• XSS.stack #1 – первый литературный журнал от юзеров форума

Handy Crypt - крипт exe/dll

  • Автор темы Handy Crypt
  • Дата начала

В этой теме можно использовать автоматический гарант!

Новая сделка
Отслеживать

Handy Crypt

Гость
Handy Crypt

========

Крипт-сервис, способный облегчить жизнь.


Подключение происходит в два этапа: первый - получение от вас файла или файлов, создание под него конфигурации и выдача на проверку чистоты и отстуков. Второй - когда вас устроит результат, вы получаете действительную в течении оплаченного периода работы ссылку на скачивание чистого результата. Пример ссылки:

https://domain.com/I9n7Zz90WadX829

Данный URL содержит содержит прямую ссылку на чистый файл, которую вы можете использовать на протяжении всего времени работы.


Каждый раз, когда вам требуется забрать чистый файл вы просто забираете результат по ссылке. Под ваш файл будет подготовлено столько чистых стабов, сколько потребуется в зависимости от задачи (например, вам необходим файл без детектов пять раз в сутки, следовательно, каждый раз по ссылке вы будете забирать абсолютно новый чистый файл с другим md5, закладывается столько чистых стабов, сколько это необходимо для задачи, раз в сутки они обновляются).



Разовые крипты отсутствуют. Причина: подготовка нескольких первоначальных стабов занимает время (от двух до пяти часов). Под первоначальным стабом понимается определение структуры каждого отдельно взятого файла и создание конфигурации стабов под него.

Ценник

Гибкая система оплаты. При определении ценника учитывается количество продуктов с которыми необходимо работать, количество файлов и необходимое Вам количество чистых стабов в сутки, поэтому ценник для каждого случая уникален. Например, если у вас один продукт и вы будете забирать обновление один раз в сутки, ценник составит 1500 в месяц. Если у вас один и тот же продукт, но несколько файлов (например, два) и забирать результат по обоим файлам вы планируете один раз в сутки, ценник составит 1750 в месяц. Для каждого файла существует своя уникальная ссылка. Не следует забирать результат два или три раза подряд, потому что стабы в системе маркируются как "использованные" и выбирается следущий по списку, таким образом, дойдя до конца списка, вы будете получать последний стаб, пока не будет залито обновление.

Формы оплаты: BitCoin и PerfectMoney.

Оплата принимается либо за две недели, либо за месяц.


Всего на текущий момент может быть подключено четыре клиента.


Контакты:
======================

Jabber: handy_crypt@jabber.se
 
столько букОф, а где инфа о ЯП, размеру стаба, и выложите хотя б скрины дизасмов двух-трех сэмплов, а то как то не ясно с вашими ссылками получилось.
 
[mod][Ar3s:] Проверка пройдена!
Время крипта - примерно 4 часа. (говорят делали стаб под андромеду)
Размер стаба: 26 кб.
Результат крипта: тыц
Работоспособность файла: сохранена
[/mod]
 
столько букОф, а где инфа о ЯП, размеру стаба, и выложите хотя б скрины дизасмов двух-трех сэмплов, а то как то не ясно с вашими ссылками получилось.
ЯП = Си + ассемблер, ЯП в данном случае уже неважен, это не VB :)
Размер стаба - выше, порядка 26Кб.
Дизасм мало что даст, проверка пройдена. Время, которое потрачено на неё - это время создания стаба с нуля, следующие будут генерироваться быстрее.
 
как дизасм мало что даст? как раз дизасм всё и скажет за вас.
ar3s чекнул ваш крипт на работоспособность и на детекты, что свидетельствует о том, что вы предоставляете услугу, а о её качестве без дизасма просто невозможно судить.
 
ТС залил 4 сэмпла, чтож
у файлов рандомная таблица импорта, фэйковые апи функции, а также присутствует мусорный код.
энтропия низкая, файл хранится в кодовой секции, секция импорта видимо смержена с кодосекцией.
генерируются фэйковые версия инфо, манифест и иконка (иконка имхо не совсем хорошо морфится, т.к. такой морф можно выделить ибо не стандартно - здравствуй бит дефендер с командой (+5 детектов сразу :) )).

