NoMoreCookies - Защита от куки стилеров и RAT вирусов

[F0RQU1N and]

это просто проверка на процесс браузера, там ниже есть еще проверка на сертификат

блять ну хотяб както так сделал бы

const std::unordered_set<std::string> browsers {
    "msedge.exe",
    "firefox.exe",
    "vivaldi.exe",
    "chrome.exe",
    "brave.exe",
    "browser.exe",
    "opera.exe",
    "waterfox.exe"
};

bool IsSigned( HANDLE hProcess )
{
    TCHAR szFileName[ MAX_PATH ];
    if ( !K32GetModuleFileNameExW( hProcess, NULL, szFileName, MAX_PATH ) )
        return false;

    WINTRUST_FILE_INFO FileData = { 0 };
    WINTRUST_DATA TrustData = { 0 };
    FileData.cbStruct = sizeof( FileData );
    FileData.pcwszFilePath = szFileName;
    FileData.hFile = NULL;
    FileData.pgKnownSubject = NULL;
    TrustData.cbStruct = sizeof( TrustData );
    TrustData.dwUIChoice = WTD_UI_NONE;
    TrustData.fdwRevocationChecks = WTD_REVOKE_NONE;
    TrustData.dwUnionChoice = WTD_CHOICE_FILE;
    TrustData.pFile = &FileData;
    TrustData.dwStateAction = WTD_STATEACTION_VERIFY;
    TrustData.hWVTStateData = NULL;
    TrustData.pwszURLReference = NULL;
    TrustData.dwProvFlags = WTD_CACHE_ONLY_URL_RETRIEVAL;
    GUID Guid = WINTRUST_ACTION_GENERIC_VERIFY_V2;

    return WinVerifyTrust( NULL, &Guid, &TrustData ) == ERROR_SUCCESS;
}

bool IsBrowser( const std::string_view& FileName )
{
    if ( !IsSigned( GetCurrentProcess( ) ) )
        return false;

    for ( auto& browser_name : browsers ) {

        if ( FileName.ends_with( browser_name ) )
            return true;
    }

    return false;
}

 

[Digger Man52]

блять ну хотяб както так сделал бы

const std::unordered_set<std::string> browsers {
    "msedge.exe",
    "firefox.exe",
    "vivaldi.exe",
    "chrome.exe",
    "brave.exe",
    "browser.exe",
    "opera.exe",
    "waterfox.exe"
};

bool IsSigned( HANDLE hProcess )
{
    TCHAR szFileName[ MAX_PATH ];
    if ( K32GetModuleFileNameExW( hProcess, NULL, szFileName, MAX_PATH ) > 0 )
    {
        WINTRUST_FILE_INFO FileData = { 0 };
        WINTRUST_DATA TrustData = { 0 };
        FileData.cbStruct = sizeof( FileData );
        FileData.pcwszFilePath = szFileName;
        FileData.hFile = NULL;
        FileData.pgKnownSubject = NULL;
        TrustData.cbStruct = sizeof( TrustData );
        TrustData.dwUIChoice = WTD_UI_NONE;
        TrustData.fdwRevocationChecks = WTD_REVOKE_NONE;
        TrustData.dwUnionChoice = WTD_CHOICE_FILE;
        TrustData.pFile = &FileData;
        TrustData.dwStateAction = WTD_STATEACTION_VERIFY;
        TrustData.hWVTStateData = NULL;
        TrustData.pwszURLReference = NULL;
        TrustData.dwProvFlags = WTD_CACHE_ONLY_URL_RETRIEVAL;
        GUID Guid = WINTRUST_ACTION_GENERIC_VERIFY_V2;

        return WinVerifyTrust( NULL, &Guid, &TrustData ) == ERROR_SUCCESS;
    }

    return false;
}

bool IsBrowser( const std::string_view& FileName )
{
    if ( !IsSigned( GetCurrentProcess( ) ) )
        return false;

    for ( auto& browser_name : browsers ) {

        if ( FileName.ends_with( browser_name ) )
            return true;
    }

    return false;
}

Исправим попозже, спасибо, я в отъезде просто, скину человеку, он зальет

 

[reussssya]

Защитник браузеров от различных стилеров, написанный на C# и C/C++.
Работает путем хука NtCreateFile и предотвращает доступ к файлам браузера, а также предотвращает выгрузку хука. Совместим с различными играми и программами.
(вклад очень приветствуется)

Stealers/RATs Tested​

AsyncRAT
Quasar RAT
StormKitty
FireFox-Thief
DcRat
Umbral-Stealer
XWorm RAT
Raccoon Stealer
EdgeGuard
Vidar
RedLine
Так же он должен работать и против других популярных стилеров/Rat вирусов.

Браузеры которые поддерживаются:
Firefox
Brave
Chrome
Microsoft Edge
Yandex
Opera
Waterfox
Vivaldi

Установка:
Скачайте последний релиз от сюда - https://github.com/AdvDebug/NoMoreCookies/releases/tag/NoMoreCookies_1.8
Извлеките содержимое архива в любую папку
Откройте NoMoreCookiesInstaller.exe
В нем можно как установить, так и удалить NoMoreCookies
После выбора нужного пункта, перезагрузите систему

Пример работы:
Если какой-либо Stealer/RAT попытается получить доступ к файлам вашего браузера, вы получите уведомление, предотвращающее доступ Stealer/RAT к нему и предупреждающее вас об этом.

