Техническое обсуждение ObserverStealer

[DoppleKSE]

а что аврора? она забанена даже на школьных куках за скам. Редлайн и ракун даже писать ничего не буду. О какой репутации идет речь, так и не понял я. Проясни плиз?

аврора вообще сдохла пару дней назад, и успела скамнуться на 50к$, вот этого я вообще не понимаю, они в месяц делали гораздо больше, надоело поддерживать? ну сомнительно, хотя может влетел в тему более прибыльную. но слушок ходил что повязали их, поэтому и закрылись.
а ракун и видар логи пиздят, ракун уже спалился на этом и бан на всех форумах словил, а видар пока аккуратно это делает, но жалоб много
за редлайн не слышал косяков, но он задрочен сильно, потому что самый популярный был очень долгое время, да и сейчас наверное

 

[DoppleKSE]

Это было моё последнее тебе сообщение в этой ветке

Школьничек, ты пропизделся, получи медальку

Так или иначе ты пишешь обо мне, не важно адресуешь мне или другим, эта ситуация хорошо подпалила твою задницу. Я так же могу написать, что не буду отвечать тебе, при этом буду писать в топике другим людям, упоминая тебя. Какие же школьники тупые.

 

[Quake3]

стилак не запустится не криптованным.

А помнишь, как в Зевсе было, что если криптор не передал 0 на точку входа, бот писал "not crypted"?
Вообще, идея хорошая, сделать такую проверку в стилаке, но боюсь, современные говнокрипторы на электроне не осилят такие технологии.

Уважаемые, подскажите, а зачем кодеры раз за разом делают стиллеры, похожие друг на друга по функционалу?

Так почему нет. Что-то продавать же надо.. банкбота сложнее закодить, локеры запрещены, а это трендовая тема.

Почему никто не додумался выдавать билды стиллера в виде шеллкода (не обернув в базонезависимый PE загрузчик, а изначально разработав сам стилер, как шеллкод)?

Я такое кодил и даже выкладывал РоС для хрома где-то на эксплойте, конечно шк лучше, но в контексте что его можно заинжектить и обойти защиту некоторых АВ на файлы того же хрома (правда, нужно думать о беспалевном инжекте, но это уже другой разговор)

 

[DoppleKSE]

его можно заинжектить и обойти защиту некоторых АВ на файлы того же хрома (правда, нужно думать о беспалевном инжекте, но это уже другой разговор)

А еще надо думать о защите хрома от инжектов, у него там перехват стоит на RtlCreateUserThread, или чем-то похожем, не помню точно, плюс мониторится наличие этого хука, что бы его не сняли просто так. Короче надо суспендить все потоки, снимать хук, делать инжект, после чего обратно восстанавливать хук как было и размораживать потоки. И еще он (вроде бы если не путаю с чем-то другим) перечисляет все рабочие страницы процесса, если находит какую-то страницу с правами EXECUTABLE, которая не находится в пределах модулей самого хрома, то бьет тревогу. Это тоже обходится созданием фейковой записи в PEB с дубликатом хромовской dll, где в ее "кодовой секции" располагается наш шеллкод.

 

[x64boy]

А еще надо думать о защите хрома от инжектов, у него там перехват стоит на RtlCreateUserThread, или чем-то похожем, не помню точно, плюс мониторится наличие этого хука, что бы его не сняли просто так. Короче надо суспендить все потоки, снимать хук, делать инжект, после чего обратно восстанавливать хук как было и размораживать потоки. И еще он (вроде бы если не путаю с чем-то другим) перечисляет все рабочие страницы процесса, если находит какую-то страницу с правами EXECUTABLE, которая не находится в пределах модулей самого хрома, то бьет тревогу. Это тоже обходится созданием фейковой записи в PEB с дубликатом хромовской dll, где в ее "кодовой секции" располагается наш шеллкод.

Защиты от инжектов там нет (по крайней мере в последней версии точно), рендерер процессы под митигациями. В основной и сетевой процесс вообще можно инжектить без гемора, даже через CreateRemoteThread(LoadLibrary()). Eдинственное, что я заметил там из защиты, хром выборочно проверяет целостность апишек, целостность внутренних функций не проверяется
Ты скорее всего путаешь хром с лисой

 

[DoppleKSE]

Защиты от инжектов там нет (по крайней мере в последней версии точно), рендерер процессы под митигациями. В основной и сетевой процесс вообще можно инжектить без гемора, даже через CreateRemoteThread(LoadLibrary()). Eдинственное, что я заметил там из защиты, хром выборочно проверяет целостность апишек, целостность внутренних функций не проверяется
Ты скорее всего путаешь хром с лисой

Да, возможно путаю, помню была защита в каком-то из браузеров, дела с ними давно имел. Но где-то было подобное.

 

[WhiteSnake]

Ну у нас на сервере хранятся все хеши голых билдов, если файл закриптованный (не дропер), то логично что хеш не будет совпадать.

А если сервер ляжет то что?
А ещё можно в конец бинарника билда вписать пару нулей и хеш другой будет.
А ещё на запрос к твоему серверу ав может динамику повесить

 

[celty]

А если сервер ляжет то что?
А ещё можно в конец бинарника билда вписать пару нулей и хеш другой будет.
А ещё на запрос к твоему серверу ав может динамику повесить

У тебя кстати сервер лег куда твой клиент загружает файлы

 

[WhiteSnake]

У тебя кстати сервер лег куда твой клиент загружает файлы
Посмотреть вложение 56847

там бекап хосты есть

 

[celty]

там бекап хосты есть

Другие файло обменики?)

 

[WhiteSnake]

Другие файло обменики?)

Кнш, у меня всё автоматизировано, transfersh имеет открытый код, а всё нужные сервера я через шодан получаю.

 

[DoppleKSE]

О начались бои стиллеров, я за попкорном

 

[WhiteSnake]

О начались бои стиллеров, я за попкорном

битва говна против мочи

 

[DoppleKSE]

Вы главное не останавливайтесь, я же не зря попкорн приготовил

 

[celty]

О начались бои стиллеров, я за попкорном

 

[DoppleKSE]

Ну, где шоу ? Слишком долгое вступление, я уже полпачки попкорна съел

 

[celty]

Ну, где шоу ? Слишком долгое вступление, я уже полпачки попкорна съел

Я не намерен спорить

 

[WhiteSnake]

Ну, где шоу ? Слишком долгое вступление, я уже полпачки попкорна съел

 

[DoppleKSE]

Я не намерен спорить

А зачем спорить, я ждал техническое обсуждение, аргументированные вопросы и ответы с обоих сторон, все как полагается

 

[celty]

фаны жижи сразу видно, бумеры и леймы не поймут