• XSS.stack #1 – первый литературный журнал от юзеров форума

[PRIVATE] AresLoader | Private Loader Win 32/64

В этой теме можно использовать автоматический гарант!

Новая сделка
Отслеживать
Пожалуйста, обратите внимание, что пользователь заблокирован
DarkBLUP сказал(а):
Уважаемый Клиент.
Здесь будут описаны достоинства, правила использования приватного лоадера, который вы арендуете.

Название продукта: AresLoader.


Месячная аренда обойдётся в 300$. Никаких скидок не предусмотрено. В стоимость включены: 5 rebuild ( включая первый ), каждый с частичной чисткой стаба ( уникализация сигнатуры бинарника ). Любой последующий rebuild будет стоить 50$, это может занять некоторое время, т.к. данная услуга оказывается исключительно вручную, но долго ждать мы не заставим.
Помимо этого, ручной морфинг кода ( для каждого build он свой ).

После приобретении лицензии админ создаёт пользователя в нашей системе:

Посмотреть вложение 48844
Загружает ваши файлы в панель ( легитный и полезную нагрузку ) и даёт доступ в панель что бы вы могли видеть отстук лоадера:

Посмотреть вложение 48845
Посмотреть вложение 48846


=================================
Принцип работы AresLoader заключается в том, что он выдаёт себя как легитимное ПО ( не обязательная функция ) и следом подгружает полезную нагрузку, которую прячет на диске в любое удобное для вас место. Перед запуском полезной нагрузки, Ares запускает легитный файл.

AresLoader может запрашивать admin права у Пользователя ( пока не разрешит ) от имени cmd.exe и в последствии передать права с cmd.exe на полезную нагрузку.

Ares поддерживает возможность подгрузки зашифрованной полезной нагрузки шифрами AES/RSA ( используем только свой шифратор во избежания проблем с расшифровкой ) ( beta )

Для уточнения конкретики, связанной с работой и функционала лоадера — свяжитесь с командой, мы готовы ответить на любой вопрос. Т.к. билдер идёт в виде конструктора, они могут возникнуть.

Так же, в связи с тем, что лоадер будет совершенствоваться, будут вводиться различные обновления они могут быть как платными, так и бесплатными. В любом случае мы Вас оповестим о грядущих нововведениях, объясним что и где будет обновлено/модернизировано.

=================================

ДЕТЕКТЫ АВ:
Kleen Scan - https://www.kleenscan.com/scan_resu...f1f8304a0d29aedd2590b0bb064fa7d54f07dad3da9e5 ( 0 / 40 )
Avcheck - https://avcheck.net/id/WCpgNUoc0iL6 ( 0 / 26 )

Предусмотрены правила использования. К попытке изменения или их нарушения относимся критично, вплоть до блокировки пользователя.

1. Перепродажа лицензии ЗАПРЕЩЕНА.
2. Мы не несём ответственность за любые потери арендатора.
4. Запрещено выкладывать бинарный файл лоадера в общий доступ.
5. Запрещено заливать лоадер на Virus Total.

СВОБОДНЫХ МЕСТ: 7 из 10.
ВСЕ СДЕЛКИ ПРОВОДИМ ЧЕРЕЗ ГАРАНТА ФОРУМА.

Со своей стороны команда Разработчиков готова обеспечить комфортное использование нашего продукта. В скором времени будут доработаны обновления и прочие дополнения функционала для улучшения работы, увеличения потенциала использования Нашего AresLoader. При каких-либо вопросах готовы выйти на связь в удобное время и решить возникшие проблемы. Ищем долгосрочное сотрудничество и добросовестных Клиентов.


С Уважением, команда AresLoader

Hello mate, i am interested to buy the monthly subscription if you can tell us the file's final output extension from the Loader
 
Хотелось бы видеть не только статик сканы с Kleen Scan и Avcheck, но и рантайм сканы например на checkzilla.
Софт будет запускаться, а не просто лежать на диске, нужно видеть как него реагируют в динамике. Я пишу это потому что в скантайме может быть 0 детектов, а в рантайме и 5 и 7 и даже больше. Скантайм - не показатель.
 