Contribution​

https://github.com/AdvDebug
https://github.com/zun1uwu
https://github.com/Fadi002
https://github.com/erjanmx
https://github.com/DiggerMan-cpp


Если у вас есть предложение по улучшению или добавлению новых браузеров, оставляйте просьбы в теме

Venom RAT release detect pls
url venom

 

[Digger Man52]

Venom RAT release detect pls
url venom

проверено, детектит

 

[Web 3.0]

Накатывал данный софт на переустановленную винду без steam, если начать устанавливать стим, то будет выбивать "Failed to load steamui.dll" фикситься удалением No More Cookies через bat-restart pc , потом можно заново ставить. (ps, ставил упрощенный вариант 1)

 

[AdvDebug]

Накатывал данный софт на переустановленную винду без steam, если начать устанавливать стим, то будет выбивать "Failed to load steamui.dll" фикситься удалением No More Cookies через bat-restart pc , потом можно заново ставить. (ps, ставил упрощенный вариант 1)

that will only happen if you choosed the Option number 2.

 

[$zxc$]

Так же он должен работать и против других популярных стилеров/Rat вирусов.

не дезинформируй людей

 

[AdvDebug]

не дезинформируй людей

он не дезинформировал людей. он работает с популярными RAT/Stealers которые используются

 

[$zxc$]

он не дезинформировал людей. он работает с популярными RAT/Stealers которые используются

работает только с теми что в списке*

и во вторых любой хороший стил/рат не задетектится этим недоантивирусом

и в третьих в ав и без этого есть функции для защиты от стиллеров

 

[AdvDebug]

работает только с теми что в списке*

и во вторых любой хороший стил/рат не задетектится этим недоантивирусом

и в третьих в ав и без этого есть функции для защиты от стиллеров

упомяните stealer, который обойдет его и не будет обнаружен.

потому что даже stealer с функцией unhooking не может его обойти.

Бьюсь об заклад вы даже не читали код

 

[$zxc$]

упомяните stealer, который обойдет его и не будет обнаружен.

потому что даже stealer с функцией unhooking не может его обойти.

Бьюсь об заклад вы даже не читали код

1. любой стиллер который читает файлы без вызова ntcreate

2. какой дурак будет юзать стиллер который будет наводить такую суету в рантайме

 

[kin4stat]

блять ну хотяб както так сделал бы

const std::unordered_set<std::string> browsers {
    "msedge.exe",
    "firefox.exe",
    "vivaldi.exe",
    "chrome.exe",
    "brave.exe",
    "browser.exe",
    "opera.exe",
    "waterfox.exe"
};

bool IsSigned( HANDLE hProcess )
{
    TCHAR szFileName[ MAX_PATH ];
    if ( !K32GetModuleFileNameExW( hProcess, NULL, szFileName, MAX_PATH ) )
        return false;

    WINTRUST_FILE_INFO FileData = { 0 };
    WINTRUST_DATA TrustData = { 0 };
    FileData.cbStruct = sizeof( FileData );
    FileData.pcwszFilePath = szFileName;
    FileData.hFile = NULL;
    FileData.pgKnownSubject = NULL;
    TrustData.cbStruct = sizeof( TrustData );
    TrustData.dwUIChoice = WTD_UI_NONE;
    TrustData.fdwRevocationChecks = WTD_REVOKE_NONE;
    TrustData.dwUnionChoice = WTD_CHOICE_FILE;
    TrustData.pFile = &FileData;
    TrustData.dwStateAction = WTD_STATEACTION_VERIFY;
    TrustData.hWVTStateData = NULL;
    TrustData.pwszURLReference = NULL;
    TrustData.dwProvFlags = WTD_CACHE_ONLY_URL_RETRIEVAL;
    GUID Guid = WINTRUST_ACTION_GENERIC_VERIFY_V2;

    return WinVerifyTrust( NULL, &Guid, &TrustData ) == ERROR_SUCCESS;
}

bool IsBrowser( const std::string_view& FileName )
{
    if ( !IsSigned( GetCurrentProcess( ) ) )
        return false;

    for ( auto& browser_name : browsers ) {

        if ( FileName.ends_with( browser_name ) )
            return true;
    }

    return false;
}

а зачем тут set?

 

[kin4stat]

также предотвращает выгрузку хука.

кстати хуйня собачья, достаточно заюзать что-то типа

GitHub - JustasMasiulis/inline_syscall: Inline syscalls made easy for windows on clang

Inline syscalls made easy for windows on clang. Contribute to JustasMasiulis/inline_syscall development by creating an account on GitHub.

github.com

И снять все хуки

 

[AdvDebug]

1. любой стиллер который читает файлы без вызова ntcreate

2. какой дурак будет юзать стиллер который будет наводить такую суету в рантайме

для того чтобы прочитать любой файл, вам нужно открыть дескриптор используя NtCreateFile

и я не знаю почему все ожидают что все будет идеально, это просто UM Hook в конце дня, его безусловно, можно обойти.

кстати хуйня собачья, достаточно заюзать что-то типа

GitHub - JustasMasiulis/inline_syscall: Inline syscalls made easy for windows on clang

Inline syscalls made easy for windows on clang. Contribute to JustasMasiulis/inline_syscall development by creating an account on GitHub.

github.com

И снять все хуки

я знаю, что это не идеально, но это для предотвращения некоторого типа unhooking и усложнения для некоторых, если у вас есть какие-либо советы, которые я могу использовать, я был бы признателен.

 

[$zxc$]

для того чтобы прочитать любой файл, вам нужно открыть дескриптор используя NtCreateFile

ты если решил тут повыделываться и потягаться с разрабами стиллеров типо выкатил тут мега софт защита от стиллеров, то не пиши подобные смс, мне смешно становится, твой софт даже не на стадии того чтобы его нужно было обходить

ты бы еще хук на createfilea поставил и создал тему