Техническое обсуждение стилера BlackGuard

[Quake3]

Вот просто не видел профессионально написанного малваро сорца.

Ок, а какой белый сорц выглядит профессионально? Если взять какие-то хромиумы и прочее, то ес-но оно будет лучше разных стилеров. Ибо там кодит команда спецов, а малварь обычно 1 человек.
В малваре ведь другое важно, не имя процедуры, а обход АВ и все такое. Впрочем, это все лирика.

уходя с малваро темы в белую столкнется с проблемами, потому что нигде больше такое говно терпеть не будут

Сложно уйти, надо перестраиваться , да и платят меньше.

 

[Whisper]

Ок, а какой белый сорц выглядит профессионально? Если взять какие-то хромиумы и прочее, то ес-но оно будет лучше разных стилеров. Ибо там кодит команда спецов, а малварь обычно 1 человек.
В малваре ведь другое важно, не имя процедуры, а обход АВ и все такое. Впрочем, это все лирика.



Сложно уйти, надо перестраиваться , да и платят меньше.

Есть только одна причина почему команда спецов кодит лучше(не больше а именно лучше), это испекции кода разными людьми, у вас просто не получится там комитить плохой код. Далее одному человеку проще кодить по причине 100% согласованности процесса, но тут остро стоит вопрос дисциплины и профессионализма.
Про малварь расскажу о своем личном опыте. Начинал я как и большинство сразу в карьер. Ну раз учить плюсы то буду сразу писить конечный продукт, чего ходить вокруг да около. Естественно какие то нудные книги мне были не интересны, особенно какие то обстрактные где про кодинг как инженерную профессию а не про кодинг на плюсах как это было мне нужно.
Привело это все к мегам говносорцев, которые вау - работают, и даже обходят всякое разное, но в которые что то дописать и в которых что то изменить адский труд. И уже изучая книги по программированию в отрыве от языков, изучая статистики и опыт компаний и больших проектов, стало понятно почему все так случилось и что иначе и быть не могло. И я скажу что лучше поздно научится кодить чем никогда, причем именно кодить а не плодить код который как то работает. Более того изучая именно профессию и методики в общем и целом без привязки к конкретным языкам ты выходишь на качественно новый уровень не только знания но и понимания. Не сомневайтесь, имена это важно, контроль вложности тоже, управление сложностью основа основ. занание статистик что к чему приводит тоже важно, плохая дифиниция будет вас постоняно вынуждать смотреть декларцию, одно цепляется за другое. Зря вы смотрите столь приминитвно на процесс, работает - не работает, обходит - не обходит, утечки здесь не критичны и тд. Найдите в себе силы действительно развиватся а не вникать в тонкости частностей. Программирование это средство решения задач, языки программирования это просто инструменты, упарыватся в инструменты не умея в средсво и не понимая его - это грустный путь где проффесиональный рост это только иллюзия, поскольку осваиваются всего лишь частные особенности инструментов и программирование происходит на языке, вместо того что бы программировать с использованием языка.
А то что платят меньше, так не обязательно идти на зарплату, а если уж пришлось идти на зарплату то хотя бы на норм позициию и что бы ценили а не выпнули с позором.
Я оставлю этот пост просто для тех кто к нему готов, я не буду отстаивать в спорах все то что здесь написано, просто может это кому то поможет, и это будет уже хорошо.

 

[DildoFagins]

Ой, ну что ты опять духоту развел? Мы же тут технические аспекты одного единственного стиллера одного единственного чсвшника пришли обсуждать. А ты опять о высоких материях рассуждаешь, совсем себя не бережешь, отдохнуть тебе надо, а то слишком ты серьезный, как бы не треснуло чего от твоей серьезности.

 

[Whisper]

Ой, ну что ты опять духоту развел? Мы же тут технические аспекты одного единственного стиллера одного единственного чсвшника пришли обсуждать. А ты опять о высоких материях рассуждаешь, совсем себя не бережешь, отдохнуть тебе надо, а то слишком ты серьезный, как бы не треснуло чего от твоей серьезности.

А ну немедленно прекращайте свой блохастый козлизм!
Будете себя так вести и мы вообще никогда не подружимся =)
А тема была была затронута за то что качественных(на уровне энтерпрайз) сорцев малвары вообще никто и не видел. Вывод что малваро кодеры тупо безграмотны в проф смысле.

 

[fedor_shkafchik]

Whisper, выше же уже простой ответ дали. Малвар кодер - обычное тело, со своими прорехами, но в чем-то гениальное. Увы, гениальности хватает набросать код, но не культуре кода следовать. Какой там энтерпрайз...

 

[Whisper]

Whisper, выше же уже простой ответ дали. Малвар кодер - обычное тело, со своими прорехами, но в чем-то гениальное. Увы, гениальности хватает набросать код, но не культуре кода следовать. Какой там энтерпрайз...

А я не холиварю, и не ищу ответов. Я просто с коллегами делюсь своим открытием. Типа помогаю апнутся тем кто действительно стремится развиватся. Кто то ведь заинтересуется и пойдет учится. Мне то ясное дело не холодно не жарко, но если бы меня кто в свое время подтолкнул к этой теме то было бы мне сильно легче и лучше в профессии. Просто деалю что то для кармы и братанов.

 

[Apocalypse]

Грустные стилеры на сишарпе за 700 бачей... эх, поймал себя на мысли, что мне "совесть" не позволила бы продавать такую хуету.

 

[ioioio777]

Требую экранизацию этой истории!!!​

 

[r3dix0r]

Вайтхеты сожрали его уже? Жду продолжения блокбастера

 

[DildoFagins]

Вайтхеты сожрали его уже?

