Старый 27.01.2014, 04:03   #1
dotz
 
Регистрация: 22.03.2013
Сообщений: 5
Репутация: 0
По умолчанию обход бана exe в chrome

Добрый день

нашел пп loadmoney\profitraf они как то обходят бан

пример ссылки
horses.hot-goes.ru/get_file?sid=12500&url=aHR0cDovL3NpdGUucnUvc2t5cGU uZXhl&name=c2t5cGUuZXhl&type=c2V0dXA=&size=OTI4MDA w

страница скачивает файл по адресу
http://thisgo.ru/nICAhM7b25ybhoeRh9qQm4OamJuVkIfZkYyEhpGHh9qGgduTkY CrkJuDmpiblZCrjJmYq8fLnZDJ/setup/5629940/170534288/skype.exe
(автозамена доменов)

так вот, если скачать в хроме по первой ссылки бана их exe нет
а если скачивать по второй только то банит

есть догадки\предположения как такое сделать?
dotz вне форума   Ответить с цитированием
Старый 27.01.2014, 11:28   #2
m0Hze
 
Аватар для m0Hze
 
Регистрация: 05.07.2010
Сообщений: 326
Репутация: 129
По умолчанию

Редирект ведет на чистую сылку и чистый билд файла, вот и все. Сравни ссылки, ресурсы разные. Наверное и md5 у файлов тоже разный.
__________________
multi-vpn.biz - Первый VPN на Эллиптических кривых со скоростью света.
m0Hze вне форума   Ответить с цитированием
Старый 27.01.2014, 17:54   #3
dotz
 
Регистрация: 22.03.2013
Сообщений: 5
Репутация: 0
По умолчанию

b3, обошел несколько форумов уже, тут хоть кто то ответил.

m0Hze,

http://forces.bigfiler.ru/NDkwOTtodHRwJTNBJTJGJTJGZXhhbXBsZS5jb20lMkZpY3EuZX hlO25hbWU9aWNxLmV4ZTtzaXplPTQ1MDg4NzY7dHlwZT1hcmNo aXZl
при опере\фф дают грязный файл\ссылку
при хроме дают другую ссылку, что даже перейти на прямую бана не наблюдается

http://dlc.mails-search.ru/download2/da/o7Gnra+xreSnp/7gprukoej8+7O5pbu8qfW4sqmxjI6Dh5fIg5+Ym4+Yn8Ocmt+W l4erjZubx4qOmcHO2JtpZT82PTQwNDA9Mj0qa2djdU57dykKU2 qO/icq.exe?referer=kubanfiler.ru

Но, файлы одинаковые
мд5 сумма одна (10D5F89970601297B0EB8E8A1ED071EE)
dotz вне форума   Ответить с цитированием
Старый 28.01.2014, 08:20   #4
m0Hze
 
Аватар для m0Hze
 
Регистрация: 05.07.2010
Сообщений: 326
Репутация: 129
По умолчанию

Ну значит файл чистый, новый и чистый билд(крипт), и его сигнатур еще нет в базе браузеров.
А вот ссылка уже спалилась и является баненой, а ту которую отдают для хрома, она чистая, и в базе подозрительных сайтов ее нет, вот и все.
А вообще, я бы посоветовал юзать свои домены для отдачи файла, с помощью выкачивания целевого файла на свой домен, через определенный интервал времени. Самый простой вариант, берем любой шелл, льем туда скрипт для автовыдачи файла, и юзаем. Шелл в случае необходимости меяем == получаем чистую ссылку, а с учетом автообновления файла (если конечно овнеры пп своевременно криптуют новый билд), имеем чистый файл.
__________________
multi-vpn.biz - Первый VPN на Эллиптических кривых со скоростью света.
m0Hze вне форума   Ответить с цитированием
Старый 28.01.2014, 17:52   #5
dotz
 
Регистрация: 22.03.2013
Сообщений: 5
Репутация: 0
По умолчанию

Файлы одинаковые, т.к пробовал заменять их. банит обоих
Пробовал шеллы - эффект такой же.
похоже что дело в домене, mir-loadings.ru - нет бана.
Цитата:
http://dlc.mir-loadings.ru/download2/da/o7Gnra+xreSnp/7gprukoej8+7O5pbu8qfWyvK23mcyLjZeRh4uEx5iew4qLm6+J n5/LhoKVxcrcn5WZw8o5NTUyMDw1My5vY2dpUmdrLQpTao4/icq.exe?referer=youinstalls.ru
только вот чем отличается домен youinstalls.ru от mir-loadings.ru?
dotz вне форума   Ответить с цитированием
Старый 28.01.2014, 21:19   #6
12309
 
Регистрация: 25.12.2011
Сообщений: 265
Репутация: 33
По умолчанию

IP-адресами?

забавная тема:
Цитата:
IP: 5.254.99.7
Origin-AS: 39743
Prefix: 5.254.96.0/21
AS-Path: 11686 19151 39743
AS-Org-Name: Voxility S.R.L.
Org-Name: mail.ru software distributor
Net-Name: profitraf_ru
Cache-Date: 1390902088
Latitude: 44.432250
Longitude: 26.106260
City: NULL
Region: NULL
Country: ROMANIA
Country-Code: RO
> mail.ru software distributor
12309 вне форума   Ответить с цитированием
Старый 06.02.2014, 21:17   #7
.while
 
Регистрация: 19.01.2011
Сообщений: 7
Репутация: 0
По умолчанию

тс все проще чем ты думаешь, че ты заморачиваешься домены поддомены IP адреса, что еще?
.while вне форума   Ответить с цитированием
Старый 12.02.2014, 05:16   #8
Aels
 
Аватар для Aels
 
Регистрация: 24.12.2010
Сообщений: 16
Репутация: 2
По умолчанию

ЕХЕ подписал сертом LLC Mail.ru
То-есть чтобы хром не банил ехе, его нужно подписать ключиком хотя бы васи пупкина.
Aels вне форума   Ответить с цитированием
Старый 12.02.2014, 13:44   #9
12309
 
Регистрация: 25.12.2011
Сообщений: 265
Репутация: 33
По умолчанию

лол, серт мыла.ру слили?
12309 вне форума   Ответить с цитированием
Старый 18.02.2014, 08:29   #10
Enigma
 
Аватар для Enigma
 
Регистрация: 17.06.2013
Сообщений: 37
Репутация: 12
По умолчанию

Цитата:
Сообщение от 12309 Посмотреть сообщение
лол, серт мыла.ру слили?
Вроде нет, на хабре было

http://habrahabr.ru/post/172393/
http://habrahabr.ru/post/188894/
и другие топики
Enigma вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot