Привет форумчане и гости форума!
Окажу услугу по криптованию вашего софта!
В крипт входит:
-Поддержка оверлея(EOF)
-Смена иконки на вашу (по желанию)
-Смена информации о файле (по желанию)
-Удаление иконки
-Сжатие файла любым упаковщиком
-Отчет от scan4you на детекты
-Не большие размеры стабов
-FUD 24-48 часов
Фаил работает на XP,Vista,Win7 ( 32/64 битные платформы)
Не работает на Server2003/08
Цена разового крипта 20 wmz, 650 wmr
Связь : atsecret@jabber.ru, icq 1961661
p.s в сети днем редко ,ночью всегда онлаин
[mod][TrueMind:] Два сэмпла, которые проверял Ar3s принципиально не отличаются от тех что были выданны автором ранее, так что описание применимо в обеих случаях.
Получил три сэпла из архива hxxp://www.sendspace.com/file/uvi_su, с названием 69636. Это не те файлы, о которых выше написал Ar3s, но они были выданы на проверку автором топа чуть ранее. Глянул, чтож:
Яп действительно VB6, секция импорта содержит импорт только из MSVBVM60,
к тому же одинаковый-статичный для всех трех файлов.
В двух файлах из трех какая то левая иконка(такое не любят аверы 100%) и одинаковая VersionInfo.
В третьем файле иконка и VersionInfo отличаются от первых двух, но похоже что менялось руками, т.е. не генерится автоматически.
Криптованный файл хранится в оверлее, энтропия нормальная.
Мусорного кода я не заметил, если только автор вручную модули с названием asfsdgwe не переименовывает, хз.
Для подгрузки апишек используется <JMP.&MSVBVM60.DllFunctionCall>
что-то вроде такого hxxp://hackhound.org/forums/topic/148-zombieinvoke/
Во всех трех файлах присутствуют строки:
это не какая-нибудь безобидная апи, это ж WriteProcessMemory, она ж у аверов в black листе 
закриптовали б хоть строку для приличия.
p.s. для тех кто любит крипт VB, возможно подойдет если Detection rate будет приемлем (кстати hxxp://scan4you.net/result.php?id=aecff_90cfgr один из файлов ).
[/mod]
Окажу услугу по криптованию вашего софта!
В крипт входит:
-Поддержка оверлея(EOF)
-Смена иконки на вашу (по желанию)
-Смена информации о файле (по желанию)
-Удаление иконки
-Сжатие файла любым упаковщиком
-Отчет от scan4you на детекты
-Не большие размеры стабов
-FUD 24-48 часов
Фаил работает на XP,Vista,Win7 ( 32/64 битные платформы)
Не работает на Server2003/08
Цена разового крипта 20 wmz, 650 wmr
Связь : atsecret@jabber.ru, icq 1961661
p.s в сети днем редко ,ночью всегда онлаин
[mod][TrueMind:] Два сэмпла, которые проверял Ar3s принципиально не отличаются от тех что были выданны автором ранее, так что описание применимо в обеих случаях.
Получил три сэпла из архива hxxp://www.sendspace.com/file/uvi_su, с названием 69636. Это не те файлы, о которых выше написал Ar3s, но они были выданы на проверку автором топа чуть ранее. Глянул, чтож:
Яп действительно VB6, секция импорта содержит импорт только из MSVBVM60,
к тому же одинаковый-статичный для всех трех файлов.
В двух файлах из трех какая то левая иконка(такое не любят аверы 100%) и одинаковая VersionInfo.
В третьем файле иконка и VersionInfo отличаются от первых двух, но похоже что менялось руками, т.е. не генерится автоматически.
Криптованный файл хранится в оверлее, энтропия нормальная.
Мусорного кода я не заметил, если только автор вручную модули с названием asfsdgwe не переименовывает, хз.
Для подгрузки апишек используется <JMP.&MSVBVM60.DllFunctionCall>
что-то вроде такого hxxp://hackhound.org/forums/topic/148-zombieinvoke/
Во всех трех файлах присутствуют строки:
Код:
00403F30 \0C3F4000 DD 02.00403F0C ; ASCII "KERNEL32"
00403F34 1C3F4000 DD 02.00403F1C ; ASCII "WriteProcessMemory"p.s. для тех кто любит крипт VB, возможно подойдет если Detection rate будет приемлем (кстати hxxp://scan4you.net/result.php?id=aecff_90cfgr один из файлов ).
[/mod]
