Вкручиваем БОЛТ СПРАВЕДЛИВОСТИ для "1M50RRY"
hawkshTo 1M50RRY: я знаю, что ты обратил внимание на то, что я писал на форуме как-то - "на каждую хитрую жопу найдется свой болт", этот с не возможностью выкрутить для твоей:
Предисловие:
В целом, любой успешный продукт обращает к себе повышенное внимание. От попыток взломать, разобрать и т.п. страдает любой популярный софт. Плюсы пиратства - бесплатность и возможность оценить продукт до его покупки. Но пиратская версия никогда не догонит официальную.
То, что исходники моей сборки попали в сеть, это не хорошо, но и не крест, т.к. по понятным причинам - исходники в сети никто не будет поддерживать в соответствующем состояние в плане детекта, функций и т.п. Исходникам паблик версии - пол года, за это время были и изменения, и фиксы, и т.п. Приватная версия конечно свежая, но уже также не актуальна и со временем станет еще более не актуальной.
При работе с людьми, всегда есть довольные и не довольные. Я знал, что однажды и мне попадется проблемный покупатель, и будет похожая ситуация. Я не стану вдаваться в подробности, могу лишь сказать, что конфликтная ситуация в процессе разрешения. И если бы не WebMoney с их всеми сложностями и другие ситуации не зависящие от меня, уже бы все было разрешено.
Ну что же, вернемся теперь к не герою статьи и его "анализу" моей сборки. Я думаю всем людям, которые пользуются моей сборкой все равно, каким образом она сделана, на чем написана и как все реализовано, главное результат. И признаемся честно, результат у сборки положительный у всех покупателей, которых есть траффик. Чего нельзя сказать о сборке 1M50RRY без "говнокода", которую 1M50RRY тщательно пытается продвигать.
Но ладно, прежде всего, хочу поблагодарить 1M50RRY за обзор моего продукта и за не удержимое веселье, с комментариями исходников моей сборки, я повеселился, а теперь и 1M50RRY нужно развеселить, а то наверное заскучал.
Но сначала хочу поправить не уважаемого "вирусолога", а то он так спешил наверное, что даже или не сообразил, что написал, или не разобрался, или не разбирается:
Определяется установленный антивирус, разрядность, аппаратная поддержка процессором AES и ставится соответствующая сборка из архива. Об этом в мануале в исходниках не было написано, видимо туго ковыряться без мануальчиков? ;)
Начнем...
У одного из покупателей приватки у 1M50RRY появились подозрения, что черти окаянные, нечестивые в ней водятся и он написал мне с просьбой провести обряды над ней:
Не смог я отказать человеку в беде, окропил святой водой приватную сборку 1M50RRY, а оттуда черти полезли...
И так, конечно же была взята не криптованная версия с названием noncrypt.exe. Кстати, продается она за 1000$.
Смотрим и видим:
Приглашаю тебя, Уважаемый Читатель, перейти на пул https://www.hashvault.pro/ и пожаловать к монетке Electroneum, перейти в раздел "DASHBOARD", добавить кошелек etnjz2MFFLuNZsNDdtQLvKNRdZFCMz5bmSeSd7FHfgLBGQ4XbFnUhw6iiUV36LgiDEDS5fa7gcqPFeU2cgtNyfWq84HVZjUg7r для отслеживания и посмотреть, как донатик работает на не уважаемого 1M50RRY.
Давайте посмотрим теперь на сколько грешно Божье дитя - 1M50RRY:
В конфиге стоит донат 5%.
Пригласили на исповедь, сознаться во всем, покаяться в грехах всех и раскаяться:
То ли дитя головую ударилось при молитве, то ли я ничего не вижу, кроме условий на время доната.
Как оказалось, бездарный родился, то ли дураком, то ли притворился.
Пришлось проводить обряд над сборкой:
Грешно дитя Божье. Как видим по скрину в 5:39:07 открывается подключение на пул, 5 минут донатит и в 5:44:07 закрывается подключение.
PS Донат не нужно "выпиливать", разработчик XMRig, исходники которого использует не герой статьи, уже все предусмотрел:
Меняем "kDonateLevel = 5;" на ноль, компилируем исходники и готово. Ой, дела то какие... Время на ноль поменять не прокатило с клиентом ;)
Может дитя обратит внимание на свои грехи и раскается окаянный в других пороках... А коли нет, то разверзнутся над ним наказания...
Отныне теперь любое бедное Божье дитя будет пользоваться приватной сборкой 1M50RRY бесплатно, нужные заклинания прилагаю:
Сборку можно скачать тут:
https://github.com/hawksh/ims0rry-miner
В гугле находим программу WinHex, качаем и ставим.
Открываем сборку в редатекторе WinHex, находим в столбце Offset строку с номером 00579936:
Вместо etnjz2MFFLuNZsNDdtQLvKNRdZFCMz5bmSeSd7FHfgLBGQ4XbFnUhw6iiUV36LgiDEDS5fa7gcqPFeU2cgtNyfWq84HVZjUg7r вставляем свой кошелек Электрониума для доната.
Находим в столбце Offset строку с номером 584912:
Вместо "YOU_ADRESS:7777" вписываете адрес своего прокси и порт соответственно. Количество символов вашего адреса (10 в адресе) и количество символов порта (4 их) должно совпадать с текущим количеством, чтобы все работало и не пришлось "двигать". Также вместо "--donate-level=5" можете вписать "--donate-level=1".
Например - "123456.com:7777", "1234567.ru:7777", т.е. например "minexmr.ru:7777" будет соответствовать нужному количеству знаков для вписывания без лишних телодвижений над кодом.
Естественно все можно подредактировать и под себя, если разбираетесь ;)
Сохраняем изменения наши. Распространяем и радуемся... Если не устраивает детект - делаете крипт и дальше наслаждаетесь...
PS Хотя думаю врядли детект кого-то устроит, т.к. меньше, чем через неделю так:
http://viruscheckmate.com/id/sdNQWCHZ7T8O
http://viruscheckmate.com/id/WIrv4zTpv7LZ
http://viruscheckmate.com/id/hqCY7yHVLuQ0
Ну и:
Меньше воркеров стало снова? А у 1M50RRY под 4.7 kh майнит в пике на адресе доната, у него все хорошо.
И так со всеми его говно-сборками. Но на халяву думаю и так сойдет, не платить же за это говно 1000$ еще и с донатом, тем более можно криптануть ;)
Вывод:
Спасибо, лови и от меня огромный пламенный привет.
ДОПОЛНЕНО специально для 1M50RRY:
Поиграем в игру, найди в статье слово "говнокодер". А о качестве твоего софта говорят твои же клиенты, а не я, я просто делаю выводы и не нужны мне никакие анализы. Я ничего не утверждаю, я просто показываю, что и как есть, а утверждать или выводы делать будут те, кто это прочитает.
"Постоянно вижу как он говорит о том какой я говнокодер и какой некачественный у меня софт" поплачешь может еще? Это все говорят, не тешь себя иллюзиями)) А я ничего о тебе не говорил и мне все равно, что у тебя там и как, много чести, пока ты не стал пытаться за счет моего софта пытаться продвигать свой. Думал буду просто сидеть, смотреть? ;)
"Который я попросту забыл вырубить"
В этом весь ты и твоя сущность мерзкая. Утверждаешь, что выключен, но он есть и работает на тебя. Как щенка по говну мордой приходится возить, не люблю таких глупых людей. Имей яйца признать.
Статья вся в пруфах, ты просто глаза протри. У тебя обычный хмриг майнер с рядом лежащим конфигом, обернутый говном, а твои "проактивные защиты", это просто пустые слова:
Как так? Твоя крутая сборка с крутыми "проактивными защитами" оказывается пустой звук? Где они? Где результаты? Конечному потребителю все равно, что в сборке, главное, результат. Где он? Следовательно вывод сам собой напрашивается - говно, такое же как и из тебя человек. Что и сколько стоит, тебя вообще волновать не должно)
Уже все, всем видно и так ясно. Закапывая кого-то, обрати внимание на себя в первую очередь, может уже по шею прикопанный. Я не нуждаюсь в твоих замечаниях, можешь их при себе оставить, а публичные "замечания" у тебя для попытки продвижения своего говна не прокатят. Как говорится, в своем глазу бревна не видишь, лучше бы за своим продуктом последил, который в общем-то вообще не юзабелен судя по тому, что люди пишут.
У меня никаких проблем нет, а вот тебе бы стоило поучится уму разуму и не отнимать чужое время своими говно-анализами.
И ответь на вопросы. 1) У тебя крутая сборка, с кучей "проактивных защит" и т.п., и т.д.... Почему эффективность на траффике ниже, чем у сборки без "проактивной защиты"? Хотя нет, я сам отвечу на этот вопрос. Автор этого текста даже не знает значения словосочетания "проактивная защита", отправить бы его в гугл почитать. А то пишет очередную ахинею. 2) Хорошо. Надеюсь ты разобрался в гугле, что это такое и где находится. А теперь следующий вопрос, как ты представляешь себе обход проактивной защиты у антивирусов в коде, исходниках, которые ты "анализировал"? Хотя я сам отвечу заранее, не хочу читать очередную хрень. Проактивная защита антивирусов анализирует действия, поведение подозрительной программы и исходя из них уже срабатывает. Это может быть установка в системную директорию, системное имя у фаила, скрытие его или добавление параметра "системный" и т.п. Говоря простым языком, устанавливая фудовый скрытый майнер и называя его svchost.exe, вы попадаете под срабатывание проактивной защиты у некоторых антивирусов, не зависимо от его сигнатурного детекта. Делая скрытым фаил при установке, аналогично и т.д. Так что же ты хотел найти и увидеть в коде? Безусловно, есть некоторые приемы для обхода определенных анализов у антивирусов и они делаются в коде, но... Сделал бы ты лучше уроки, а не говно-анализы писал.
===========
Автор @hawksh