сгенеренные фэйк апи выглядят примерно так:
Код: 
.text:01008056                 mov     [ebp+var_1C8], eax
.text:0100805C                 lea     esi, aYdoyanobhsqbqd; "YdOyaNobHsqbqDc"
.text:01008062                 push    esi
.text:01008063                 lea     eax, aUeketuGwg; "ueKEtu Gwg"
.text:01008069                 push    eax
.text:0100806A                 call    ds:StrCmpIW

ну мусор не слишком крут, нет ни циклов, код плоский, нет ветвлений толком, кодоанализатор может выделить из этого шаблон (надо бы сделать менее шаблонной генерацию имхо например эво-ген заеб*т):
Код: 
if ( dword_101BB10 )
  {
    --dword_101BB10;
    dword_101BB0C = a2;
    dword_101BB08 = a3;
    dword_101BB04 = a1;
    PathRemoveBlanksA("C:\\iimys\\kbCr\\vtjwp\\kzrWxp\\rmkEonn\\iqdrrC.jrs");
    a1 = dword_101BB04;
    a3 = dword_101BB08;
    a2 = dword_101BB0C;
  }
  if ( dword_101B540 )
  {
    --dword_101B540;
    dword_101B53C = a2;
    Buffer = a3;
    dword_101B538 = a1;
    dword_101B534 = GetFileAttributesW(L"c:\\qrTaEsm\\vszk");
    a1 = dword_101B538;
    a3 = Buffer;
    a2 = dword_101B53C;
  }
  if ( dword_101C074 )
  {
    --dword_101C074;
    dword_101C070 = a2;
    v8 = a3;
    dword_101C06C = a1;
    dword_101C060 = GetDesktopWindow();
    a1 = dword_101C06C;
    a3 = v8;
    a2 = dword_101C070;
  }
  if ( dword_101B930 )
  {
    --dword_101B930;
    v9 = a2;
    dword_101B92C = a3;
    v10 = a1;
    lstrcmpA("jq sniRRJwktd", "qkwR ");
    a1 = v10;
    a3 = dword_101B92C;
    a2 = v9;
  }

и так практически до конца...
но главное ведь чтобы не палилось, не так ли?:)
 
но главное ведь чтобы не палилось, не так ли?

у файлов рандомная таблица импорта, фэйковые апи функции, а также присутствует мусорный код.
да, так и задумывалось. более того, то, что автор назвал "мусорным кодом" генерируется каждый раз случайно. основной код - тоже отлично морфится.

иконка имхо не совсем хорошо морфится
автор поста считает, что генератор математических фракталов - это "не совсем хорошо морфится?" что тогда представляет собой хороший морф? ;)

+5 детектов сразу )
увы, их нет. очень хотелось бы получить детект по иконке, чтобы было легче, но увы.

нет ни циклов, код плоский, нет ветвлений толком
разве не плоский код - признак совершенства? с каких пор?

кодоанализатор может выделить из этого шаблон
каким образом, если код каждый раз разный?

имхо например эво-ген заеб*т
увы, этого тоже не произошло.

но главное ведь чтобы не палилось, не так ли?
не только. главное - отсутствие детектов, отличная поддержка, обновления и рабочий код, не ломающий структуру кода и стабильность.
 
да, так и задумывалось. более того, то, что автор назвал "мусорным кодом" генерируется каждый раз случайно. основной код - тоже отлично морфится.

Код: 
if ( dword_101C074 )
 {
   --dword_101C074;
   dword_101C070 = a2;
   v8 = a3;
   dword_101C06C = a1;
   dword_101C060 = GetDesktopWindow();
   a1 = dword_101C06C;
   a3 = v8;
   a2 = dword_101C070;
 }
 if ( dword_101B930 )
 {
   --dword_101B930;
   v9 = a2;
   dword_101B92C = a3;
   v10 = a1;
   lstrcmpA("jq sniRRJwktd", "qkwR ");
   a1 = v10;
   a3 = dword_101B92C;
   a2 = v9;
 }

по данному шаблону можно косвенно выделить шаблонный код. я не говорю что это очень плохо, но есть куда стремиться. об этом много мусолилось в темах о кодогенерации, нет желания еще раз повторяться.

