвари на асме, а завтра рынок насыщает та же дотнет малварь, где асм и кернел не нужен, поскольку малварь сейчас примитивна в 99% случаев(не берём эксплоит девелопмент в счёт) из-за ограничений ОС и ничего не остаётся как идти на фриланс делать домашки на асме студентам. И дело даже не в том, что ты не можешь конкурировать по скиллу на рынке, а в том, то, что у тебя займёт 10 строк на си или в 50-100 на асме - делается в 3 на дотнете и ты тупо по времени не успеваешь, потом покрываешься пылью и злишься на весь несправедливый мир, например на дотнетчиков, да, апокс?))
Главное громче всех кричать что дотнет(не дотнет школяры разрабы, которые ещё никогда даже не нюхали писочек молоденьких QA) для малвари зло, только при конструктивном споре аргументы заканчиваются))
Один из важных аспектов разработки - абстракции. И если ты не используешь это преимущество, то ты отстаёшь. Да, в малвари юзать готовые модули не ахти. Лучший выбор, как всегда золотая середина.
 
Haunt сказал(а):
Такая вещь как опыт в it очень специфична. Мы не врачи, где технологии меняются раз в 5-10 лет. Так что сегодня ты тру кодер малвари на асме, а завтра рынок насыщает та же дотнет малварь, где асм и кернел не нужен, поскольку малварь сейчас примитивна в 99% случаев(не берём эксплоит девелопмент в счёт) из-за ограничений ОС и ничего не остаётся как идти на фриланс делать домашки на асме студентам. И дело даже не в том, что ты не можешь конкурировать по скиллу на рынке, а в том, то, что у тебя займёт 10 строк на си или в 50-100 на асме - делается в 3 на дотнете и ты тупо по времени не успеваешь, потом покрываешься пылью и злишься на весь несправедливый мир, например на дотнетчиков, да, апокс?))
Главное громче всех кричать что дотнет(не дотнет школяры разрабы, которые ещё никогда даже не нюхали писочек молоденьких QA) для малвари зло, только при конструктивном споре аргументы заканчиваются))
Один из важных аспектов разработки - абстракции. И если ты не используешь это преимущество, то ты отстаёшь. Да, в малвари юзать готовые модули не ахти. Лучший выбор, как всегда золотая середина.

Хм, это заблуждение!!! Все кто на асме программировали 10 лет назад как были лучшими программерами Зла сейчас так и остались, и самые большие деньги именно они зарабатывают, и таких примеров хватает. Да и про Дот нет я ни слова не сказал. Я например программирую на всех известных языках, есть любимые, есть те которые знаю лучше всего. Да практика показывает у профессионала есть куча отработанных снипетов никто там 100500 строк кода не делает с древних времен. Не стоит переводить все на личности, берем самые успешные разработки - например Зевс - чистокровный модульный бот, с хорошим описанием и открытым кодом, который очень даже как эталон хорошо сделан, проверен временем и никакого там жсона нету. Т.к. самая главная задача модульного бота по моему разумению - это вес основы, взять лучшее от рата и лоадера. Зачем изобретать велосипед? Взять лучшее, добавить свое и получить еще лучшее. Но как я понимаю тема видимо создана чтобы побаловаться и ни о каком серьезном продукте речи и не идет.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх