И так, есть такая малварь как racoon stealer. Все мы (наверное) знаем, что для нормальной работы стандартного LoadPE рекомендуется поддержка ASLR(т.е. relocation table, указанная в хеадере). Проблема заключается вот в чем: в ракуне Relocation Table какого то фига отстутствует. А при просмотре RacoonStealer в самом обыкновенном D.I.E. пишет, что линковщик у данного софта Microsoft, а если быть поконкретнее, то софтик у нас компилировался компилем Visual Studio 2019. Что же это получается? Разработчики ракуна зачем то отключили ASLR поддержку в настройках компилятора? Если да, то зачем? Как с этим справляться, как жить то? Умирать, дрочить, убегать? Как криптовать то?
Runion
You are using an out of date browser. It may not display this or other websites correctly.
You should upgrade or use an alternative browser.
You should upgrade or use an alternative browser.
Raccon Stealer, и его странные проблемы
- Thread starter w11ns
- Start date
Очевидно - не юзать говно стилак за 100usd.w11ns сказал(а):
как жить то? Умирать, дрочить, убегать? Как криптовать то?
Нажмите, чтобы раскрыть...
Если вы платите за софт сотку не ждите от него чегото вообще.
Помоему безплатное куда лучше тоже что впаривают по 100-200usd
Тут на форуме чел на расте скинул сорцы
Encommerce
Light Weight
- Депозит
- $0
Ну код там такой себе. Но за бесплатно мастхев, конечно)yellow сказал(а):
Очевидно - не юзать говно стилак за 100usd.
Если вы платите за софт сотку не ждите от него чегото вообще.
Помоему безплатное куда лучше тоже что впаривают по 100-200usd
Тут на форуме чел на расте скинул сорцы(они лежат вообще бесплатно)
но код куда лушче чем халтура вских енотов и прочее говно
Нажмите, чтобы раскрыть...
досих пор люьт его прогоняя через ollvm - и не плохо зарабатывают - я имею ввиду код не трогали - просто собирали через ollvm
Кстати, а llvm-obfuscator нормально с растом дружит?yellow сказал(а):
досих пор люьт его прогоняя через ollvm - и не плохо зарабатывают - я имею ввиду код не трогали - просто собирали через ollvm
Нажмите, чтобы раскрыть...
Encommerce
Light Weight
- Депозит
- $0
Кажется можно, но с костылями, так как он имеет гараздо более раннюю версию, чем та, что сейчас используется по умолчанию. Могу ошибаться. Но раз льют, значит таки можно, верно?))
Ksandrwarf
Midle Weight
- Депозит
- $0
Выкинуть это гавно и взять что то нормальное.w11ns сказал(а):
И так, есть такая малварь как racoon stealer. Все мы (наверное) знаем, что для нормальной работы стандартного LoadPE рекомендуется поддержка ASLR(т.е. relocation table, указанная в хеадере). Проблема заключается вот в чем: в ракуне Relocation Table какого то фига отстутствует. А при просмотре RacoonStealer в самом обыкновенном D.I.E. пишет, что линковщик у данного софта Microsoft, а если быть поконкретнее, то софтик у нас компилировался компилем Visual Studio 2019. Что же это получается? Разработчики ракуна зачем то отключили ASLR поддержку в настройках компилятора? Если да, то зачем? Как с этим справляться, как жить то? Умирать, дрочить, убегать? Как криптовать то?
Посмотреть вложение 53133Посмотреть вложение 53132
Нажмите, чтобы раскрыть...
Сракун в бане на хсс и эксп.
Интересно стало, надо постестить. Я на Си тестил - прикольный выхлоп, только со сборкой под виндой гемор, насколько помнюEncommerce сказал(а):
Кажется можно, но с костылями, так как он имеет гараздо более раннюю версию, чем та, что сейчас используется по умолчанию. Могу ошибаться. Но раз льют, значит таки можно, верно?))
Нажмите, чтобы раскрыть...
Ksandrwarf
Midle Weight
- Депозит
- $0
Ракун пиздит себе логи клиентов, на экспе арбитраж свежий на эту тему
Volk_v_Shkure
Midle Weight
- Депозит
- $0
все пиздят логи у своих клиентов, стиллеры в паблик только ради этого и выкатывают =)
а когда упал тот самый жирный кошелечек, который не был вырезан - радуются, считая свои копейки и нахваливая какой замечательный стиллер, аналогов нет)
дешевая рабочая сила, которая тебе за сабку деньги платит, так еще и логи вырезаются)Ksandrwarf сказал(а):
Ракун пиздит себе логи клиентов, на экспе арбитраж свежий на эту тему
Нажмите, чтобы раскрыть...
а когда упал тот самый жирный кошелечек, который не был вырезан - радуются, считая свои копейки и нахваливая какой замечательный стиллер, аналогов нет)
Можно пожалуйста ссылку на сорцы на расте ?yellow сказал(а):
Очевидно - не юзать говно стилак за 100usd.
Если вы платите за софт сотку не ждите от него чегото вообще.
Помоему безплатное куда лучше тоже что впаривают по 100-200usd
Тут на форуме чел на расте скинул сорцы
Нажмите, чтобы раскрыть...
/threads/69584/
vladvladelo
Midle Weight
- Депозит
- $0
Чем решилось?
Ksandrwarf сказал(а):
Ракун пиздит себе логи клиентов, на экспе арбитраж свежий на эту тему
Нажмите, чтобы раскрыть...
Другой вариант, LoadPE реализуется шеллкодом + в начале шеллкода имеется функция SelfUnmap, пишется небольшой стартер для шеллкода, и запускает его, после чего шеллкод вызывает NtUnmapVeiwOfSection на текущую базу главного модуля, на этом этапе абсолютно все адресное пространство процесса становится свободным, дальше грузим PE по предпочтительному адресу - он гарантированно будет не занят. В этом случае нет нужды менять базу LoadPE, потому что он в шеллкоде и может располагаться по любым адресам в виртуальной памяти, да еще и освобождает базу стартера, который его вызвал.Quake3 сказал(а):
Один правильный ответ, и то от флудера капибары.
Если релоков нет, а их, о ужас, в ехе до висты обычно и не было, то сам LoadPE грузится с другой базой, а пейлоад загружает по той, которая в ImageBase.
Нажмите, чтобы раскрыть...
FlyProtection
Midle Weight
- Депозит
- $0
Не так в том, что логи пропадают резко хорошие, я не понимаю, как его ещё юзают. Мне говорили, что нахуй тебе ред, ведь ракун лучше, ну вот тебе и ракун, а так пацаны делайте свой стилер
Volk_v_Shkure
Midle Weight
- Депозит
- $0
глупо обижаться на паблик стиллер и на факт того, что там вырезаютс логи
как маленькие дети, ей богу)
как маленькие дети, ей богу)
Volk_v_Shkure
Midle Weight
- Депозит
- $0
он и так вам дает заработать с лихвой, если со временем мозгов не хватает написать/заказать свой собственный и потом сидеть читать обиженные сообщения, что вырезаются логи - это смешно)