Перейти к содержанию

ruqa

Пользователь
  • Публикаций

    10
  • Зарегистрирован

  • Посещение

Репутация

98 Excellent

Информация о ruqa

  • Звание
    Rank №2
  1. Самый фудовый метод down\exec

    Начнем с того, что отдельно запущенный процесс всегда будет проверяться на работу с сетью, и как тут правильно сказали, на работу с диском. Тебе надо, чтобы твой даунлоадер был запущен в контексте доверенного процесса, например браузера. Запускай скрытую копию IE, инжекться в нее, и уже оттуда качай что тебе надо. Либо сделай чтобы файл не запускался сразу, когда ты его скачал, а например после перезагрузки машины. Либо после скачивания перенеси его в другое место и попробуй запусти оттуда.
  2. Для валидации нужен софт, который чекает не через SMTP, а через веб-морду сайта, там где при регистрации выбираешь имя почтового ящика, а сайт говорит занят он или нет. Но этот способ тоже не на всех бигах прокатывает. Для mail.ru к примеру лучше сделать большую рассылку по валидной базе, а следом за ней начать слать по проверяемой базе и следить за тем чтобы количество неотправленных не превысило критического значения. Потом фильтруешь не валидные адреса и чекаешь дальше, но уже с другого домена и IP. Этот способ очень долгий, но гораздо более надежный.
  3. Скорее всего в параметре HELO у тебя шлется оригинальный IP, из-за этого палится сервер с которого парсишь
  4. Какой аттач у тебя, скажи для начала? DOC, PDF, EXE? SmartScreen или Defender бьет?
  5. Кто знает почему ломается структура HTML-письма при отображении в браузере? В почтовом клиенте Thunderbird HTML отображается отлично, а вот на сайте Gmail'a всю структуру письма корежит. Кнопка уезжает наверх письма, заголовок вниз, сам текст к левой стороне экрана смещается. Я сначала думал, что все дело во внешнем CSS, которое лежало на сервере, типа Gmail блокирует ссылку, но перенес весь CSS в HTML и та же самая картина(( Из-за чего такое может быть? Это особенность самого Gmail? В браузерах само письмо отображается нормально, если его не с сайта раскрыть, а с диска. В самом HTML ошибок нет.
  6. Поставь себе VirtualBox со всеми основными системами: XP, Vista, 7, 8, 10. Как только тебе криптанули файл, сразу его проверяй на виртуалке. У многих криптовщиков именно с этим косяки, на одной системе работает, на других нет. Я перед тем как отдать файл клиенту проверяю на всех основных ОС. Если массово отстук падает, то тут именно в этом дело.
  7. Разжевываю для "настоящих экспертов". Рантайм-детект - это детект времени исполнения, который АВ ставит на код, при его раскрутке в собственной ВМ. Обламываются такие детекты различными антиэмуляторными приемами, чтобы анализатор АВ не мог добраться до файла, который упакован. Достаточно влепить что-нибудь типа "jmp esp" (к примеру) в коде и детект исчезнет, потому что EIP будет указывать на вершину стека и ВМ антивирусника не будет знать куда выполнять дальше код, так как стек не исполняем. Соответственно не сможет добраться до упакованного файла. То о чем ты говоришь, у АВ называется проактивная защита. Это защита стоит на уровне ядра, когда через SSDT таблицу перехватываются все вызовы API идущие из юзермода, которые работают с процессами, тредами, файлами, сетью и всем тем что является потенциально опасным для системы. Детекты там ставятся на цепочки API, а не на отдельные вызовы. Сделать так чтобы не детектились эти вызовы, это работа разраба малвари, а уж точно не криптовщика.
  8. 1. Способы инжектов в браузер, которые были в старых банкботах не работают, либо работают частично. 2. Закладывай в бюджет зарплату программера, который будет своевременно фиксить изменения, которые происходят в браузерах. 3. Закладывай в бюджет работу веб-кодера, который будет тебе обновлять сами инжекты страниц. 4. Ты собрался забрасывать "голого" бота кому-то, что переживаешь про рантайм? Нормальный крипт обламывает рантайм любого АВ. В данном случае я говорю не о говнокриптерах, которые одним стабом кучу людей криптуют. Они как раз таки рантаймом не заморачиваются, а тупо чистят статику и все. Хочешь чтобы бот в рантаймне не палился ищи в команду криптовщика, а не криптуй на стороне.
  9. Только голова и руки, никакого чуда инструмента не существует, чтобы убрать эвристический детект. Но вполне можно написать инструмент для поиска места детекта.
×