Блек Emelia 280$

[Jackal]

ник Emelia /members/306831/
тема /threads/87487/
суть претензии
договорились о покупке файла lnk сошлись на 280$
Emelia уверал фаил фуд может только ругатся каспер

[10:35:19] LNK/URL: lnk по скану FUD, на рантайме возможен детект каспера, зависимость работы через powershell, нет окон нету

[20:45:39] Jackal: WD на архив ругается(
[20:45:50] Jackal: при загрузке
это первый тест, скрин ниже

не вываливаю всю писанину пока что сюда, Админу в пм скину
но Дефендер фил детектил сразу, о чём было сказанно Emelia
после добрый парень предложил отключить облако в WD (чего сразу не полностью хз)
но проблема в том, что по дефолту оно включенно!

Вобщем решается вопрос 2 способами!
1) ты Emelia выдаёш реально фуд
2) или мани бек, без вариантов

ПС писать что я как-то задетектил фал это беспалезно я его сразу запустил на чистой тачке с включенным дефом без отправки файл
и что это за фаил за 300$ на 1 лод?

Ответчик уведомлён!
Но чуйка, что это статус)

Выдача на чистой системе с включенным вд по времени на скрине и времени в переписке всё очевидно!

 

[Emelia]

Скинь логи админу полные
Первое ты реверсил сам lnk что после твоих манипуляция он и начал детектить
Второе ты лил траф возможно его слили при тестах которые мы делали все было чисто с моим файлом но не с твоим
Откуда ты взял отключить облако? Я тебе говорил при тестах отключить отправку хотя ты и этого не сделал что возможно ты и спалил сам все ну или опять начал изменять мой файл на свой
Так что полностью тебе отказано в Манибек и выдачи замены

 

[Jackal]

да не был он чистый при тестах очём я тебе писал и скидывал скрины!
переписку скину
что значит реверсил ? сделай видео где он у тебя чистый ! вопрос симется сразу, со включенным облаком
мож мне в архив ещё текстовик ложить с описанием как отключить деф?

[в ожидании] : 2023-05-14

[10:35:19] LNK/URL: lnk по скану FUD, на рантайме возможен детект каспера, зависимость работы через powershell, нет окон нету
[10:36:30] Jackal: какая стоимость? за lnk с иконкой pdf? это нужна ссылка на ехе?

[10:42:13] LNK/URL: Ну нужна выдача закрытая, сейчас после первой скачки гугл и деф боты качают за тобой и реверсят отсюда и быстрый детект это со всеми файлами если им не известен хеш, наше решение стоит 500$ ставим клоаку и настраиваем и закрываем выдачу от ботов, под такой системой файл живет долго, например у меня сейчас выдается обновления браузера на трафик js формат так уже неделю чистый
[10:43:13] Jackal: это понятно выдача тоже на ленде закрытая
[
[11:02:05] LNK/URL: Но сразу говорю если нет решения на закрытую выдачу то файл запалит через пару часов а то и быстрее, простая клоака не спасет от этого
[11:04:02] Jackal: уменя выдача на сарвере, РНР упаковывает в zip rar можно даже с рандом паролем
[11:04:16] Jackal: или мы за разные вещи?
[11:04:36] LNK/URL: а если под паролем тогда тебе не нужно наше решение
[11:05:15] Jackal: без пароля не спасает я так понял архив
[11:05:29] Jackal: плюс лендинги прокаченные
[11:05:55] Jackal: домены сами
[11:05:59] LNK/URL: если юзать нашу выдачу то без пароля выдаем, также на прямую дропперы js/vbs
[11:06:44] LNK/URL: домены/сервера и все остально не спасут от ботов, как и сказал если им не известен хеш они сразу качают и реверсят
[11:07:21] Jackal: услышал, ты сутра со скольки в сети?
[11:07:34] LNK/URL: по разному когда как
[11:08:16] Jackal: ок, завтра отпишу, думаю возьму попробуем в архиве спаролем
[[19:25:30] LNK/URL: ок мин 15 и начну делать
[19:25:41] Jackal: потом нужно будит на ехе назад переименовывать?
[19:26:08] LNK/URL: нет зачем? так просто боты если даже будут качать не запустят и крипт дольше проживет
[19:26:40] LNK/URL: когда lnk будет качать он сам потом сделает на ехе

[19:56:11] Jackal: выдачу можно зип? или рар оставить?
[19:56:25] LNK/URL: лучше рар
[19:56:30] Jackal: +
[19:57:29] Jackal: есть файлы положил можно тестировать?
[19:57:43] LNK/URL: конечно сек
[19:57:58] Jackal: lnk не засунул


[19:58:41] Jackal: его можнож переименовывать?
[19:59:04] LNK/URL: сам lnk да остальное нет
[19:59:07] Jackal: ужты стата))
[19:59:16] Jackal: это понял
[19:59:49] Jackal: пароль тотже?
[1
[20:13:54] Jackal: в твоей стате отстучал

[20:45:39] Jackal: WD бро на архив ругаеться(
[20:45:50] Jackal: при загрузке
[20:47:05] LNK/URL: Дай линк проверю у себя все

[20:48:33] Jackal: могу попробывать на второй поставить где рар с архивом но будит всеравно детект мне кажется
[20:48:54] Jackal: с паролем*
[20:49:41] LNK/URL: да нет с паролем не будет
[20:50:26] Jackal: сек lnk залью проверим
[20:52:07] Jackal: Archive: /home/mwphlnlu/public_html/common/8.zip
inflating: file.lnk
[20:52:14] Jackal: немогу выгрузить)
[20:52:44] LNK/URL: Бро это не мой lnk )
[20:53:02] LNK/URL: мой весит 54 кб
[20:53:08] LNK/URL: этот чейто другой

[20:53:41] LNK/URL: да
[20:54:11] Jackal: минутку
[20:54:23] LNK/URL: его нельзя изменять и сохранять )
[20:54:47] LNK/URL: если ты его модифицируешь он сразу все теряет
[20:55:22] Jackal: на сервак как его залит
[20:55:32] Jackal: я его в архиве закидывал

[20:56:39] LNK/URL: открой в рар там поменяй например на txt потом залей на хост и опять поменяй на lnk
[20:56:57] Jackal: +
[20:57:08] Jackal: пробую мой косяк
[20:59:40] Jackal: с твоего архива яже могу его выгрузить на тачку переименовать и дельше на хост?
[21:02:53] LNK/URL: ну да
[21:03:22] LNK/URL: только не меняй ничего и не сохраняй по новой
[21:04:17] LNK/URL: Применить не нажимай )
[
[21:08:17] Jackal: а дефф ругаеться(
[21:08:35] Jackal: глянь пожелуста мож опять я что то накосячил)
[21:11:17] LNK/URL: я незнаю скачивается файл 1 бк
[21:11:23] LNK/URL: кб*
[21:11:30] Jackal: чёто я не то делаю
[21:12:09] LNK/URL: нужно чтобы скачивался мой файл без модификации 54кб
[21:13:43] Jackal: вроде теперь именно он
[21:14:08] Jackal: имя там меняет и добовляет
[21:14:29] LNK/URL: ну сейчас вижу что да и что деф ругается?
[21:14:51] Jackal: гляну на рабочей тачеке отрублен
[21:16:40] Jackal: ругаеться
[21:16:41] LNK/URL: Вот сейчас норм я проверил
[21:17:25] LNK/URL: Только что скачал все норм было
[21:17:45] LNK/URL: сек еще раз проверю отключи деф и посмотри какой размер качает у тебя
[21:19:11] LNK/URL: Все чисто сейчас, у тебя наверно старый файл качает
[21:19:27] Jackal: 55229
[21:19:33] Jackal: размер
[21:21:25] LNK/URL: Да он, ну я проверил 2 раза у себя сейчас качает этот файл и деф молчит
[21:22:02] Jackal: бро на рабочей включил вроде тоже норм
[21:22:07] Jackal: облако в офф
[21:22:15] Jackal: все включено
[21:23:14] LNK/URL: ок
[21:23:18] LNK/URL: все норм?
[21:23:33] Jackal: да щяс сдедыка чистого гляну )
[21:30:09] Jackal: нечего не понимаю)))
[21:30:36] Jackal: долбаный рдп у меня на тачке молчит

[21:31:14] LNK/URL: Та моблоко ты отключил?
[21:31:18] LNK/URL: облако*
[21:31:39] Jackal: на рдп?
[21:31:44] LNK/URL: да
[21:31:56] Jackal: дазакрыл

но при фул включенном WD он всеравно детектил при загрузке!
точто я на утро пускал траф не , о чём не говорит!
детект был при покупке!