Так а что? Понятно, что иностранным (и теперь тем более украинским) реверсерам малваров по фану какого-то русского "хацкера" сдеанонить, это нормально. Но по большому счету, я не думаю, что этот деанон что-то критичное будет значить в будущем. По РУ он вроде не работал, денег даже на продаже копипастов за 700$ тоже вряд ли много поднял. Так что этот Неуловимый Джо Игорёк скорее всего никому из рассейский "аверов и ментов" (с) и не впился никуда.

 

[KonstLive]

Это детище даже софтом полноценный сложно назвать, сейчас достаточно норм курсов, чтобы такую дичь в коде не наблюдать)

 

[KonstLive]

В первом билде не удосужился даже реализовать банально элементарных обходов, рантайм будет красный у билда практически весь, молчу уже за скантайм - что есть вовсе элементарно вывести в чистоту. Шифрование строк с помощью base64...

 

[DildoFagins]

Кстати. Я понимаю, что это риторический вопрос, но кто-нибудь может пояснить зачем в бинарнике таскать с собой овер 250 килобайт текста такого содержания:

Если что, скрин не мой, взял с твиттера, где вайтхеты, видимо, угорают над семплом. Просто в том первом семпле, что он мне скинул для проверки обхода рантайм детектов, тоже было что-то похожее (та длинная строка, которую я вырезал из декомпиленных сорсов, чтобы форумный движок пожалеть). Наверняка, это - какие-то элитные обходы рантайм детектов, которые я не в силах понять в следствии своей глупости. И откуда такая любовь к петушарам, то есть к курам (трудности перевода), стилер его вроде толи раньше собирал, толи еще собирает все данные в папку с именем ChickenDir. Наверное, отсылка какая-то к жизни автора, но пока не понятно, о чем она.

И кстати: https://medium.com/s2wblog/the-history-of-blackguard-stealer-86207e72ffb4

 

[KonstLive]

ChickenDir - это такой сложный для понимания, но легкий в реализации обход рантайма, который пускает пыль в глаза вайтехтам, пока афтар снимает все деньги с банк счетов под 0, параллельно сливая всю имеющуюся у них крипту.

 

[br0]

Посмотреть вложение 35628


дам комментарий по данному скрину этот вася реверс считает что данный метод у меня основной но нихрена я его и вас огорчу наверно

эти пути прописаны для стандартного метода который во многих стилаках использовался я просто не стал его вырезать вот и все куки этот метод не тянет он собирает только пароли автофилл скачивания и историю и все.


куки собираются новый методом через подключения к базе хрома

Извините за оффтоп, но что он имеет ввиду под "куки собираются новый методом через подключения к базе хрома" ? ведь так или иначе, всёравно к базе sqlite подключаемся, копируя файл базы что бы не мешать браузеру.
И что не так в принципе, с тем, что пути стандартные прописаны к юзердате? Ну тоесть понятно, что может быть установлен не в стандартную директорию браузер, но нужно как-то по другому вытаскивать откуда-то путь к юзер дате браузера ? Если да, то подскажите пожалуйста, откуда это вытаскивается без статичного прописывания путей ?

 

[lenskiy]

Извините за оффтоп, но что он имеет ввиду под "куки собираются новый методом через подключения к базе хрома" ? ведь так или иначе, всёравно к базе sqlite подключаемся, копируя файл базы что бы не мешать браузеру.
И что не так в принципе, с тем, что пути стандартные прописаны для сбора кук? Нужно как-то по другому вытаскивать откуда-то путь к юзер дате браузера ? Если да, то подскажите пожалуйста, откуда это вытаскивается без статичного прописывания путей ?

Он убрал sql handler, и поставил офф движок. SQLITE весом 2мб 1 либа, вот такие достижения

 

[KonstLive]

Извините за оффтоп, но что он имеет ввиду под "куки собираются новый методом через подключения к базе хрома" ? ведь так или иначе, всёравно к базе sqlite подключаемся, копируя файл базы что бы не мешать браузеру.
И что не так в принципе, с тем, что пути стандартные прописаны для сбора кук? Нужно как-то по другому вытаскивать откуда-то путь к юзер дате браузера ? Если да, то подскажите пожалуйста, откуда это вытаскивается без статичного прописывания путей ?

Там где стандартные пути прописаны с статическим прописыванием, там и ватхеты смеются над простотой своего труда

P.S. не в обиду сказано br0 но смени пожалуйста аватарку, она слишком мерзкая
Вот у DildoFagins к примеру аватарка, что аж приятно смотреть

 

[br0]

Там где стандартные пути прописаны с статическим прописыванием, там и ватхеты смеются над простотой своего труда

но как вытащить путь без статического прописывания? ну и строки то покриптованны должны быть которые прописаны статически, так что бы вайтхетам жизнь медом не казалась )

 

[lenskiy]

но как вытащить путь без статического прописывания? ну и строки то покриптованны должны быть которые прописаны статически, так что бы вайтхетам жизнь медом не казалась )

Рекурсией обычной, используя DirectoryInfo
Строки там в бейсе были, но Шарп это Шарп, любые строки в нем труда не представляют

 

[br0]

Рекурсией обычной, используя DirectoryInfo
Строки там в бейсе были, но Шарп это Шарп, любые строки в нем труда не представляют

ну да, можно же все диры посмотреть.. спасибо! а я чет подумал есть какой-то приватный зиродей метод, вытаскивания пути из информации об заинсталленом софте в системе...
хотя чего там зиродейного, можно же теоритически получить список установленного софта с директориями куда установлено, через реестр хотя бы, но наверное это лишнее палево дергать реестр по чем зря