Перейти к содержимому


Фото
- - - - -

lantern


  • Please log in to reply
8 ответов в этой теме

#1 tahofe9953

tahofe9953

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 03 Январь 2024 - 15:25

есть такая китайская поделка, с заточкой под русский(что само по себе подозрительно). живёт тут lantern.io и тут https://github.com/getlantern/lantern

так вот, если она установлена(бинарь. без сборки) и запущена, но не используется(я повторю по слогам: не ис-поль-зу-ет-ся. т.е. трафик явно не отправляется на её порты), то магическим образом в vivaldi(вряд ли это имеет какое-либо значение) подвисает обращение к сбербанку онлайн(просто к сбербанку проходит). причём в нормальном режиме проходит, а в инкогнито подвисает. удаляешь эту лампу и всё опять норм в инкогнито. может кто-нибудь подтвердить? а вдруг это китайский троян? хоть его и рекламируют борцы за свободу %D

зы: ну лень мне тотальное расследование проводить



#2 tahofe9953

tahofe9953

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 03 Январь 2024 - 15:39

а, не, ложная тревога. даже если не отправлять на порты, то она всё равно системный прокси на себя устанавливает. респект сбербанку, кстати



#3 VVS

VVS

    The Master

  • Moderators
  • 19 645 Сообщений:

Отправлено 03 Январь 2024 - 19:54

Вполне легальный софт, правда, достаточно бесполезный в последнее время.

Его официальный сайт вполне себе гуглится по названию.

Прокси да, прописывает, что с моей точки зрения является достоинством.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#4 tahofe9953

tahofe9953

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 04 Январь 2024 - 17:36

чегой-то бесполезный? оно ж мимикрирует, и мимикрирует успешно, раз до сих пор работает. тор, как бы, тоже бесполезен без обфускации, а подключаешь- и только в путь. у лампы скорость существенно больше чем через тор



#5 tahofe9953

tahofe9953

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 04 Январь 2024 - 17:41

сказать как эвристик обошёл при вытаскивании экзешника из батника? но под честное пионерское, что эта дырка закрыта не будет



#6 VVS

VVS

    The Master

  • Moderators
  • 19 645 Сообщений:

Отправлено 04 Январь 2024 - 18:18

чегой-то бесполезный?

У меня достаточно давно работать перестал на 2-х провайдерах.
Я думал, что у большинства аналогично.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#7 VVS

VVS

    The Master

  • Moderators
  • 19 645 Сообщений:

Отправлено 04 Январь 2024 - 18:34

сказать как эвристик обошёл при вытаскивании экзешника из батника? но под честное пионерское, что эта дырка закрыта не будет

Я не знаю, о каком батнике идёт речь - с официального сайта скачивается обычный инсталлятор, на который доктор никоим образом не реагирует.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#8 tahofe9953

tahofe9953

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 04 Январь 2024 - 20:21

ничего подобного! пфф.. вот ещё! задача-то была без приблуд обойтись. так и быть, скажу. но сперва хочу донести мысль, что нет ничего криминального в том, чтобы в батнике исполняемые хранить- так делалось испокон веков, и так до сих пор иногда нужно сделать. а вы что делаете? вы на детях фраги набиваете. стыдитесь!

сперва я порезал исполняемый на два и посмотрел как эвристик реагирует- никак не реагирует, а значит.. ;) а значит отрезаем сигнатуру "MZ", остальное же как обычно кодируем в base64. остаётся лишь

<nul set /p foo=MZ>bar

certutil -decode "%~f0" baz
copy /b bar+baz xyz.exe
и никакой реакции от эвристика на это "преступление". хотя ведь те же яйца, вид сбоку.
была ещё идея с потоками поиграться, но в стоке в винде недостаточно инструментов, а если тяжёлую артиллерию подключать, то весь смысл пропадает(а вот те, кто замыслил недоброе, пойдут куда более высокоуровневым путём, им не лень будет)


#9 tahofe9953

tahofe9953

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 17 Январь 2024 - 17:36

У меня достаточно давно работать перестал на 2-х провайдерах.

не знаю как этот хитрожопый китаец сие проворачивает, но сходу не понял как и его провернуть. зато понял как восстановить работоспособность. нужно не только снести, но ещё и ключ HKEY_CURRENT_USER\Sofware\Lantern (уж не знаю опечатка ли это или китайская военная хитрость, по типу скрытого атрибута на папку с порно) в реестре не забыть потереть(деинсталятор его не трёт). причём тело перемещать нельзя, даже если изменить значение в HKEY_CURRENT_USER\SOFTWARE\Lantern (здесь "опечатки" нет). господи, да там даже порты(ну там socks, гуй. входящий не трогаю никак, так что не в нём причина) в конфиге меняешь и уже он отказывается соединяться(при старте показывает, что соединился, но ничего не пропускает, а затем и наглядно отваливается, и больше соединиться уже не может). я прям чувствую как становлюсь нацистом! >:(




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых