Ваш ключ: необходима авторизация | MyProxy - бесплатный обменник валидных прокси между пользователями форума.

JLeGioH Ворует ваши аккаунты!!Многим наверное известно, что есть человек с ником JLeGioH, который пр

Тема в разделе Оффтопик, создана пользователем Ilyas, 23 июл 2016.

Войдите для ответа
  1. Ilyas Каспийский.....

    Ilyas
    Статус:
    Вне сети
    Сообщения:
    632
    Симпатии:
    188
    Регистрация:
    07.02.16
    Многим наверное известно, что есть человек с ником JLeGioH, который продаёт свои софты на различные сервисы. Давайте посмотрим на примере SteamCheCkeR v4.5.1 от 15.12.2015 как данный человек ворует все ваши найденные (хорошие) аккаунты из проектных папок и непосредственно из папки с софтом.

    Для начала, общий принцип работы софта при запуске. Софт делает запрос на сервер JLeGioH'а, откуда скачивает (при условии, что лицензия на софт валидна) исходный код вспомогательной сборки (далее - модуля) и на стороне клиента компилирует его при помощи средств CSharpCodeProvider. Данный модуль имеет в себе класс NewJLBaseClass. Софт создаёт экземпляр данного класса и с ним уже работает.[​IMG]
    Теперь давайте рассмотрим конструктор данного класса, что же происходит там. На скриншоте ниже мы видим, что идёт проверка файла hosts. Если в данном
    файле нашлась строка
    jlegioh.info, то софт по понятным причинам закрывается.
    [​IMG]
    Идём далее. На скриншоте ниже мы видим, как запускается несколько таймеров. Эти таймеры предназначены для периодической отправки на сервер JLeGioH'а запроса, который проверяет наличие лицензии а также для проверки фоновых процессов и закрытия софта в случае, если найден процесс или название окна из чёрного списка.
    [​IMG]
    На следующем скриншоте вы можете видеть как с сервера загружается следующий модуль[​IMG]
    Скриншот метода:[​IMG]
    Что происходит дальше, вы можете видеть на скриншоте. Загружается сборка, создаётся экземпляр класса CheckForm, а затем стартует интересный поток, который мы сейчас рассмотрим.
    [​IMG]
    Скриншот метода StartTh:
    [​IMG]

    Скриншот метода StartOne:[​IMG]
    Теперь мы подошли к самому интересному. Обратите внимание на метод GetStat. Вроде ничем не примечательное название, но именно из-за этого метода и была создана данная тема. Ознакомимся же с его содержимым.

    Скриншот метода GetStat:
    [​IMG]

    Уловили суть происходящего? Если нет, то ниже я описываю каждый шаг, что происходит в этом методе.

    Что мы выяснили? Все файлы, в названии которых есть "good" отправляется на сервер автора! Причем, запрос выглядит весьма безобидно и не должен вызвать никаких подозрений (даже при том, что объем передаваемых данных никак не ограничен).
    Но давайте посмотрим в каком виде хотя бы передаются гуды на сервер.[​IMG]

    Мы видим, что гуды шифруются методом Sha1Cript. Скриншот этого метода приводить не буду, скажу лишь только, что сначала данные шифруются при помощи алгоритма Rijndael (AES), а затем идёт преобразование в Base64. Ну хотя бы на этом спасибо, что автор не передаёт гуды в открытом виде.

    В заключении хочу сказать, что цена софта не показатель качества и добросовестности автора и даже в таком дорогом софте, как софте от JLeGioH, могут быть такие неприятные детали. Стоит также отметить, что автор имеет возможность убрать отправку гудов, лишь изменив на стороне сервера модули, которые будет скачивать софт.


    PS:Инфа слита задавать мне вопросы бесполезно)
     
    23 июл 2016 #1
  2. САША™JAM ★★★BORN in USSR★★★

    САША™JAM
    Легенда
    Статус:
    Вне сети
    Сообщения:
    2.131
    Симпатии:
    1.367
    Регистрация:
    29.03.16
    Фуфуфу! Кривой копипаст с ИРЫ)))))
     
    23 июл 2016 #2
  3. Ilyas Каспийский.....

    Ilyas
    Статус:
    Вне сети
    Сообщения:
    632
    Симпатии:
    188
    Регистрация:
    07.02.16
    Пля столько скриншотов(отредачу сейчас)
     
    23 июл 2016 #3
  4. N3V3RM0R3 Модератор

    N3V3RM0R3
    Команда форума
    Статус:
    Вне сети
    В кряке это убрали
     
    23 июл 2016 #4
    Nangl нравится это.
  5. vito2012 Местный

    vito2012
    Статус:
    Вне сети
    Сообщения:
    127
    Симпатии:
    10
    Регистрация:
    17.06.16
    Для тех кто не в курсе сойдет. А так уже давно говорили, что акки ворует.
     
    23 июл 2016 #5
  6. Ilyas Каспийский.....

    Ilyas
    Статус:
    Вне сети
    Сообщения:
    632
    Симпатии:
    188
    Регистрация:
    07.02.16
    Скриншоты выложить не удается(прошу прощения)
     
    23 июл 2016 #6
  7. Nangl Эксперт

    Nangl
    Статус:
    В сети
    Сообщения:
    1.779
    Симпатии:
    946
    Регистрация:
    23.02.16
    кстати да, тоже читал
     
    23 июл 2016 #7
  8. Alexs635 Местный

    Alexs635
    Статус:
    В сети
    Сообщения:
    212
    Симпатии:
    63
    Регистрация:
    01.05.16
    Ахуеть, конечно убрали... Там даже связи с серверами нет -_-
     
    23 июл 2016 #8
  9. stoffy Заблокирован

    stoffy
    Статус:
    Вне сети
    Сообщения:
    36
    Симпатии:
    1
    Регистрация:
    18.07.16
    #Уменяестьдесертиглмнененужендикийтигр
     
    23 июл 2016 #9
  10. [LZT]MarioArts Заблокирован

    [LZT]MarioArts
    Статус:
    Вне сети
    Сообщения:
    143
    Симпатии:
    7
    Регистрация:
    15.07.16
    Это уже давно все знаю.
     
    23 июл 2016 #10
  11. Ilyas Каспийский.....

    Ilyas
    Статус:
    Вне сети
    Сообщения:
    632
    Симпатии:
    188
    Регистрация:
    07.02.16
    есть люди которые незнали поэтому и выложил
     
    23 июл 2016 #11
    [LZT]MarioArts нравится это.
Top