Техническое обсуждение ObserverStealer

[DoppleKSE]

===================================
Коммерческая тема - https://xss.pro/threads/88000/
Это около техническое обсуждение
===================================

На момент создания темы стиллер работает на системах семейства Windows от Window 8.1 по Windows 11

Почему поддержка только свежих версий винды ? Очень много компов крутится на 7 и даже на XP.

в будущем будет все это переписываться

Почему бы сразу не писать с учетом поддержки всех версий, что бы потом не переписывать? Не хочу наговаривать на автора, но складывается впечатление, что были взяты за основу готовые паблик сорцы, которые работают с 8 по 11 винду и пока не было времени зафиксить этот момент. Иначе я не могу найти обьяснения тому, что сначала софт пишется исключительно под 8-11, но потом будет допиливаться под остальные версии. Я вообще не понимаю что можно такого засунуть в стиллер, что бы он не работал на всей линейке. Достаточно собрать проект с поддержкой build tools xp, использовать стандартные апишки и статично слинковать crt, что бы не было зависимости от версий vc++. Если софт пишется с нуля самостоятельно, эти правила можно соблюдать в разработке с самого начала, что бы потом ничего не переделывать.

 

[celty]

Почему поддержка только свежих версий винды ? Очень много компов крутится на 7 и даже на XP.


Почему бы сразу не писать с учетом поддержки всех версий, что бы потом не переписывать? Не хочу наговаривать на автора, но складывается впечатление, что были взяты за основу готовые паблик сорцы, которые работают с 8 по 11 винду и пока не было времени зафиксить этот момент. Иначе я не могу найти обьяснения тому, что сначала софт пишется исключительно под 8-11, но потом будет допиливаться под остальные версии. Я вообще не понимаю что можно такого засунуть в стиллер, что бы он не работал на всей линейке. Достаточно собрать проект с поддержкой build tools xp, использовать стандартные апишки и статично слинковать crt, что бы не было зависимости от версий vc++. Если софт пишется с нуля самостоятельно, эти правила можно соблюдать в разработке с самого начала, что бы потом ничего не переделывать.

Стиллер писался с нуля без каких либо паблик сурсов

 

[mkdiretc]

Let us know if Outlook/Thunderbird app Credentials are recovered . If yes, what versions of Outlook ?

 

[DoppleKSE]

https://avcheck.net/id/7BFZkF4xVhl2 - полный фуд, считаю это самым главным достоинства этого стиллера.

Меня всегда очень забавляют статик сканы. Очень забавляют. Привожу реальный кейс. Пересобирал старые сорцы одного софта, но собирал под морфером. Статик чек FUD благодаря морфингу, но в рантайме его выносят после запуска 15 антивирусов, потому что если рантайм грязный, и поведение палится, то софт уже ничего не спасет, кроме как переписывать его логику.
Статик сканы это норма для лолза, там школьники глаза замазывают мнимым фудом, другие школьники софт покупают и радуются, а на практике софт выпиливается после запуска большинством ав.
Сейчас главным показателем является рантайм скан, никто не будет проливать софт, что бы просто оставить файл на диске, его будут запускать, поэтому статик фуд вообще не показатель, главное что будет после запуска в динамике.
Не хочу давать плохие прогнозы, но проект только стартовал, скорее всего ни один билд еще не попал в базы, поэтому первым 5-10 клиентам может быть и повезет политься хорошо с максимальным профитом, а потом будет стандартная ситуация для паблик софта, куча клиентов, куча детектов, кодер не успевает ничего чистить. И там фудом уже не будет пахнуть, даже в статике. Так что, как говорится, налетай, пока не завонялось.

ps автору софта советую приложить к теме динамик скан, например на чекзилле или подобных сервисах, если там все чисто, и показать не стыдно, это только + в репу проекту будет.

 

[celty]

Меня всегда очень забавляют статик сканы. Очень забавляют. Привожу реальный кейс. Пересобирал старые сорцы одного софта, но собирал под морфером. Статик чек FUD благодаря морфингу, но в рантайме его выносят после запуска 15 антивирусов, потому что если рантайм грязный, и поведение палится, то софт уже ничего не спасет, кроме как переписывать его логику.
Статик сканы это норма для лолза, там школьники глаза замазывают мнимым фудом, другие школьники софт покупают и радуются, а на практике софт выпиливается после запуска большинством ав.
Сейчас главным показателем является рантайм скан, никто не будет проливать софт, что бы просто оставить файл на диске, его будут запускать, поэтому статик фуд вообще не показатель, главное что будет после запуска в динамике.
Не хочу давать плохие прогнозы, но проект только стартовал, скорее всего ни один билд еще не попал в базы, поэтому первым 5-10 клиентам может быть и повезет политься хорошо с максимальным профитом, а потом будет стандартная ситуация для паблик софта, куча клиентов, куча детектов, кодер не успевает ничего чистить. И там фудом уже не будет пахнуть, даже в статике. Так что, как говорится, налетай, пока не завонялось.

ps автору софта советую приложить к теме динамик скан, например на чекзилле или подобных сервисах, если там все чисто, и показать не стыдно, это только + в репу проекту будет.

