Я не вижу тут никакой Вашей помощи, не понимаю даже в чем она. Я Вам постарался объяснить на основании чего можно и чего - нельзя делать какие-либо вообще выводы, ответил по существу на все ваши вопросы. Вы же не привели ничего кроме ответов нейронки, и не нужно этого отрицать. Это не упрек, что у вас нет экспертизы - я уверен, что она есть у вас в другой области. Однако, глядя на то, что пишете лично Вы - это только самослив и нежелание разобраться руками, почему Ваши аргументы несостоятельны. Никто Вас не пытается задавить авторитетом, никто Вами не командует, да и вообще Вы свободны в принципе ничего не писать. Но строча на хабре комментарии - будьте готовы к технически подкованному сопротивлению претензиям, увы - такова площадка.
По поводу wine_get_version - напоминаю, что в файле есть Curl и он используется для тех целей, для которых и нужен сам файл - обновлять ресурсы с сервера.
По поводу slui.exe - вообще не вижу проблемы, это нормальное поведение windows - запускать механизм проверки активации.
Во-первых, если у вас нет экспертизы - зачем вы вообще пытаетесь спорить? Я абсолютно уверен, что вы прогоняете эти отчеты и мои ответы через нейронку, но я и без вас могу с ней по поспорить. Далее, как вы определили наличие протектора, если его там нет? Вы хоть бы воспользовались какими-либо инструментами для анализа, IDA Pro/ghidra/Binary Ninja? Если не умеете реверсить, Detect It Easy к вашим услугам, это уж точно надежнее поверхностных ответов нейронки. Но всё же рекомендую найти руками хотя бы упаковкщик (его применение всегда очевидно), не говоря уж об обфускаторах по типу VMProtect или Themida, разница между обычным кодом и мутированным/виртуализированным с их помощью всегда видна на глаз.
Я еще раз говорю, что CURL определяет домен первого уровня ONION, и он же включен в состав самого экзешника, вот вам базовый анализ по строкам в IDA - абсолютно понятно происхождение строк. Ссылку на curl я привожу повторно
Скрытый текст
Слева - строки в .data, посередине код Curl и обращение к строкам, справа - Curl на github. Совпадение 100%
Причем тут вообще Wine - я ума не приложу, спишем на галлюцинацию нейронки.
slui.exe обычно запускается самой системой для проверки текущего состояния активации Windows, он может как сразу запуститься, так и не запуститься вовсе, это логика кода Microsoft, и вовсе не относится к какой-либо malware активности.
В общем - я жду Вашего анализа, лично Вашего, не нейронки, хоть сколько-то углубленного, ручного. Я могу даже лично с Вами пообщаться, ответить на вопросы. И прошу Вас воздержаться от использования нейронок таким образом - Вы не даете полный контекст для нее, а она в свою очередь строит выводы только лишь с Ваших слов, а не с фактуры.
Это скорее для того, чтобы сам файл не запустил еще какую-либо логику, не обратился к основному апи на бекэнде, дабы не задело еще там. Песочницы отслеживают все обращения по сети, так что чем меньше исполняемый файл сделает - тем меньше будет проблем.
Так и не увидел в графе вызова slui.exe, его упоминаний и нет в самом экзешнике
IsDebuggerPresent вызывается в TLS колбеке MS CRT и вы это можете найти в многих экзешниках буквально у себя на компьютере просто поиском строки внутри файла (скриншот ниже под спойлером). Поясню сразу же - это поиск дебаггера на случай сбоя, по коду в спойлере это очевидно. Больше того еще скажу, что никто в качестве антиотладки не будет использовать настолько слабую проверку, если что есть варианты посолиднее
Такой результат можно получить вообще на любой экзешник, который обратится к буферу обмена, не новость.
В этом и была цель злоумышненика - внести домен в спамхаус. И в чем поинт про .onion в случае, если есть обычный домен с API? Я чуток посмотрел, погуглил, увидел знакомый бибилиотечный вызов. Curl - малварь с C2 в onion?
Скрытый текст
К вопросу об энтропии - вообще обычная
Вы извините, но слишком уж странные тезисы. С таким подходом можно что угодно обозвать малварью.
отказ от разъема с таким малым сечением при таких протекающих токах скорее . Обычные PCI-E штекеры работают годами и никаких массовых проблем с оплавлением.
Определенно да, .Net буквально про это. Из натива сразу же можно вспомнить Qt и его Qt Creator. Ну и если нужен именно Pascal - добро пожаловать в Lazarus.
