Увидел в его теме данный пост https://xss.pro/threads/81487/post-656178
Далее его забанили.
После чего админ ненадолго разбанил продавца, дав ему написать свое слово:
Хочу выказать свои мысли по этому поводу. Вырезать проверку на СНГ достаточно просто, если есть базовые знания в реверсе. Но в большинстве случаев люди, которые использую стиллеры, сдаваемые в аренду, очень далеки от кодинга, иначе зачем платить за аренду, если можно написать свой софт? Тем более тут не может быть речи о знаниях в реверсе.
Так что тут два варианта, либо WhiteSnake кто то подставил, либо он сам слукавил, и предоставил некоторым клиентам переделанные билды, где убрана проверка на СНГ. Я склюняюсь ко второму варианту, потому что если прочитать отчет (https://www.kommersant.ru/doc/6136246), то становится ясно, что была развернута целая инфраструктура для спама и отработки логов, подставой тут не пахнет, кажется WhiteSnake знал на что идет, и был в сговоре с теми, кто работал его софтом по РУ.
Проверить это достаточно просто, если найти стандартные билды WhiteSnake и те, которые использовались для работы по РУ из статьи выше. В случае если ситуация такая, как описал сам WhiteSnake, тогда билды будут идентичными, и разница будет лишь в месте где идет проверка на СНГ. Там должен быть патч, который разрешит запускаться на всех машинах, обходя все проверки, как правило это патч пролога функции с проверкой, что бы возвращать нужное значение(1/0) + ret, либо патч на jz/jnz после вызова функции, где идет логика с результатами проверки. Но сама функция проверки СНГ останется в билде, просто из-за патча будет нарушена логика работы. В таком случае можно поверить WhiteSnake и считать, что его подставили.
Но если в ходе реверса обнаружится, что функции проверки на СНГ в коде билдов вообще нет, как и кода, который отвечает за результат проверки, то тут однозначно вина WhiteSnake, значит он был в курсе, что будет идти работа по РУ и сам предоставил билды для работы по РУ.
Ниже хочу услышать мнение остальных пользователей, а так же тех, кто возможно, может достать билды для проверки.
Далее его забанили.
После чего админ ненадолго разбанил продавца, дав ему написать свое слово:
Хочу выказать свои мысли по этому поводу. Вырезать проверку на СНГ достаточно просто, если есть базовые знания в реверсе. Но в большинстве случаев люди, которые использую стиллеры, сдаваемые в аренду, очень далеки от кодинга, иначе зачем платить за аренду, если можно написать свой софт? Тем более тут не может быть речи о знаниях в реверсе.
Так что тут два варианта, либо WhiteSnake кто то подставил, либо он сам слукавил, и предоставил некоторым клиентам переделанные билды, где убрана проверка на СНГ. Я склюняюсь ко второму варианту, потому что если прочитать отчет (https://www.kommersant.ru/doc/6136246), то становится ясно, что была развернута целая инфраструктура для спама и отработки логов, подставой тут не пахнет, кажется WhiteSnake знал на что идет, и был в сговоре с теми, кто работал его софтом по РУ.
Проверить это достаточно просто, если найти стандартные билды WhiteSnake и те, которые использовались для работы по РУ из статьи выше. В случае если ситуация такая, как описал сам WhiteSnake, тогда билды будут идентичными, и разница будет лишь в месте где идет проверка на СНГ. Там должен быть патч, который разрешит запускаться на всех машинах, обходя все проверки, как правило это патч пролога функции с проверкой, что бы возвращать нужное значение(1/0) + ret, либо патч на jz/jnz после вызова функции, где идет логика с результатами проверки. Но сама функция проверки СНГ останется в билде, просто из-за патча будет нарушена логика работы. В таком случае можно поверить WhiteSnake и считать, что его подставили.
Но если в ходе реверса обнаружится, что функции проверки на СНГ в коде билдов вообще нет, как и кода, который отвечает за результат проверки, то тут однозначно вина WhiteSnake, значит он был в курсе, что будет идти работа по РУ и сам предоставил билды для работы по РУ.
Ниже хочу услышать мнение остальных пользователей, а так же тех, кто возможно, может достать билды для проверки.
Последнее редактирование:
