Ручной крипт ваших файлов [x86/x64]

[Shpar]

Предоставляю качественный крипт EXE и DLL типов файлов

+ Очень маленький конечный размер чистого файла
+ Быстрая работа файла
+ Поддержка ОС Windows: XP, 2003, Vista, 2008, 7, Server 8, 8, 10
+ Поддерживаемые разрядности ОС: x86/x64
+ Поддержка TLS
+ Поддержка Overlay
+ Работа с любыми ресурсами, релоками
+ Возможность добавления манифеста
+ 100% FUD по avdetect, scan4you


Стоимость разового крипта: 30$
Стоимость недельной поддержки вашего файла: 300$

Крипт осуществляется руками. После крипта файл тщательно тестируется на различных сборках ОС, доводится до оптимальной работы и только после этого передается клиенту.
К каждому файлу индивидуальный подход.
За счет такого метода криптования достигается лучший результат в отстуке, отсутствие нарушений в работе файла, а так же продолжительная живучесть в сравнении с конвеерными, дешевыми методами криптования.


Контакты: Shpar@default.rs

 

[TrueMind]

[mod][TrueMind:] Проверка пройдена.[/mod]

на проверку были переданы 2 файла.

ЯП: C++ (Microsoft Visual C++ ver. ~6.0~7.0)
Хранение криптованного файла: в секции кода (рантайм код отсутствует):

Энтропия: не выровненная:

Импорт: В обоих файлах присутствуют только две библиотеки: kernel32 и user32:
первый файл:

KERNEL_Array[] = {
 GetProcessHeap, 
 GetModuleHandleA, 
 HeapAlloc, 
 HeapFree, 
 FindFirstFileA, 
 FindNextFileA, 
 FindClose, 
 GetTickCount, 
 CreateIoCompletionPort, 
 PostQueuedCompletionStatus, 
 GetQueuedCompletionStatus, 
 GetProcAddress, 
 GetModuleHandleA, 
 VirtualAlloc, 
 VirtualFree, 
 CloseHandle
};

USER32_Array[] = {
 PostQuitMessage, 
 SetWindowPos, 
 BeginPaint, 
 EndPaint, 
 DefWindowProcA, 
 CreateMenu, 
 SetMenu, 
 LoadCursorA, 
 RegisterClassExA, 
 CreateWindowExA, 
 ShowWindow, 
 UpdateWindow, 
 GetMessageA, 
 LoadMenuA, 
 FillRect, 
 SetTimer, 
 PostMessageA, 
 GetDlgItem, 
 LoadBitmapA, 
 SetMenu, 
 GetWindowRect, 
 ReleaseDC
};

второй файл:

KERNEL_Array[] = {
 GetProcessHeap, 
 GetModuleHandleA, 
 HeapAlloc, 
 HeapFree, 
 FindFirstFileA, 
 FindNextFileA, 
 FindClose, 
 GetTickCount, 
 CreateIoCompletionPort, 
 PostQueuedCompletionStatus, 
 GetQueuedCompletionStatus, 
 GetProcAddress, 
 GetModuleHandleA, 
 VirtualAlloc, 
 VirtualFree, 
 CloseHandle
};

USER32_Array[] = {
 PostQuitMessage, 
 SetWindowPos, 
 BeginPaint, 
 EndPaint, 
 DefWindowProcA, 
 CreateMenu, 
 SetMenu, 
 LoadCursorA, 
 RegisterClassExA, 
 CreateWindowExA, 
 ShowWindow, 
 UpdateWindow, 
 GetMessageA, 
 LoadMenuA, 
 ReleaseDC, 
 GetCursorPos, 
 LoadCursorA, 
 GetWindowDC, 
 SetDlgItemTextA, 
 MessageBoxA, 
 LoadMenuIndirectA, 
 EnumWindows, 
 EnableWindow
};

и если user32 хоть немного отличается, то на обоих файлах апи остаются из кернел32 статичными!

антиэмуляция: атаки на тайминг, использование результата выполнения редких апишек, и манипуляции с результатом.

00406976  |.  53            PUSH EBX
00406977  |.  56            PUSH ESI
00406978  |.  8B35 1C904000 MOV ESI,DWORD PTR DS:[<&KERNEL32.GetTick>;  kernel32.GetTickCount
0040697E  |.  57            PUSH EDI
0040697F  |.  FFD6          CALL ESI                                ; [GetTickCount
00406981  |.  85C0          TEST EAX,EAX
00406983  |.  74 06         JE SHORT ForTest1.0040698B
00406985  |.  FFD6          CALL ESI                                ; [GetTickCount
00406987  |.  8BD8          MOV EBX,EAX
00406989  |.  EB 03         JMP SHORT ForTest1.0040698E

мусорный код похоже автор крипта добавляет вручную.

загрузчик: мэппинг файла в памяти и переход по ЕП, не ранпе

из плюсов хотелось бы отметить итоговый размер файла + ~13-15kb