Для тех, кто в танке и всё ещё не понял историю с вирусами.

Лабораторией Касперского ещё вчера было документально подтверждено ([VD3] [FILE:2] [KL-1034120]), что все версии программы Win 10 Tweaker имеют статус потенциально опасного ПО и в нём не содержится вирус. Хостинг, который не дорожит своей лицензией – Beget – давно уже уведомлён об этом.

Открываем в лаборатории именную сигнатуру not-a-virus:HEUR:RiskTool.MSIL.WinTweaker.gen и внимательно читаем описание.

Дословно:
Программы этой категории имеют ряд функций (например, сокрытие файлов в системе, скрытие окон, в которых запущены приложения, завершение активных процессов и т. д.), которые могут использоваться со злым умыслом. Сами по себе они не злонамеренны. В отличие от программ, классифицируемых как NetTool, программы RiskTool предназначены для работы на локальном компьютере.
Если пользователь установил такую ​​программу на свой компьютер или ее установил системный администратор, то она не представляет никакой угрозы.

Сначала юристы предлагали установить лицо, подавшее заведомо ложные сведения в компанию Beget через МВД Управление К, чтобы привлечь к ответственности его, но после изучения записей разговоров с Beget однозначно было принято решение вести под суд компанию Beget, т.к. те вовремя не пошли на досудебное решение спора, набрав сразу несколько нарушений по статьям ГК РФ. Если им нужно будет, пусть ищут того, кто подал жалобу. Уже представляю, как Beget будет искать козла отпущения, который должен будет свидетельствовать против себя в суде =) Так или иначе, многие считают, что привлекать нужно именно Beget, т.к. действия направленные на блокировку сайта совершались ими. К тому же, судья будет рассматривать ходатайство по установке личности того, кто подал жалобу на Win 10 Tweaker, чтобы человеком занимались правоохранительные органы. Даже если судья откажет, Управление К от МВД всё равно будет обязано провести проверку по факту заявления.

Никого не хочу пугать, ребят, но идти на адекватный диалог и искать уязвимые места в системе – это разные вещи. Я уже говорил, те, у кого есть претензии или пожелания, мы всегда открыты для диалога. На форуме у нас это самая живая ветка. А если с тебя гной льётся от того, что ты завистливое никому ненужное убожество, то диалоги с тобой будут интересны только органам. Все уже давно знают, что Win 10 Tweaker пользуются все и на постоянной основе. Но у кого-то так подгорает с успеха и мозгов автора Win 10 Tweaker. что готов только это и обсуждать, какой автор успешный, какое у него ЧСВ. И при этом, опять же, сидеть в уголке и тихонько дрочить на Win 10 Tweaker и лично Меня.

Ещё часто спрашивали, почему не жалуюсь на комменты на ресурсы или не опровергаю их желчь. А зачем? Это их бич, их смысл жизни – делать бесплатно рекламу Win 10 Tweaker. Посмотрите чего добились эти люди. Чего добился автор провокационной статьи на Habr? То, что у него же в комментах спрашивают, откуда скачать Win 10 Tweaker? =))) Это фиаско. Сидеть и плакать к тому же целый год, что не может найти разраба на C#. Мои курсы по C# уже преподают в универах, где по сути любой в открытом доступе может выучиться столькому, что не научит ни один универ. Это было уже многократно сказано сотнями жителей РФ и за пределами. Но нет, буду искать... Ищи. Кто к тебе пойдёт и какого IQ там должен быть разраб, если ты открытым текстом отрицаешь отключение телеметрии и многократно пропагандируешь то, что это бессмысленно.

>>5094
>>5095

>Если пользователь установил такую ​​программу на свой компьютер или ее установил системный администратор, то она не представляет никакой угрозы.

Программа с правами админа качает неизвестно какой исходный код и исполняет его с правами админа, совсем никакой угрозы.
Подмена DNS, взлом его хостинга или тупо подмена ответа иными методами позволяет получить абсолютный контроль над машиной где стоит это говно. А дальше уже делай что хочешь.

>Все уже давно знают, что Win 10 Tweaker пользуются все и на постоянной основе.

>И при этом, опять же, сидеть в уголке и тихонько дрочить на Win 10 Tweaker и лично Меня.

Тут уже какая-то мания величия.

>Мои курсы по C# уже преподают в универах, где по сути любой в открытом доступе может выучиться столькому, что не научит ни один универ.

Тут точно шиза. О нем вообще никто не знает в мире C#, точнее не знали до этого, сейчас с коллегами реально сидим угораем над клоуном.

>А вообще, бедные интернет-бойцы никак не могут взломать Win 10 Tweaker уже с версии 15.3 beta, что заставляет их пожирать себя изнутри, ибо у них была убеждённость многолетняя, что всё можно взломать и уж тем более софт, написанный на C#.

Окей скачал 17.2 версию с торрента.
Задампил его dll.
Посмотрел там обычный confuser, сделал unpack.
Затем с помощью dedot убрал бред в символах и на выходе есть более менее читаемый код.
Осталось с основного модуля задампить массив байтов где он шифрует строки, затем скопировать методы для расшифровки, затем быстро накидать тулзу которая пройдет по коду и вызовы этих методов заменит на нормальные строки. Мне если честно лень этим заниматься.
Могу выложить основную очищенную .dll если вообще кому-то это нужно так как ее сделать самому дело 10 минут.

>Каждый раз вожу за нос клоунов и даю им ещё пищу. В какой-то момент хакеры стали понимать, что Я просчитываю их потуги, ибо своих мозгов взломать у них нет, а лишь публично доступные инструменты, которые бесполезны перед Моими алгоритмами уже более года.

Как я уже сказал 10-15 минут времени и его код очищен от обфускации осталось решить косяк со стрингами, уверен есть так же публичный инструмент для этого, просто часок поискать надо. Хотя и самому написать его не сложно. Его алгоритмов там нет раз все ломается через паблик.

>И вот когда Я жирно намекаю на то, что так делать нельзя, что делают злопыхатели?

Вредительство пользователям жирный намек? Не говоря уже о том что эта программа тупо бэкдор не только для автора, но и для других умников.

>Поэтому, ребят, Я всегда и занимался делом, а не словом.

Каким делом блять. Все его действия это солянка из паблик методов по "оптимизации" винды которые он стыдливо прячет за обфускацией. За пару вечеров все его оптимизации можно вытащить из программы и выложить на гитхаб тем самым убив программу более чем полностью.

>>5146

>И не лень тебе было смотреть разбирать говнокод этого неуловимого Джо?

Ну там не совсем его код. Компилятор, обфускация и прочее говно сильно его ломает, но основную суть можно понять.
Если еще решить косяк со строками то все станет просто и предельно ясно.

>Нахуя, если это в 2 раза быстрее самому наебенить, лол.

Я не совсем знаю зачем эта прога нужна и насколько просто тоже самое сделать самому, так как не пользовался и поверил описанию уникальности "контента".

>Уверен- альтернатив этому говну- жопой жуй, просто в рунете плавает на поверхности эта поделка.

Если из этой поделки вытащить 90% в паблик и неважно что повтор или говно, то можно словить кучу лулзов с горения пердака автора, плюс понять откуда он сам все это дело спиздил.

>Реально прога для дураков, после подобных сливов для вообще конченых дебилов.

Тут сложно согласиться. Конечному пользователю тупо нет времени со всем этим разбираться, он поверит описанию и ресурсу на котором нашел прогу.
Разбираться со всем этим требует время и лень, поэтому многие решат тупо скачать посмотреть, а если нет фаерволла на блок всего и вся, то можно еще словить говнеца. Плюс прога сама по себе в системе вроде бы срет. Мне если честно лень проверять.
Кстати о файле System.Deps по которому идет триггер, весь прикол в том что это файл самой проги просто он зашит в ней. Человек тупо хранит в exe все необходимые dll и загружает их как массив данных. Не понимаю зачем все это говно нужно когда можно тупо взять поставить точку останова на Assembly.LoadFromMemory() и сохранить байты как .dll
Только замедляет запуск проги.

>Такие должны сидеть за телефонами.

Не понял претензию к телефонам.

>>5150
Держи, только это не все, там еще штук 5 мелких dll, 2-3 пустые по 2 кб весят, а другие не совсем понятно зачем так как в них ничего толкового тоже нет. Там вроде статичная инфа о CPU юзера и типа HWID.
И вот судя по всему метод который компилирует и запускает код.
А вот откуда он запускается.
privilege это тупо ограничитель запуска.
Win_10_Tweaker.Form1.Apply_Click вот тут он вызывает Form1.Method4() часто, откуда и идет вся эта хрень.

А чем ваще пробовали реверсить win tweaker ?

Detect it easy ?
Раз C#, то 100% покажет что .NET и версию

Ну ок, скорей всего все его кидали в dnSPY и нажимали "точка входа"
далее нужно найти функцию, далее конструктор, в котором объявляются все переменные

Это бы сработало если софт ничем не накрыт, но раз он накрыт, то нужно понять чем
UPX ? Есть кастомные сборки UPX, которые не палит Detect it easy
UPX unpacker ? хз, если он кастомный, нужно мучиться с параметрами

Есть еще куча всяких модулей которые можно встроить в сам Visual Studio
они шифруют не сам exeшник на выходе, а именно код написанный в нем сразу
+ поверх можно пройтись чем-нибудь еще

x64dbg, там скорей всего можно найти WinMain, а не EP, которую создает Visual Studio
хотя тоже не факт

ILspy ? Также как и dnSPY, похожий сценарий

IDA Pro ? там нужно сразу смотреть по импорту

Advapi32.dll - работа с Registry Windows
Shell32.dll - запуск файлов и получение пути до папок (i.e: Desktop, appdata...)
Ole32.dll - подключение и работа с COM портами
WinInet.dll - работа с интернетом
Psapi.dll - получение списка названий модулей\их пути

для примера

опять же нужно WinMain, а не EP, которую создает Visual Studio.

Например, в x64dbg есть встроенный переключатель Peb->BeingDebugged, не нужно ничего скачивать

Xor cipher?

Кароче, кто-то должен пизда запариться с этим

unprotect.tdgt.org/index.php/Anti-disassembly

>>6356
Не совсем.
Если сделать чисто вирус, то из-за исходного кода оспаривать что это вирус крайне сложно.
Тут же удаленное выполнение кода, с этим все сложнее. Автор может заявлять что все это на благо пользователя, это никакой не зловред, ведь ничего не удаляется, конкретно доказательств скачивания говна нет, поэтому все это враки и обман.
В этом и заключается сложность для человек далекого от ИТ.
Для ИТ же все очевидно, чувак просто имеет универсальную лазейку в компы юзеров без их ведом с полным правами админа, так еще и мозги им ебет с отключением антивируса, а значит можно хоть майнер накатить.

А значит если за автора статьи не решит вписаться тот же касперский судиться придется долго и сложно, у нас же обвинительные суды где более 90% дел решают в пользу обвинителя, хотя тут я занизил статистику, вроде бы 98% без присяженных в пользу обвинителя.

И да, сейчас из-за нашего законодательства ты можешь удалять в интернете любую критику и этим пользуются огромное количество мошенников. Те же финансовые пирамиды, их директора после разоблачения просто подают в суд и после удаляют всю инфу о себе с первых страниц яндекса/гугла.

Тоже самое с гомеопатией и БАДами, часто крупные сайт блочатся из-за нежелания удалять правдивую инфу. Так что автор просто пообщался с юристами с хабра где ему пояснили за всю сложность и решил что оно того не стоит.

Кстати поэтому ты на том же ютубе практически не увидишь популярных каналов с разбором или критикой спорных вещей, так как из-за абуза правовой системы их быстро лочат.

Результат всего этого прост, страдает адекватный простой потребитель который внужден прилагать серьезные усилия для фильтрации всего говна что течет из всех щелей.

Вообще это философская тема, потому что обычно умные и годные ребята, которые пилят годные вещи не популярны, так как они скромные и имеют синдром самозванца думая что нихуя еще не умеют поэтому особо и не лезут куда-то, а вот шизофреники с манией величия наоборот с минимум знаний захватывают рынок. Но и тут проблема, если человек не популярен, не значит что он хороший.
В итоге без серьезных мозговых усилий разобраться сложно и если попытаться, то это сменит твою парадигму мышления.