DoppleKSE сказал(а):
Хотелось бы видеть не только статик сканы с Kleen Scan и Avcheck, но и рантайм сканы например на checkzilla.
Софт будет запускаться, а не просто лежать на диске, нужно видеть как него реагируют в динамике. Я пишу это потому что в скантайме может быть 0 детектов, а в рантайме и 5 и 7 и даже больше. Скантайм - не показатель.
Я знаю что скантайм не показатель, я не просто меняю хэш билда для чистки, я обфусцирую вызовы на которые ругаются АВ и не только, сканы с checkzilla будут, но не этой версии, а 2й которая скоро запустится.
 
DarkBLUP сказал(а):
Я знаю что скантайм не показатель, я не просто меняю хэш билда для чистки, я обфусцирую вызовы на которые ругаются АВ и не только, сканы с checkzilla будут, но не этой версии, а 2й которая скоро запустится.
А в чем проблема, скан $1 стоит, это разве дорого ?

DarkBLUP сказал(а):
я обфусцирую вызовы на которые ругаются АВ
Обфускация вызовов это мера против статичных детектов. В рантайме детект происходит через эмуляцию, перехват функций и анализ поведения, в том числе из ядра дрейвером ав. Так что обфускация вызовов, импорты по хешам, и прочие свистульки не спасают от рантайм детектов.
Поэтому вопрос по поводу рантайм скана на чекзилле остается открытым. Описанное выше это просто слова, нужны реальные сканы, показывающие что софт не выпиливается в рантайме.
Когда я вижу, что в сервисе есть только скантайм чеки, в 99% случаев это значит, что рантайм грязный, и сервис не хочет показывать свои слабые стороны, прикрываясь чистым скантаймом.
Приложи скан с чекзиллы, покажи всем что это не так.
 
DoppleKSE сказал(а):
А в чем проблема, скан $1 стоит, это разве дорого ?


Обфускация вызовов это мера против статичных детектов. В рантайме детект происходит через эмуляцию, перехват функций и анализ поведения, в том числе из ядра дрейвером ав. Так что обфускация вызовов, импорты по хешам, и прочие свистульки не спасают от рантайм детектов.
Поэтому вопрос по поводу рантайм скана на чекзилле остается открытым. Описанное выше это просто слова, нужны реальные сканы, показывающие что софт не выпиливается в рантайме.
Когда я вижу, что в сервисе есть только скантайм чеки, в 99% случаев это значит, что рантайм грязный, и сервис не хочет показывать свои слабые стороны, прикрываясь чистым скантаймом.
Приложи скан с чекзиллы, покажи всем что это не так.
Мне не жалко 1$, просто смысла в этом не много так как на днях запустится не много, зачем делать скан старой версии когда на днях будет новая? Но хорошо, сделаю тебе рантайм скан.
 
DoppleKSE сказал(а):
Бро, это не для меня, только в твоих силах показать, что ты на форум пришел с серьезными намерениями.
Мои намерения вполне нормальные и серьёзные, а вот тебе как мне кажется доебаться не до кого.
P.S. для особо умных никакая checkzilla реальные результаты рантайма тебе не даст.
 
DarkBLUP сказал(а):
Мои намерения вполне нормальные и серьёзные
Пока не видно. Нет рантайм сканов - значит они херовые, и показать стыдно. Это правило, которое известно всем на форуме. Любой уважающий себя сервис всегда прикладывает рантайм сканы, потому что есть что показать, и показать не стыдно.

DarkBLUP сказал(а):
P.S. для особо умных никакая checkzilla реальные результаты рантайма тебе не даст.
Я заметил интересную особенность, когда у человека кончаются аргументы, он начинает цепляться к словам. Чекзилла не единственный сервис который показывает рантайм, используй любой другой.
Смысл в том что бы показать рантайм скан, а не рантайм скан конкретно с чекзиллы.
Да, чекзилла сканит с выключенным интернетом, но все равно показывает правдивый рантайм, считай выключено облако, все остальное в штатном режиме, и сделано это специально, что бы твои семплы не улетели в лабы и не стали детектиться через пару часов после скана. За таких хомячков как ты уже давно подумали, и сделали среду максимально удобной и безопасной, что бы хомячок не навредил сам себе.
В любом случае скан на чекзилле намного показательнее чем статик авчек и ему подобные. Не нравится зилла используй любой другой сканер с рантаймом, их много.
 
Последнее редактирование:
DoppleKSE сказал(а):
А в чем проблема, скан $1 стоит, это разве дорого ?


Обфускация вызовов это мера против статичных детектов. В рантайме детект происходит через эмуляцию, перехват функций и анализ поведения, в том числе из ядра дрейвером ав. Так что обфускация вызовов, импорты по хешам, и прочие свистульки не спасают от рантайм детектов.
Поэтому вопрос по поводу рантайм скана на чекзилле остается открытым. Описанное выше это просто слова, нужны реальные сканы, показывающие что софт не выпиливается в рантайме.
Когда я вижу, что в сервисе есть только скантайм чеки, в 99% случаев это значит, что рантайм грязный, и сервис не хочет показывать свои слабые стороны, прикрываясь чистым скантаймом.
Приложи скан с чекзиллы, покажи всем что это не так.
Ты хотел скан, получай:

Checkzilla

checkzilla.io
 
DoppleKSE сказал(а):
Вот, это же сложно, правда ?
Нет, это не сложно. Ты видел хоть 1 плохой отзыв о софте? Или что то связаное с детектами в динамике?
Да у меня в топике отзывов нет, но клиентов за всё время пользования было около 20, никто расстроенным не остался. Ну и + я бы не доверял полноценно checkzilla и любому другому чекеру динамики, я привык проверять руками на ВМ это куда лучше.
 
DarkBLUP сказал(а):
Нет, это не сложно. Ты видел хоть 1 плохой отзыв о софте? Или что то связаное с детектами в динамике?
Да у меня в топике отзывов нет, но клиентов за всё время пользования было около 20, никто расстроенным не остался. Ну и + я бы не доверял полноценно checkzilla и любому другому чекеру динамики, я привык проверять руками на ВМ это куда лучше.
Бро, я не говорю что твой софт говно, и не делаю подобных утверждений. Сканы с чекзиллы дадут 90-95% пользователей понять из какого теста сделан твой софт. Ручные проверки на своих ВМ - шикарно, только далеко не каждый пользователь будет накатывать себе целый риг ВМ что бы проверять что-то, для этого и существуют такие сервисы как чекзилла (кстати поясника мне чем чекзилла хуже твоих ВМ)
Большинству достаточно будет увидеть хороший скан с чекзиллы, что бы понять что софт нормальный, либо наоборт если скан говно, понять что софт говно. И поверь мне, если на чекзилле будет 10 детектов, на твоих ВМ детектов меньше от этого не станет.
 
DoppleKSE сказал(а):
Бро, я не говорю что твой софт говно, и не делаю подобных утверждений. Сканы с чекзиллы дадут 90-95% пользователей понять из какого теста сделан твой софт. Ручные проверки на своих ВМ - шикарно, только далеко не каждый пользователь будет накатывать себе целый риг ВМ что бы проверять что-то, для этого и существуют такие сервисы как чекзилла (кстати поясника мне чем чекзилла хуже твоих ВМ)
Большинству достаточно будет увидеть хороший скан с чекзиллы, что бы понять что софт нормальный, либо наоборт если скан говно, понять что софт говно. И поверь мне, если на чекзилле будет 10 детектов, на твоих ВМ детектов меньше от этого не станет.
Ну вот по поводу сравнения ВМ и чекзиллы, ты же сам говорил что у них выключено облако.
Ладно, не будем раздувать этот диалог, если не против предлагаю закрыть тему. Ты получил скан, а я пойду дальше работать над софтом.
 
DarkBLUP сказал(а):
Ну вот по поводу сравнения ВМ и чекзиллы, ты же сам говорил что у них выключено облако.
Да, и сделано это что бы семплы не улетали куда не следует. Интернет вырублен напрочь. А галочки "не отправлять образцы" в ав продуктах работают совсем не так как ты думаешь, аверы тоже не дураки, и к файлам просканированным с этой галкой проявляют еще больший интерес.

DarkBLUP сказал(а):
Ты получил скан, а я пойду дальше работать над софтом.
Бро, это не для меня, а для сообщества, я не планировал и не планирую брать софт, потому что у меня есть свой. Были бы динамик сканы раньше, может было бы уже 40 клиентов, а не 20.

DarkBLUP сказал(а):
Ладно, не будем раздувать этот диалог, если не против предлагаю закрыть тему.
Конечно не против, закрываем.
 
admin


Напишите ответ...
Верх