Крипт от профессионалов.

[ProfCrypt]

Предоставляю услуги крипта *.exe файлов

О крипте:
☑ C++
☑ Поддержка оверлея.
☑ Размеры стабов 40-80кб.
☑ Не требует дополнительных библиотек.
☑ При каждом крипте стаб всегда уникален.
☑ Смена иконки, упаковка и т.д. по желанию.
☑ Закриптованный файл поддерживается всеми версиями Windows
☑ После крипта ваш файл тестируется на работоспособность

Цена за крипт от 40$.

Контакты:
ICQ - 675-057-555
Jabber - ProfCrypt@fuckav.in

Проверки:
xss.pro/
xaker.name

 

[TrueMind]

При каждом крипте стаб всегда уникален.

3 сэмпла в студию. можно паленые. глянем вашу уникальность

 

[ProfCrypt]

3 криптованых сэмпла:

Спойлер: 20

http://www.sendspace.com/file/dmlrb0 http://www.sendspace.com/delete/dmlrb0/aea...12a07fcab29c591

 

[TrueMind]

пасс на архиве ниче да?

 

[ProfCrypt]

Прошу прощения, пароль 1

 

[ProfCrypt]

Сменился джаббер, контакт в первом посте.

 

[TrueMind]

ТС выдал 3 файлика, чтож, давайте взглянем внутрь под капот...

1. рандомизация ресурсов. тут я не совсем понял. вероятно ресурсы генерятся рандомные, но не совсем.
вот к примеру ресурсы Dialogs:

файло нубмер ван

файло нубмер ту

файло нубмер сри

нихера себе рандомизация диалогов сказал я сам себе но не суть.

Bitmap:

в сл. файле опять такой же битмап. (кажется с дельфовой прожки взяли, не?)

строковые ресурсы:

128 sdghj
Sdghj

Sdghj.Document
Sdghj Document
57344 sdghj
57345 Bereit
57600 Erstellt ein neues Dokument.
Neu
57601 Offnet ein bestehendes Dokument.
Offnen
57602 Schlie?t das aktive Dokument.
Schlie?en
57603 Speichert das aktive Dokument.
Speichern
57604 Speichert das aktive Dokument unter neuem Namen.
Speichern unter
57605 Andert die Druckoptionen.
Seite einrichten
57606 Andert den Drucker und die Druckoptionen.
Druckereinrichtung
57607 Druckt das aktive Dokument.
Drucken
57609 Zeigt ganze Seiten an.
Seitenansicht
57616 Offnet dieses Dokument.
57617 Offnet dieses Dokument.
57618 Offnet dieses Dokument.
57619 Offnet dieses Dokument.
57620 Offnet dieses Dokument.
57621 Offnet dieses Dokument.
57622 Offnet dieses Dokument.
57623 Offnet dieses Dokument.
57624 Offnet dieses Dokument.
57625 Offnet dieses Dokument.
57626 Offnet dieses Dokument.
57627 Offnet dieses Dokument.
57628 Offnet dieses Dokument.
57629 Offnet dieses Dokument.
57630 Offnet dieses Dokument.
57631 Offnet dieses Dokument.
57632 Loscht die Markierung.

ну что-то типа рандомизации, ладно.

версия инфо:

уже писал до этого в др. топе, повторюсь, это не нормально.. как минимум палевно перед юзером.

думаю поняли, что есть над чем поработать, если уж рандомизацией ресурсов занялись.

2. кодогенерация:
используются плюшки сиплюснотого кода:
класс работы с диалговыми окнами

int __thiscall CDialog::_CDialog(_DWORD); 
int __thiscall CFrameWnd::_CFrameWnd(_DWORD); 
int CWinApp::_CWinApp(void);

тут более менее все ок. сгенеренный(?) код похож на код легитимных приложений.

3. зашифрованный файл содержится в ресурсах, в оверлее.
энтропия у файла нормальная.

4. запуск файла происходит с помощью инжекта (RunPe)

5. ах да.. импорт (генерится рандом из kern32, user32, gdi32, psapi etc)
хм, а MFC42u.DLL есть в импорте всех трех файлов... сомнительно как-то, может вызывать лишние баллы для выдачи детекта...

В целом не понятно на сколько файлы генерируются рандомно, или всё же были собраны ручками. Тут хз. Имхо на счет 40 уё пер крипт как то тоже хз. думайте сами.

p.s. понравилось название выданное аверами криптору - шарик

Спойлер: 5

scan4you.net/result.php?id=ed554_7la0ph

 

[ProfCrypt]

Спасибо за обзор, по поводу детектов - были выданы файлы криптованные давними стабами. (вы сами сказали что можно)
Над чем стараться поняли.
Проверка пройдена ?

 

[TrueMind]

Ну во-первых это как вы правильно сказали был скорее обзор нежели проверка.
Во-вторых всё же остались вопросы на счет автоматической(?) кодогенерации и автоматической(тоже вопрос?) генерации ресурсов.

 

[Left4Dead]

4. запуск файла происходит с помощью инжекта (RunPe)

дык это же палит любая проактивка. проффесианально...

З.Ы. хороший крипт RESULTS: 24/35

 

[Ar3s]

[mod][Ar3s:] Проверка пройдена!
TrueMind исследовал достаточно что бы понять, что услуга осуществляется. Соответствие заявленным параметрам так же имеется.
[/mod]

 

[ProfCrypt]

TrueMind, рэндомизация автоматическая.
Left4Dead, прочитай что было изначально написано по поводу палевности и только потом делай правильные выводы.
Ar3s , спасибо.

 

[Left4Dead]

ProfCrypt
насчет древних стабов понятно, а запуск файла с помощью инжекта и "Крипт от профессионалов" это как согласуется между собой? О_о инжект в процесс палится любой проактивной защитой, что не выдаёт пассивное сканирование на scan4you. ты б еще на диск дропнул файл и запустил его через ShellExecute.

 

[TrueMind]

[mod][TrueMind:] Давайте не будем забывать о том, что всё таки это тред об услуге. Все холивары на тему обходов, инжектов етц можем перенести в отдельный топ![/mod]

 

[Pfirter]

я так понимаю, 40 дорого для этого крипта

 

[fft24]

TrueMind

спасибо за обзор и инфу, очень очень интересно!

 

[ProfCrypt]

Значительные обновления софта. Пишем.

 

[ikarius]

Что за обновления?
Список плиз

 

[ProfCrypt]

Возьму на постоянку - хтерм , карберп, андромеду.

 

[ProfCrypt]

Ап. 0/45