ну на :/
только какой смысл чекать на сканере без интернета

Checkzilla

checkzilla.io

 

[DoppleKSE]

только какой смысл чекать на сканере без интернета

или подобных сервисах

Есть множество других сервисов, где есть скан с интернетом. Так же можно настроить собственные ноды для скана и безопасно сканировать с включенным облаком

 

[DoppleKSE]

ну на :/
только какой смысл чекать на сканере без интернета

Checkzilla

checkzilla.io

И да, на всякий случай, мало ли используешь паблик ollvm, отключай bcf и sub, будет меньше котов Борисов, слишком часто я их вижу в последнее время, почти в каждом стиллере на этом форуме

 

[user]

ну на :/
только какой смысл чекать на сканере без интернета

Checkzilla

checkzilla.io

доступ к сети будет зоопарк пополниться

 

[Ufosky]

Меня всегда очень забавляют статик сканы. Очень забавляют. Привожу реальный кейс. Пересобирал старые сорцы одного софта, но собирал под морфером. Статик чек FUD благодаря морфингу, но в рантайме его выносят после запуска 15 антивирусов, потому что если рантайм грязный, и поведение палится, то софт уже ничего не спасет, кроме как переписывать его логику.
Статик сканы это норма для лолза, там школьники глаза замазывают мнимым фудом, другие школьники софт покупают и радуются, а на практике софт выпиливается после запуска большинством ав.
Сейчас главным показателем является рантайм скан, никто не будет проливать софт, что бы просто оставить файл на диске, его будут запускать, поэтому статик фуд вообще не показатель, главное что будет после запуска в динамике.
Не хочу давать плохие прогнозы, но проект только стартовал, скорее всего ни один билд еще не попал в базы, поэтому первым 5-10 клиентам может быть и повезет политься хорошо с максимальным профитом, а потом будет стандартная ситуация для паблик софта, куча клиентов, куча детектов, кодер не успевает ничего чистить. И там фудом уже не будет пахнуть, даже в статике. Так что, как говорится, налетай, пока не завонялось.

ps автору софта советую приложить к теме динамик скан, например на чекзилле или подобных сервисах, если там все чисто, и показать не стыдно, это только + в репу проекту будет.

https://checkzilla.io/scan/0305aa42-d58f-4334-bbed-de38614a7e69

 

[DoppleKSE]

https://checkzilla.io/scan/0305aa42-d58f-4334-bbed-de38614a7e69

Очень интересно, кто пиздит ?

ну на :/
только какой смысл чекать на сканере без интернета

Checkzilla

checkzilla.io

Я предполагаю, что автору продукта пи3деть смысла нет, поэтому пи3дишь ты, Ufosky. Обьясни ка мне почему сканы разные ? Дай угадаю, сейчас будет ответ - "я его закриптовал". Ну так можно в крипторе бахнуть умную задержку, и времени скана чекзиллы не хатит, что бы появился детект. Это тоже не показатель. Сотни раз ставил эксперименты, даже антиэмуляторы не спасают, если детект идет по поведению, или сигнатурно в памяти. Но зато можно в начале кода криптора поставить вычислений секунд так на 30-40 и чекзилла покажет фуд. А автор выше скинул более правдивый скан, это стандартное количество детектов для подобного софта, и скорее всего он сканил чистый билд без крипта.

 

[celty]

Очень интересно, кто пиздит ?


Я предполагаю, что автору продукта пи3деть смысла нет, поэтому пи3дишь ты, Ufosky. Обьясни ка мне почему сканы разные ? Дай угадаю, сейчас будет ответ - "я его закриптовал". Ну так можно в крипторе бахнуть умную задержку, и времени скана чекзиллы не хатит, что бы появился детект. Это тоже не показатель. Сотни раз ставил эксперименты, даже антиэмуляторы не спасают, если детект идет по поведению, или сигнатурно в памяти. Но зато можно в начале кода криптора поставить вычислений секунд так на 30-40 и чекзилла покажет фуд. А автор выше скинул более правдивый скан, это стандартное количество детектов для подобного софта, и скорее всего он сканил чистый билд без крипта.

Может в лс хотя бы перейдете сраться? Я понимаю что тут еще свободно куча страниц

 

[DoppleKSE]

Может в лс хотя бы перейдете сраться? Я понимаю что тут еще свободно куча страниц

Тебе ж лучше, тему апаем постоянно, реклама бесплатная, радуйся

 

[Ufosky]

Очень интересно, кто пиздит ?


Я предполагаю, что автору продукта пи3деть смысла нет, поэтому пи3дишь ты, Ufosky. Обьясни ка мне почему сканы разные ? Дай угадаю, сейчас будет ответ - "я его закриптовал". Ну так можно в крипторе бахнуть умную задержку, и времени скана чекзиллы не хатит, что бы появился детект. Это тоже не показатель. Сотни раз ставил эксперименты, даже антиэмуляторы не спасают, если детект идет по поведению, или сигнатурно в памяти. Но зато можно в начале кода криптора поставить вычислений секунд так на 30-40 и чекзилла покажет фуд. А автор выше скинул более правдивый скан, это стандартное количество детектов для подобного софта, и скорее всего он сканил чистый билд без крипта.