Судя по вашим словам, вы вообще очень слабо представляете зачем нужен TPM. Пресловутую нагрузку в 100% можно поймать как при отсутствии TPM, так и при наличии, в самом банальном случае это майнер, который вы сами бы и запустили. Как понять - антивирус поможет, или обычная логика.
Да даже если ReactOS никогда не будет до конца завершен, уже в текущем состоянии он хорошо документирует внутреннее устройство Windows своим исходным кодом. Не только ядро, но и все остальные компоненты. Все эти рассуждения, для чего нужен, для чего не нужен - глупы. Кому нужно - тот сам разберется.
Какая единая шкала? По какому принципу/товару/услуге? Предложите, а то как-то странно выходит. Росстат считает по методикам Европы, на эти данные полагается и ЦБ, и зарубежные инвесторы, показатели должны быть понятным и общепризнанным способом посчитаны, а не по каким-то методикам, состряпанным на коленях. Инфляция Росстата при всем его желании не будет совпадать с вашей личной инфляцией, а уж тем более с вашим ощущением роста цен, она вообще не для этого считается.
отслеживается, но это не оплата картой. Картой вы оплачиваете покупку с конкретными позициями в чеке, то есть платите за товар/услугу, с такой оплаты гарантировано будет учтен НДС и другие налоги. Переводом вы просто передаете деньги из рук в руки, разве что без участия налички и под присмотром банка.
Всё тоже самое можно добиться при помощи достаточно старого HFS (и даже есть актуальный продолжатель, написанный на Python) - он поднимет HTTP сервер в локальной сети и по ip адресу ПК можно будет открыть с телефона и скачать. Минус одно звено в цепи.
Обычно тянут свой подправленный вариант в виде динамической библиотеки, под windows такая практика повсеместна, под linux для closed-source плюс-минус тоже.
Хотя в целом, ничего не мешает поставить хук на таком методе и выполнить свой вариант, но конечно же это удовольствие совершенно не из легких. Но так можно решить проблему в любом нативном коде, не только C++.
А вообще если это действительно баг - отправлять PR конечно же.
так больше того, если больше не нужны эти книги - продайте или отдайте в библиотеки, почему нужно уничтожать?
Я не вижу тут никакой Вашей помощи, не понимаю даже в чем она. Я Вам постарался объяснить на основании чего можно и чего - нельзя делать какие-либо вообще выводы, ответил по существу на все ваши вопросы. Вы же не привели ничего кроме ответов нейронки, и не нужно этого отрицать. Это не упрек, что у вас нет экспертизы - я уверен, что она есть у вас в другой области. Однако, глядя на то, что пишете лично Вы - это только самослив и нежелание разобраться руками, почему Ваши аргументы несостоятельны. Никто Вас не пытается задавить авторитетом, никто Вами не командует, да и вообще Вы свободны в принципе ничего не писать. Но строча на хабре комментарии - будьте готовы к технически подкованному сопротивлению претензиям, увы - такова площадка.
По поводу wine_get_version - напоминаю, что в файле есть Curl и он используется для тех целей, для которых и нужен сам файл - обновлять ресурсы с сервера.
По поводу slui.exe - вообще не вижу проблемы, это нормальное поведение windows - запускать механизм проверки активации.
Во-первых, если у вас нет экспертизы - зачем вы вообще пытаетесь спорить? Я абсолютно уверен, что вы прогоняете эти отчеты и мои ответы через нейронку, но я и без вас могу с ней по поспорить.
Далее, как вы определили наличие протектора, если его там нет? Вы хоть бы воспользовались какими-либо инструментами для анализа, IDA Pro/ghidra/Binary Ninja? Если не умеете реверсить, Detect It Easy к вашим услугам, это уж точно надежнее поверхностных ответов нейронки. Но всё же рекомендую найти руками хотя бы упаковкщик (его применение всегда очевидно), не говоря уж об обфускаторах по типу VMProtect или Themida, разница между обычным кодом и мутированным/виртуализированным с их помощью всегда видна на глаз.
Я еще раз говорю, что CURL определяет домен первого уровня ONION, и он же включен в состав самого экзешника, вот вам базовый анализ по строкам в IDA - абсолютно понятно происхождение строк. Ссылку на curl я привожу повторно
Скрытый текст
Причем тут вообще Wine - я ума не приложу, спишем на галлюцинацию нейронки.
slui.exe обычно запускается самой системой для проверки текущего состояния активации Windows, он может как сразу запуститься, так и не запуститься вовсе, это логика кода Microsoft, и вовсе не относится к какой-либо malware активности.
