Обзор Crypt4u.com
Всем шалом. Пропадал на некоторое время по семейным обстоятельствам. Так случилось, что на днях знакомый (он амер) заказывал крипт у Crypt4u.com, попросил меня взглянуть на криптованные файлы, так сказать оценить.
Ну что-ж, я набросал небольшой обзорчик, свои скромные комменты и наблюдения буду выделять синим. И так, смотрим...
Меня поразили некоторые моменты в их логе общения с саппортом:
Overlay не поддерживается.
На крипт был выдан обычный downloader, который тупо грузит через wininet'овские апишки, (адреса которых находятся динамически,) тестовый файл и сохранял на C:\ с именем _dumped.exe.
Мой знакомый попросил их саппорта добавить манифест дабы лоадер запускался с правами AsInvoker, так вот, ему были выданы два ехе, первый 109 кб, и второй, как заявили с манифестом в 149 кб, при том, что оригинальный файл весил 14 кб.
Вырезка из их лога:
Дальше...
из под этих файлов балдели все:
Restorator
Reshack
А о том как CFF Explorer определил импорт, я вообще молчу
@ имхо MSVCRT.dll и MFC42.DLL в крипторе, это моветон, т.к. могут создать кучу проблем при запуске такого криптованного файла на разных машинах и разных SP.
Достаточно вбить в гугле MFC42.DLL в импорте и Точка входа в процедуру MSVCRT.dll, (вы будете удивлены, как часто из за разных версий эти библиотеки портят запуск ехе. Для того чтобы убрать msvcrt, достаточно скомпилить файл в студии с ключем Multi-threaded (/MT))
Олька (ну конечно не 32 бит родная, ну конечно)
чего уж там, WinRar собрался распаковать этот файл (но тщетно)
exeinfo определил их так:
и
конечно, всё это возможно антидебаг штучки, но
имхо файл выгоядит мягко говоря не совсем как стандартное Win32 приложение
имхо криптору лучше бы так не стандартно не выделяться...
Обратим внимание как exeinfo сигнатурно определил файлы:
7-Zip Sfx Archive , Overlay : 7 ZIP archive > Offset : 0000h
Теперь гистогра́мма:
и
Как бы чуть не стандартны соотношения секций, ну да ладно.
Энтропия нормальная.
Ресурсы:
CFF Explorer оказался единственным, кто их хоть как то спарсил
Секции:
Имена секций стандартные, но вот размеры...
Код:
..
и т.д.
Вероятно это мусорный код, и антиэмуляция в одном флаконе, но как уже писал выше, крайне не желательно использовать подобное в крипторах.
Загрузчик не RunPe, ручная настройка хидера, секций, релоков, переход по EP. Вероятнее всего не отработают файлы с tls, вероятно будут проблемы с приложениями, которые попытаются найти свою базу подобно GetModuleHandleA(NULL), а также могу возникнуть проблемы с ресурсами, если перед прыжком на точку входа не пофиксится PEB. (Но это скорее мои догадки, ибо надо тестить...)
На момент выдачи файлы действительно были fud, с момента выдачи прошло 2 дня, файлы естественно нигде кроме чекера не заливались и не могли попасть в базы, но:
по просьбам трудащихся опускаю хайд до 5ти.
Но, это и не гипер-мего-приватный крипт, и я думаю такой результат будет у всех крипторов через два дня, если криптор не ваш личный.
p.s. Мне абсолютно серобурмалиново где и что ты будешь криптовать, окончательный вердикт ложится на тебя %username%, как говорится юзать или не юзать, решать только тебе.
p.s.s. Всем спасибо за внимание.
Всем шалом. Пропадал на некоторое время по семейным обстоятельствам. Так случилось, что на днях знакомый (он амер) заказывал крипт у Crypt4u.com, попросил меня взглянуть на криптованные файлы, так сказать оценить.
Ну что-ж, я набросал небольшой обзорчик, свои скромные комменты и наблюдения буду выделять синим. И так, смотрим...
Меня поразили некоторые моменты в их логе общения с саппортом:
Для тех кто не в танке, расшифрую:
ну вы поняли
Overlay не поддерживается.
На крипт был выдан обычный downloader, который тупо грузит через wininet'овские апишки, (адреса которых находятся динамически,) тестовый файл и сохранял на C:\ с именем _dumped.exe.
Мой знакомый попросил их саппорта добавить манифест дабы лоадер запускался с правами AsInvoker, так вот, ему были выданы два ехе, первый 109 кб, и второй, как заявили с манифестом в 149 кб, при том, что оригинальный файл весил 14 кб.
Вырезка из их лога:
Эм... экстра опция в +50 кб, при том что размер манифеста обычно ~1кб.
Дальше...
из под этих файлов балдели все:
Restorator
Reshack
А о том как CFF Explorer определил импорт, я вообще молчу
@ имхо MSVCRT.dll и MFC42.DLL в крипторе, это моветон, т.к. могут создать кучу проблем при запуске такого криптованного файла на разных машинах и разных SP.
Достаточно вбить в гугле MFC42.DLL в импорте и Точка входа в процедуру MSVCRT.dll, (вы будете удивлены, как часто из за разных версий эти библиотеки портят запуск ехе. Для того чтобы убрать msvcrt, достаточно скомпилить файл в студии с ключем Multi-threaded (/MT))
Олька (ну конечно не 32 бит родная, ну конечно)
чего уж там, WinRar собрался распаковать этот файл (но тщетно)
exeinfo определил их так:
и
конечно, всё это возможно антидебаг штучки, но
имхо файл выгоядит мягко говоря не совсем как стандартное Win32 приложение
имхо криптору лучше бы так не стандартно не выделяться...
Обратим внимание как exeinfo сигнатурно определил файлы:
7-Zip Sfx Archive , Overlay : 7 ZIP archive > Offset : 0000h
Эмм.
Теперь гистогра́мма:
и
Как бы чуть не стандартны соотношения секций, ну да ладно.
Энтропия нормальная.
Ресурсы:
CFF Explorer оказался единственным, кто их хоть как то спарсил
Секции:
Имена секций стандартные, но вот размеры...
Код:
Код:
00401474 |. 6A 00 PUSH 0
00401476 |. E8 47480000 CALL <JMP.&MFC42.#1134>
Код:
00401481 |. E8 36480000 CALL dwnldr.00405CBC
00401486 |. 68 90904000 PUSH dwnldr.00409090
0040148B |. 8B4D AC MOV ECX,DWORD PTR SS:[EBP-54]
0040148E |. E8 23480000 CALL <JMP.&MFC42.#6117>
00401493 |. 6A 04 PUSH 4
00401495 |. 8B4D AC MOV ECX,DWORD PTR SS:[EBP-54]
00401498 |. E8 13480000 CALL <JMP.&MFC42.#4159>
0040149D |. 68 90000000 PUSH 90 ; /Arg1 = 00000090
004014A2 |. E8 D9FCFFFF CALL dwnldr.00401180 ; \dwnldr.00401180Вероятно это мусорный код, и антиэмуляция в одном флаконе, но как уже писал выше, крайне не желательно использовать подобное в крипторах.
Чуть больше кода:
hxxp://pastebin.com/sTn7Q0Ef
hxxp://pastebin.com/sTn7Q0Ef
Загрузчик не RunPe, ручная настройка хидера, секций, релоков, переход по EP. Вероятнее всего не отработают файлы с tls, вероятно будут проблемы с приложениями, которые попытаются найти свою базу подобно GetModuleHandleA(NULL), а также могу возникнуть проблемы с ресурсами, если перед прыжком на точку входа не пофиксится PEB. (Но это скорее мои догадки, ибо надо тестить...)
На момент выдачи файлы действительно были fud, с момента выдачи прошло 2 дня, файлы естественно нигде кроме чекера не заливались и не могли попасть в базы, но:
по просьбам трудащихся опускаю хайд до 5ти.
http://scan4you.net/result.php?id=37e5e_9895jl - 4\31
http://scan4you.net/result.php?id=371a6_989673 - 5\30
http://scan4you.net/result.php?id=371a6_989673 - 5\30
Чтобы не быть голословным, выкладываю оба ехе файла, а также все изображения с топика, но естессно под хайдом:
пасс: %@#%#@%#@%#@%!@$
линк: http://rghost.net/51937943
пасс: %@#%#@%#@%#@%!@$
линк: http://rghost.net/51937943
p.s. Мне абсолютно серобурмалиново где и что ты будешь криптовать, окончательный вердикт ложится на тебя %username%, как говорится юзать или не юзать, решать только тебе.
p.s.s. Всем спасибо за внимание.
