Оригинал статьи - Скрытый контент. http://telegra.ph/Analiz-skrytogo-majnera-ot-EvilBanana-ims0rry-12-25 Нажмите, чтобы раскрыть... Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.Предисловие Сразу проспойлерю концовку: этот майнер оказался моим майнером первой версии, только почему-то немного поломанный. За код, который вы увидите, ответственности не несу, я писал его еще 06.17 по гуглу Анализ файла Как выглядит изначальный билд: https://image.prntscr.com/image/Z178Ry99Tku94eS7--LvSQ.png Смотрим что это вообще такое: https://image.prntscr.com/image/uzC6hlN0SgKLwMYesG7DFA.png Темида? На самом деле, уже на этом моменте я понял, что что-то не так. Ибо я не видел продуктов кроме своего и фоксовского где еще накрывают билды темидой. Поведение и распаковка Для анпакинга темиды я решил воспользоваться дедовским способом: запустить файл на виртуалке, сдампить через petools и пройтись universal fixer'ом. После запуска у меня на виртуалке вылезло вот это: https://image.prntscr.com/image/5reiCNx5SM2P6nCgm92DCg.png Кажется, кто-то забыл скомпилить xmrig под релизом. В процессах было это: https://image.prntscr.com/image/pPbsUjfmS_uRobkNO--gAw.png А в папку дропнулись следующие файлы: https://image.prntscr.com/image/ZQuuPGmkSqCS7Uhzj77u8w.png Тут у меня не осталось сомнений что это древнейшая версия моего майнера. Точно такая же папка дропа, консольный майнер + .NET обертка. Насмотревшись на поведение майнера, я решил все-таки сдампить процесс: https://image.prntscr.com/image/d2kvBFbBROaomW-JNdmWXw.png И получил следующий файл: https://image.prntscr.com/image/I9BcOPdNQOSMaAX9hb9HEw.png К слову, в оригинале не было этих дллок и файл весил гораздо меньше. К тому же, файл в ресурсах (консольный майнер) тоже у меня всегда был под темидой. Далее прошелся по нему фиксером: https://image.prntscr.com/image/r_VWhmIGRISp9mvIHUeeAw.png Фикшенный файл впихнул в ILSpy и получил исходный код: https://image.prntscr.com/image/7LhVTIjKQLW87j3fNj7lrw.png P.S. Код был немного изменен, добавлены какие-то мелочи, но я не вникал Ссылки Исходный код + семпл - https://github.com/ims0rry/EvilBanana-ims0rry-v1.0-miner Продажник - Скрытый контент. https://lolzteam.net/threads/261557/ Нажмите, чтобы раскрыть...
Давай лучше информацию по AutoLoader. Вроде бы неплохой софт, по крайней мере, для меня. Надоели майнеры, их уже каждый штампует за час.
Дак в блоге и на гитхабе давно уже все выложил) В папке Binaries гайд как юзать https://github.com/ims0rry/RDP-autoloader