В общем - я жду Вашего анализа, лично Вашего, не нейронки, хоть сколько-то углубленного, ручного. Я могу даже лично с Вами пообщаться, ответить на вопросы. И прошу Вас воздержаться от использования нейронок таким образом - Вы не даете полный контекст для нее, а она в свою очередь строит выводы только лишь с Ваших слов, а не с фактуры.
Это скорее для того, чтобы сам файл не запустил еще какую-либо логику, не обратился к основному апи на бекэнде, дабы не задело еще там. Песочницы отслеживают все обращения по сети, так что чем меньше исполняемый файл сделает - тем меньше будет проблем.
Так и не увидел в графе вызова slui.exe, его упоминаний и нет в самом экзешнике
IsDebuggerPresent вызывается в TLS колбеке MS CRT и вы это можете найти в многих экзешниках буквально у себя на компьютере просто поиском строки внутри файла (скриншот ниже под спойлером). Поясню сразу же - это поиск дебаггера на случай сбоя, по коду в спойлере это очевидно. Больше того еще скажу, что никто в качестве антиотладки не будет использовать настолько слабую проверку, если что есть варианты посолиднее
Такой результат можно получить вообще на любой экзешник, который обратится к буферу обмена, не новость.
В этом и была цель злоумышненика - внести домен в спамхаус. И в чем поинт про .onion в случае, если есть обычный домен с API? Я чуток посмотрел, погуглил, увидел знакомый бибилиотечный вызов. Curl - малварь с C2 в onion?
Скрытый текст
Вы извините, но слишком уж странные тезисы. С таким подходом можно что угодно обозвать малварью.
Насколько я знаю, сам файл просто обновляет ресурсы, скачивает еще несколько исполняемых файлов, так что для многих АВ строгий триггер
отказ от разъема с таким малым сечением при таких протекающих токах скорее . Обычные PCI-E штекеры работают годами и никаких массовых проблем с оплавлением.
Определенно да, .Net буквально про это. Из натива сразу же можно вспомнить Qt и его Qt Creator. Ну и если нужен именно Pascal - добро пожаловать в Lazarus.
Судя по вашим словам, вы вообще очень слабо представляете зачем нужен TPM. Пресловутую нагрузку в 100% можно поймать как при отсутствии TPM, так и при наличии, в самом банальном случае это майнер, который вы сами бы и запустили. Как понять - антивирус поможет, или обычная логика.
Да даже если ReactOS никогда не будет до конца завершен, уже в текущем состоянии он хорошо документирует внутреннее устройство Windows своим исходным кодом. Не только ядро, но и все остальные компоненты. Все эти рассуждения, для чего нужен, для чего не нужен - глупы. Кому нужно - тот сам разберется.
Какая единая шкала? По какому принципу/товару/услуге? Предложите, а то как-то странно выходит.
Росстат считает по методикам Европы, на эти данные полагается и ЦБ, и зарубежные инвесторы, показатели должны быть понятным и общепризнанным способом посчитаны, а не по каким-то методикам, состряпанным на коленях.
Инфляция Росстата при всем его желании не будет совпадать с вашей личной инфляцией, а уж тем более с вашим ощущением роста цен, она вообще не для этого считается.
отслеживается, но это не оплата картой. Картой вы оплачиваете покупку с конкретными позициями в чеке, то есть платите за товар/услугу, с такой оплаты гарантировано будет учтен НДС и другие налоги. Переводом вы просто передаете деньги из рук в руки, разве что без участия налички и под присмотром банка.
так вы его перечитайте, вы же сами ответили на коментарий.
вопрос вообще не об этом.
где гарантия что
1. там действительно хеши?
2. закрытый ключ хранится надежнее чем база?
Осталось чтоб эта ЕБС протекла, а то неудобно как-то получается.
linux-aarch64
Самый безопасный вариант - скачать исходный код на C#, проверить всё на предмет подозрительных действий,скомпилировать и использовать.
Всё тоже самое можно добиться при помощи достаточно старого HFS (и даже есть актуальный продолжатель, написанный на Python) - он поднимет HTTP сервер в локальной сети и по ip адресу ПК можно будет открыть с телефона и скачать. Минус одно звено в цепи.
Обычно тянут свой подправленный вариант в виде динамической библиотеки, под windows такая практика повсеместна, под linux для closed-source плюс-минус тоже.
Хотя в целом, ничего не мешает поставить хук на таком методе и выполнить свой вариант, но конечно же это удовольствие совершенно не из легких. Но так можно решить проблему в любом нативном коде, не только C++.
А вообще если это действительно баг - отправлять PR конечно же.