автор поста считает, что генератор математических фракталов - это "не совсем хорошо морфится?" что тогда представляет собой хороший морф? ;)

формат вашей иконки не типичен для стандартных программ (взгляните на любое легитимное приложение, и поймете о чем я. как минимум группы разрешений статичные, однотипные и если уж делать морфер иконок, то действительно рандомный полностью, но не суть, вам же не выдают пока-что детект по иконкам. хотя это и может стать косвенным признаком, добавляющим баллы при сканировании у некоторых ав, случаи были, взгляните в васм...)


+5 детектов сразу )

увы, их нет. очень хотелось бы получить детект по иконке, чтобы было легче, но увы.

эм
xttp://scan4you.net/result.php?id=da3f4_7le5ll
. Я понимаю, что файл уже паленый и возможно побывавший в миру, но детект от аваста ево-ген присутствует, что говорит о том, что вам выдали детект по формальным признакам (возможно и по шаблонам кодогенерации в том числе), и что если была бы именно сигнатура, выдали бы статический детект, не эвристику.

разве не плоский код - признак совершенства? с каких пор?
чем запутанней граф потока управления кода, тем кодоанализатору сложнее обработать все выполняемые ребра графа, если же код плоский, то всё сводится к банальному конвеерному скану кодоанализатором и принятия действий соответствующих логике.

каким образом, если код каждый раз разный?
код разный, но шабон выявляется. я уже писал об этом выше, вчитайтесь.

увы, этого тоже не произошло.
ответил выше.

не только. главное - отсутствие детектов, отличная поддержка, обновления и рабочий код, не ломающий структуру кода и стабильность.

>рабочий код, не ломающий структуру
вам виднее :)
я как бы не говорю что у вас всё плохо, напротив качество довольно не плохое, но есть над чем поработать еще.

p.s. имхо генерить вероятно стоит более осмысленные текстовые строки как минимум в версии инфо. Каляки-маляки (nXubSmWoBI etc) вероятно тоже могут быть поводом у каких-нибудь параноидальных ав, или как минимум название компании, что отобразится в експлорере при наведении мыши на криптованном файле у юзера не особо вселит доверие к такому файлу. задумайтесь.
 
надо бы сделать менее шаблонной генерацию имхо например эво-ген заеб*т
что за бред? эвоген никогда не палит по коду, а так же никогда не смотрит какой именно импорт. никогда.
 
что же тогда по вашему палит эво-ген?
исключительно хидер, да так тупо, что заметает калькуляторы, фотошоп и прочее... у меня в сутки по 5-6 палев приходит на один билд типа "если секция ресурсов от 50 до 1231233 байт и первая секция .text то детект".
 
детект ево ген несет в себе множество признаков. к примеру размер и порядок секций етц. при псевдо-повторных цепочках кода можно выявить статистику. и да, при чистках некоторых сигнатур в крипторах эво-ген уходил. доказывать ничего не буду, т.к. мне пох на ево-ген, пишу о том, с чем сталкивался.
 
а ничего и не надо доказывать, отлаживайте аваст и смотрите, вся процедура детекта евоген умещается на полэкрана, сравнивает ячейки из хидера с потоком из сигнатуры.
повлияли импорты? - размер дирректории, размер IAT, размер секции наконец...
 
согласен с постом 15, в процедуре два je перехода.. на их основе выставляется вердикт evo-gen или нет.
 
согласен с постом 15, в процедуре два je перехода.. на их основе выставляется вердикт evo-gen или нет.

а что с чем сравнивается и какие пороговые значения? можно кусок листинга или хотя бы адрес где это можно увидеть? (ежели не затруднит конечно)
 
Народ а чего вы автору топик засрали то ? Главное что не палится, все остальное он поймет в процессе чисток и получше вас. В обще можно делать очень классную структуру и не придется извращатся с антиэмулятором кода.
 
Народ а чего вы автору топик засрали то ? Главное что не палится, все остальное он поймет в процессе чисток и получше вас.

автор наверняка счастлив, ему топик апается постоянно :D

В обще можно делать очень классную структуру и не придется извращатся с антиэмулятором кода.

примеры в студию <_<
 
Подчистить не проблема. Просто не хочется прерывать конструктивную беседу. Она может послужить примером многим другим криптерам. Да и просто сэллерам проходящим у нас проверки.
 
admin


Напишите ответ...
Верх