Есть такие люди, к которым просто хочется подойти и поинтересоваться, сложно ли без мозгов жить. Удачи тебе по жизни.

 

[waahoo]

DoppleKSE ава огонь, не она бы, то не замечал бы твоей гиперактивности.

 

[waahoo]

Да и он все равно не будет запускаться без крипта.

Это как? Пояснительную бригаду можно?

 

[celty]

Это как? Пояснительную бригаду можно?

Сверяется при запуске хеш билда с исполняемым файлом

 

[waahoo]

Сверяется при запуске хеш билда с исполняемым файлом

При запуске файл считает контрольную сумму от самого себя?

 

[celty]

При запуске файл считает контрольную сумму от самого себя?

Ну у нас на сервере хранятся все хеши голых билдов, если файл закриптованный (не дропер), то логично что хеш не будет совпадать.

 

[waahoo]

Ну у нас на сервере хранятся все хеши голых билдов, если файл закриптованный (не дропер), то логично что хеш не будет совпадать.

Логично, но какое это имеет отношение к запуску? Вы сказали, что стилак не запустится не криптованным. Т.е. бинарь всеже запустится, стукнет на сервер со своим хешем, а тот уже скажет можно работать или нет. Так чтоли?

 

[DoppleKSE]

Есть такие люди, к которым просто хочется подойти и поинтересоваться, сложно ли без мозгов жить. Удачи тебе по жизни.

Ооо, этого я и ждал, ну что ж начнем образование тупого быдла, которое открывает свой рот, не удосужившись изучить матчасть.

Начнем. Как происходит детект.
Первым делом, когда файл попадает на машину, происходит синатурный анализ - статика. Банальный поиск последовательностей байт.
После этого вступает а работу статичный эмулятор кода, даже если файл не запускается пользователем, его точка входа эмулируется в виртуальной среде АВ на некоторое число шагов, что бы вычислить типичные для пакеров/крипторов действия, это больше похоже на обычный рекурсивный дизасм с беглым анализом функций. Но это очень слабый механизм, который обходится почти всеми крипторами через морфинг, обфускацию и замусоривание логики кода на точке входа.
Если эти этапы удалось обойти, то статичные сканеры покажут FUD на этом этапе, и если файл не запускать, то он может лежать рядом с антивирусом вечность.
Идем дальше. Пользователь запускает файл. На этом этапе начинает работать динамичный анализатор кода - эмулятор. Некоторые АВ полноценно эмулируют код с точки входа (похоже на статик эмулятор, только продвинутый), другие же "эмулируют" через инжект своей .dll в память, которая перехватывает исполнение еще в ntdll до передачи управления на точку входа и производит трассировку через установку TF флага или любые другие способы пошаговой трассировки. Здесь АВ уже в динамике отслеживает состояния всех регистров, рассматривает циклы, расшифровку всяких буферов (типично для крипторов да ?). Любой криптор рано или поздно расшифровывает тело билда в память, и если эмулятор дойдет до этого этапа, то он сдетектит билд в памяти. Это обходят различного рода эмуляторами, но я так скажу большинство паблик крипторов не парятся и просто херачат тяжелые вычисления на точку входа, что бы эмулятор застрял в них и не дошел до расшифровки билда в память. Спойлер - очень многие эмуляторы уже научились обходить эти вычисления, через динамический анализ циклов и выставления бряков после них, дают коду исполниться процессором без пошагового исполнения.
Если все таки удалось обдурить эмулятор или же он просто не дошел до расшифровки полезной нагрузки, то эмулятор отпустит управление кода и даст ему исполняться уже без пристального внимания.
На этом этапе уже идет анализ через хуки апи функций, отслеживаются подозрительные последовательности и параметры вызовов. Тут не спасет никакой криптор с самым мощным антиэмулем, если софт палится на вызовах апишек, он спалится в динамике 100%. В дополнение к этому работает периодический скан памяти, получаются наборы всех страниц на которых есть права EXECUTABLE и по ним ведется сверка сигнатур. Любой криптор в результате работы расшифровывает билд, и в конечном итоге он в открытом виде находится в памяти. Если билд палится статично до крипта, то он спалится в рантайме даже после крипта через динамик скан памяти.

Теперь вопрос тебе, зачем ты мне скинул криптованный билд, на котором 1 детект, если выше автор кинул скан без крипта где 6 детектов, 3 из которых рантайм ?
FUD будет фудом ровно до момента запуска, а потом спалится на динамик эмуляции, на перехватах функций и на динамик скане памяти.
А еще мы не затрагиваем ML детекты и облачный анализ, там все еще веселее.
Твой этот скан проканал бы на лолзе, а тут тебе зачехлят так, что вытягивать устанешь.

сложно ли без мозгов жить

подойди к зеркалу, внимательно посмотри на долба3ба которого видишь, и задай ему этот вопрос