можешь рассказать подробнее про поведение проактивок, мб сатья есть?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Обсуждение крипта на .NET
- Автор темы blackteam007
- Дата начала
собственно видел интересный проект
Бро, конечно, есть: https://xss.pro/threads/43097/ - но посвящена она анализу и обходу именно юзермодных компонентов проактивки (у некоторых аверов только такие и есть, но все же), если проактивка работает на уровне ядра, все гораздо сложнее, их само собой сисколлами или динвоком не наебешь. Можно попробовать инжектировать код в легитимные процессы, но тут опять же главное на самом инжекте не спалиться.
Да, хороший был пацанчик, ему эго не мешало учиться. Кстати эта его статья вдохновила мою статью (которая выше указана), да и вообще с ним было интересно поговорить.
Да, я выкладывал видео о нем с конфы: https://xss.pro/threads/58491/ . Сам не тестил (идея то хорошая там заложена), но вангую, что это будет нормально работать с дефендером, но от какого-нибудь касперского это вряд ли поможет.
Насколько я знаю - он ушел в ирл. Да, не хватает его((
Haunt DildoFagins blackteam007
Давайте по новой, я потерял нить сюжета. О чем идет спор - обход детекта в скантайме для любой малвари, или для дотнета? Просто если дотнет и другой дотнет, я там не шарю, может есть какие-то нюансы, хз. Если речь об обычной малвари - давайте проверим не на примере eicar, а взять тот же GandCrab, DarkSide или еще какой ревил, который аверы знают. Получится ли его спрятать? Уверен, что нет. В динамике файл спалится тем же виндефом.
Давайте по новой, я потерял нить сюжета. О чем идет спор - обход детекта в скантайме для любой малвари, или для дотнета? Просто если дотнет и другой дотнет, я там не шарю, может есть какие-то нюансы, хз. Если речь об обычной малвари - давайте проверим не на примере eicar, а взять тот же GandCrab, DarkSide или еще какой ревил, который аверы знают. Получится ли его спрятать? Уверен, что нет. В динамике файл спалится тем же виндефом.
Персонаж blackteam007 утверждает, что может обойти рантайм в своём крипте. Для любого приложения на С#.
DildoFagins выдал ему файл для крипта, для проверки его утверждений касательно рантайма. Как и предполагалось, даже за 2 попытки, и временем «на все про все» более суток, человек не справился.
С моей же стороны, были заданы ему технические вопросы, каким именно образом, он обойдёт рантайм в случае, если в криптуемом приложении будет вызвано любое WinAPI, которое хукает ав и триггерит на это API(в юм или км, не важно, он утверждает, что обходит рантайм, без исключений). На эти вопросы ответов не последовало, в ответ от него - лишь обвинение в нашей некомпетенции(вы все мудаки, я шарю). То есть кроме флуда/троллинга/софистики он ничего толкового не выдал.
Все бы ничего, но у него имеется коммерческий топ с услугой крипта.
Вот описание: «
Услуга предоставляется только по подписке разовых криптов не делаю!
Неделя - 300$
2 недели 500$
Redline не криптую и не хочу и не планирую!
Постоянным клиентам делаю скидки.
- Ручной Крипт с# файлов.
- Обход GoogleChrome.
- Bypass практически всех ав в рантайме и скантайме.
Вот этот пункт вводит покупателей в заблуждение.
- Bypass практически всех ав в рантайме и скантайме.
Haunt спасибо, понял. Неплохо бы проверить на конкретной малвари, но что-то ничего не помню на шарпе , чтобы конкретно палилось.
blackteam007 что скажете?
blackteam007 что скажете?
Quake3, я особо не вижу смысла тестировать на конкретной малвари, так как текущий алгоритм (дроп икара в темп и запуск) как минимум вызывает детект в рантайме на Касперском. Про ФСекьюр я не помню, что там с проактивкой, но забавно, что до крипта приложение палилось в рантайме, а после крипта появился скантайм, который ни одна правильная иконка не зарешала пока что. Я бы просто сконцентрировался на рантайме детекта от Касперского этой конкретной вещи, чтобы blackteam007 было попроще. Как видно на скриншотах детект именно в рантайме (поведеньческий анализ) и именно его крипта, а не икара. По моему вполне себе нормальный тест, тут же нужен именно рантайм детект стабильный.
И да, там у него безусловно вываливается мессаджбокс, есть вызовы апи BlockInput и слипы. А так да, Haunt все правильно сказал, но я не думаю, что он откровенно наебывает своих клиентов, просто глупенький немного и не разобрался, как рантайм детекты работают. Ну, как минимум, мне хочется в это верить.
И да, там у него безусловно вываливается мессаджбокс, есть вызовы апи BlockInput и слипы. А так да, Haunt все правильно сказал, но я не думаю, что он откровенно наебывает своих клиентов, просто глупенький немного и не разобрался, как рантайм детекты работают. Ну, как минимум, мне хочется в это верить.
Не понимаю, зачем тут впринципе 7 страниц с разборками и гаданием на кофейной гуще при невозможности впринципе обхода поведенческого анализа никаким образом кроме миграции в сторонний процесс или переписывания кода. Очевидно же, что селлер некомпетентен в вопросе.
Гении всегда изначально не признаются сообществом
Шанс того, что вдруг он действительно владеет тайными знаниями - не нулевой. Так что научный подход, вида «утверждение -> доказательство» видится более правильным, что ли, чем всех под одну гребёнку.
what do you meanGeniuses are always initially not recognized by the community The
Бро, я говорил об этом на первой странице, просто blackteam007 - ярый любитель полазить в залупу, на моей памяти с его участием было арбитража три и во всех он разводил такой срач, что глаза кровоточили. О его некомпетентности стало понятно сразу же, но просто я по доброте душевной попытался ему показать это на примере, но его тонкая игоистичная натура этого не оценила. Вот цитата с первой страницы:
StormKitty пускай криптанет.Он задрочен максимально...
Для хорошего теста стиллера нужно на тачку с авером поставить все браузеры и другие приложения, насохранять им в базу паролей. Потому, что рантайм детект может быть непосредственно на чтении какой-либо бд какого-либо браузера или приложения. Ну то есть этот тест существенно сложнее сделать, как для меня, так и для него. Мы не сможем заранее предугадать, на каком моменте может возникнуть рантайм детект. А тестить стиллер на голой машине - это не нормальный тест.
why would you need to put the browsers and other applications on a wheelbarrow with an Aver for a good stealer test ??
that makes no sense to me
- Автор темы
- Добавить закладку
- #119
ебать хаунт и дилдо у вас конкретно пукан разорвало раз вы так агритесь оба)))
Дилдо если ты такой все знающий почему ты не согласился на состязание ты же жопу рвешь и пиздишь что я нихуя не умею?
че ты тут манипулируешь какими то арбитражами на меня ебанутый совсем что ли? я кого то кинул ? есть какие то пруфы что я кого либо кинул на деньги? если нету то рот прикрой свой а то пиздеть та ты горазд а как посостязаться со мной дак ты зассал
Дилдо если ты такой все знающий почему ты не согласился на состязание ты же жопу рвешь и пиздишь что я нихуя не умею?
че ты тут манипулируешь какими то арбитражами на меня ебанутый совсем что ли? я кого то кинул ? есть какие то пруфы что я кого либо кинул на деньги? если нету то рот прикрой свой а то пиздеть та ты горазд а как посостязаться со мной дак ты зассал
Runtime detections can be triggered when stealer accesses some browser file like logins.json in Firefox or Login Data in Chromium based browsers. If the test system won't have such files runtime detects in the test environment won't be triggered, but will in fact be triggered in real environments.