[21:32:08] LNK/URL: сейчас у себя еще тест сделаю
[21:33:38] Jackal: с рдп хз
[21:33:50] Jackal: всё включенно и норм
[21:33:57] Jackal: провер насвоей
[21:34:11] Jackal: пожалуйста
[21:34:39] Jackal: и молчит)
[21:36:11] LNK/URL: у меня все чисто качал раз 5
[21:36:32] Jackal: у меня тоже
[21:36:40] Jackal: с рдп какойто подёб
[21:37:15] Jackal: в исключениях нечего нету вд фул даже облако включил
[21:39:28] Jackal: бро а в 10 под рар архиватора нету?
[21:39:38] Jackal: или есть 7зип не вкурсе
[21:39:58] LNK/URL: не вроде нету
[21:40:36] Jackal: а зип лучше нестоит ?
[21:40:48] LNK/URL: не лучше в рар
[21:41:09] Jackal: как бы вкурсе но лучше уточнить
[21:41:27] Jackal: edge скачал всё четко
[21:41:39] LNK/URL: ок
[21:42:19] Jackal: вывалил фаил запустил
[21:42:25] Jackal: )
[21:42:37] Jackal: некто матом не арёт=)
[21:43:16] Jackal: Братка удоли с статы плиз и ещё раз спасибо
[21:43:29] LNK/URL: а траф ты откуда пускаешь ?
[21:43:31] LNK/URL: ок
[21:43:41] Jackal: с гугла
[21:44:46] LNK/URL: а траф ты откуда пускаешь ?
[21:44:46] LNK/URL: ок
[21:45:10] LNK/URL: ты с логов или с акков покупных?
[21:45:42] Jackal: трафер в каманде
[21:46:00] LNK/URL: а ок
[21:46:09] Jackal: с логов точно а дальше невникал
[21:46:16] LNK/URL: ок
[22:27:56] Jackal: Бро а проверять самый лучший вариант на реал машине наверное? начал деф детектить или нет
[22:29:33] LNK/URL: Не можно и на вирт машине но проверять нужно не просто закинуть на вирт машину а скачивать тогда идет запрос хеша и если он уже детектит то тоже покажет

[в ожидании] : 2023-05-15

[20:40:07] Jackal: приветик бро тут?
[20:40:57] Jackal: начали грузит отстука 0
[20:41:09] Jackal: а фаил всётаки с детектом бро(
[в ожидании] : 2023-05-16
[09:42:19] LNK/URL: Нет все чистое и все проверялось, смотри в сторону своего файла криптованого и да после отзыва в топе сюда можешь больше не писать

крипт тут причём? он ругается при загрузке файла!
Условия я написал ребилд или мани бек!
жду решения Арбитра

 

[Lusi]

На будущее [.lnk], добавлен уже как месяца 4 в перманентное обнаружения дефа и модуль видит файл .lnk в архиве кричит) крипт тут не причем, [.lnk] умер.

Скинь логи админу полные
Первое ты реверсил сам lnk что после твоих манипуляция он и начал детектить
Второе ты лил траф возможно его слили при тестах которые мы делали все было чисто с моим файлом но не с твоим
Откуда ты взял отключить облако? Я тебе говорил при тестах отключить отправку хотя ты и этого не сделал что возможно ты и спалил сам все ну или опять начал изменять мой файл на свой
Так что полностью тебе отказано в Манибек и выдачи замены

"Отключить отправку" - хохочу с этого, только на тестах он покажет фуд а в работе у 99% включена отправка))) и после 3 скачиваний он улетит по HASH на детект

 

[Jackal]

"Отключить отправку" - хохочу с этого, только на тестах он покажет фуд а в работе у 99% включена отправка))) и после 3 скачиваний он улетит по HASH на детект

Так вот и я об этом! что он говорит отключи, отключил , да всё ок, на на чистом рдп , детектит где всё включенно кроме отправки файла, думаю тут не суть

 

[kosok11]

На будущее [.lnk], добавлен уже как месяца 4 в перманентное обнаружения дефа и модуль видит файл .lnk в архиве кричит) крипт тут не причем, [.lnk] умер.

Это не совсем так. lnk все еще можно отдавать без перманентного детекта. Но детекты на него прилетают довольно быстро, даже не знаю есть ли какой-то смысл сидеть и собирать каждый день по 3-5 свежих ярлыков.

"Отключить отправку" - хохочу с этого, только на тестах он покажет фуд а в работе у 99% включена отправка)))

В отключении "автоматической отправки образцов" нет ничего такого, это просто чтобы не засрать файл раньше времени. Главное чтобы "облачная защита" оставалась включенной.

ставим клоаку и настраиваем и закрываем выдачу от ботов

первой скачки гугл и деф боты качают за тобой

Такой клоакинг действительно продлевает жизнь файлу. Но у хрома, кроме ботов, которые скачивают файл по тому же линку, что и юзер, есть еще новая (месяца 3 ей) фишка - требовать от юзера нажать кнопку "отправить файл не проверку".
Реализована она так, что среднестатистический юзер отправит файл с вероятностью 100%, т.к. хром не дает другого выбора, отменить отправку можно только через вкладку "скачанные файлы". При таком нажатии, файл улетает прямо с компа юзера, а не по ссылке.
Для этого реализован отдельный модуль, который лежит по пути: %userprofile%\AppData\Local\Google\Software Reporter Tool

 

[Lusi]

>
В боевой среде нет отключенного "автоматической отправки образцов" и тестить нужно с включенным, это сугубо мое мнения, человек продает чистый файл fud для использования в условиях а не для тестов с выключенным отправкой образа. И образ отправляет только при обнаружении аномалии

Это не совсем так. lnk все еще можно отдавать без перманентного детекта. Но детекты на него прилетают довольно быстро, даже не знаю есть ли какой-то смысл сидеть и собирать каждый день по 3-5 свежих ярлыков.


В отключении "автоматической отправки образцов" нет ничего такого, это просто чтобы не засрать файл раньше времени. Главное чтобы "облачная защита" оставалась включенной.



Такой клоакинг действительно продлевает жизнь файлу. Но у хрома, кроме ботов, которые скачивают файл по тому же линку, что и юзер, есть еще новая (месяца 3 ей) фишка - требовать от юзера нажать кнопку "отправить файл не проверку".
Реализована она так, что среднестатистический юзер отправит файл с вероятностью 100%, т.к. хром не дает другого выбора, отменить отправку можно только через вкладку "скачанные файлы". При таком нажатии, файл улетает прямо с компа юзера, а не по ссылке.
Для этого реализован отдельный модуль, который лежит по пути: %userprofile%\AppData\Local\Google\Software Reporter Tool

 

[kosok11]

>
В боевой среде нет отключенного "автоматической отправки образцов" и тестить нужно с включенным, это сугубо мое мнения, человек продает чистый файл fud для использования в условиях а не для тестов с выключенным отправкой образа. И образ отправляет только при обнаружении аномалии

В бою нет, все верно. Но на тестах смысла в этой настройке нет, она отвечат только за скоростью появления детекта, но не за его наличие или отстутствие на текущий момент. Главное, чтобы не была отключена настройка "Облачная проверка" - вот она имеет значение для определения текущего состояния детекта.
Если хочется самому себе поднасрать и отправить файл реверсерам мелкософта еще до начала пролива, чтобы файл пожил не 5 суток, а 3 - тогда ее нужно оставлять включенной.

 

[Jackal]

В бою нет, все верно. Но на тестах смысла в этой настройке нет, она отвечат только за скоростью появления детекта, но не за его наличие или отстутствие на текущий момент. Главное, чтобы не была отключена настройка "Облачная проверка" - вот она имеет значение для определения текущего состояния детекта.
Если хочется самому себе поднасрать и отправить файл реверсерам мелкософта еще до начала пролива, чтобы файл пожил не 5 суток, а 3 - тогда ее нужно оставлять включенной.

тут в этом и смысл что мы с ним говорили не за отправку файла , а за облако.

[21:31:14] LNK/URL: Та моблоко ты отключил?
[21:31:18] LNK/URL: облако*

 

[kosok11]

тут в этом и смысл что мы с ним говорили не за отправку файла , а за облако.

У вас такая каша в переписке, что толком не понял о чем все-таки речь, про облачную проверку или автоматическую отправку образцов.
Если про отправку образцов, то ее нужно отключать
Если про облачную проверку, то ее нельзя отключать - это чистой воды манипуляция, чтобы выдать грязный файл за чистый.

 

[Jackal]

согласен не понятка , но что человеку мешает пересобрать фаил? если он кричит что там фуд
я же не упёрся рогом на мани беке или ещё что то, пусть выдаст действительно фуд вариант

Checkzilla

checkzilla.io

 

[diletant]

если файл детектится при включенном облаке, значит пейлод говно.
если файл начал детектится после первого обновления дефа (без участия в проливе), значит пейлод говно.
если файл у продавана не детектится, а у юзера на тачке сигналит, значит пейлод говно.
если продаван говорит "отключи облако", сразу ставим заметку: "у продавана пейлод говно".

 

[admin]

Перечитал. Ознакомился. Спасибо, что сразу был залит лог, согласно правил - это экономит массу времени.

Emelia, прошу сделать манибек 280$ покупателю в течении 24 часов.

 

[Jackal]

кошелёк отправил ответчику

 

[Jackal]

Думаю можно ставить статус! на связь не вышел хотя тему прочитал!
продублировал на соседней площадке
если захочет решить вопрос сообщу

 

[admin]

Emelia - статус "кидала" выставлен. Закрыто.