888 RAT 1.2.5 (uncracked)

[Aster]

https://888-tools.com/update/ - password: 8 (so strong)
Feel free to crack

 

[arsarsov]

https://888-tools.com/update/ - password: 8 (so strong)
Feel free to crack

Protected with VMP or Themida ? Online activation system?

 

[Aster]

Protected with VMP or Themida ? Online activation system?

Nevermind, prevoius cracked version is not even hitting.
This rat is good in theory, in practice is shitty.
Pernat1y please delete this thread.

 

[Pernat1y]

Nevermind, prevoius cracked version is not even hitting.
This rat is good in theory, in practice is shitty.
Pernat1y please delete this thread.

Let it be. Maybe someone will do proper crack.

 

[elLurko]

This rat is good in theory, in practice is shitty.

Why? I have not used this before? Where does it fail?

 

[Aster]

Why? I have not used this before? Where does it fail?

Client is not connecting with panel + no-ip option is not working.

 

[arsarsov]

Client is not connecting with panel + no-ip option is not working.

Yes, it is likely that the previous version was fixed incorrectly. I now undertook to dig a little this file, I managed to unpack it and pull out all the scripts and resources from the EXE file, this is an encrypted compiled .au3 script. But the problem is that the script itself is obfuscated. I'll think about what else can be done with it.

 

[arsarsov]

video
https://ru.files.fm/f/wq8ad8g92

 

[xrahitel]

Файл, который вы пытаетесь скачать, больше не существует, скиньте сюда кто скачал

 

[Aster]

Файл, который вы пытаетесь скачать, больше не существует, скиньте сюда кто скачал

I'll put later

 

[arsarsov]

Файл, который вы пытаетесь скачать, больше не существует, скиньте сюда кто скачал

Я выкачал и расковырял, распаковал , расшифровал и вытянул из EXE сырой au3 скрипт который работает при запуске (https://xss.pro/threads/72522/post-495672, https://xss.pro/threads/72522/post-495707), только есть незадачка, он обфусцирован, причем достаточно сильно, у тебя есть опыт работы с обфусцированными скриптами au3 ? Там не тупая обфускация заменой имен и переммешиванием функций, а генерация скрипта на лету и запуск по кусочкам через EXECUTE, и куча всякой другой чепухи, в общем не похоже на обычные обфускаторы

 

[mectury]

unnecessary

 

[Maj0r]

I'll put later

Can you send it please

 

[greeneyes]

oh, where is 0x22 or TOW

 

[Alonebalone]

Я выкачал и расковырял, распаковал , расшифровал и вытянул из EXE сырой au3 скрипт который работает при запуске (https://xss.pro/threads/72522/post-495672, https://xss.pro/threads/72522/post-495707), только есть незадачка, он обфусцирован, причем достаточно сильно, у тебя есть опыт работы с обфусцированными скриптами au3 ? Там не тупая обфускация заменой имен и переммешиванием функций, а генерация скрипта на лету и запуск по кусочкам через EXECUTE, и куча всякой другой чепухи, в общем не похоже на обычные обфускаторы

У меня есть кинь под хайд или просто я тоже хочу посмотреть

 

[arsarsov]

У меня есть кинь под хайд или просто я тоже хочу посмотреть

Вручную ты его не деобфусцируешь, я уже сравнивал экземпляр с результатами обфускации известными обфускаторами, это не они, тут что-то приватное, либо коммерс который не в паблике, готовых решений для этого нет
Я уже скидывал .exe одному постучавшемуся в лс, он рассказывал что у него есть "чудесный" метод для деобфускации и вообще он ломал прошлые версии этого rat, ну пока молчит, поначалу не верил мне, говорил что расправится с ним быстро, а когда скрипт увидел написал мне сразу что не ожидал такого
Вообще там много генерации кода на лету и запуск его через EXECUTE, так что как по мне единственный способ расковырять, перехватывать эту функцию внутри интерпретатора au3 и смотреть что передается в функу EXECUTE, так же я уверен на 100% что там передается такой же обфусцированный скрипт и он далее сам себя расшифровывает, луковичное шифрование кода, построенное на большом количестве слоев идущих друг за другом, видел такое на js скриптах