Последнее время смотреть в комерц разделах (имею ввиду малварь) было особо нечего, а с уходом локерщиков так и вообще все глухо. Локеры смотреть не особо интересно, так как там обычно одно и тоже (нашел файлы, пошифровал, разбросал записки). Поэтому, весьма интересно заценить что-то другое, в данном случае - крипт сервис.
Итак, стукнул в жабу Expiro , мне выдали домен и данные для входа. Логинимся. Что видим вначале - удобная админ-панель в сети TOR, мультиязычная (RU/EN). Автоматизация это очень хорошее дело, так как не надо ждать в жабе криптовщика, здесь пополнил баланс, и криптуешь хоть в 3 часа ночи. Баланс также пополняется без участия саппорта. Панель предоставляет ссылки на скачивание на своем сервере и на qaz, файлы сразу отдаются запароленные в архиве и переименованные. Есть история криптов, файл можно скачать снова.
Однако, юзабилити это такое дело, перейдем непосредство к крипту.
Криптор поддерживает все нативные ехе, единственное - в файле должны быть релоки, также не поддерживаются дотнет приложения. Есть проверка - если загрузили неподходящий файл, админка его попросту не закриптует и выведет алерт. Для проверки загружаю ~30 кб файл, обычный хелловорлд. Админка возвращает криптованный билд размером 369 кб. Начинаем смотреть.
Файл представляет собой 32 битное (так как тестовая прога такая же) нативное приложение, анализатор говорит что компилятор 2010 студия, и что файл ничем не упакован (энтропия около 6). Что, конечно, не соответствует истине, так как это криптор, т.е. упакованный файл. Также, в файле присутствует оверлей.
Импорт действительно характерен для студии, генерируется динамически
Иногда (зависит от стаба, видимо) в импорт добавляются другие дллки.
Открываем файл в IDA. Трешген сгенерил подобный код, разобраться в котором весьма сложно - инструкции FPU разбавлены фейк вызовами апи.
Непонятные циклы и подобное весьма усложняют работу реверсеру,
особенно если учесть, что привязаться особо не к чему - строки все скрыты, апи функции особой информативности не несут. Все вызовы VirtuAlloc из импорта никак не связаны со стабом, они либо фейковые (не несущие полезной нагрузки), либо цртшные.
После выполнения мусорного кода криптор динамически находит адреса функций натив апи для работы с памятью, выделяет память, маппит туда расшифрованный изначальный файл и вступает в действие классический PE loader (правка импорта, релоков, передача управления). Технические детали (где что лежит) раскрывать не буду, дабы не упрощать работу аналитикам. Сам РЕ лоадер поддерживает много чего (сех, тлс и т.д.), правда у меня на 1 файле с сех случился сбой, это уже фиксят. Вообще, поддержка SEH это огромный плюс, как и собственно и 64 бит, но если 64 битные стабы другим крипторам, видимо, просто лень кодить (иначе как объяснить их отсутствие у конкурентов?); то поддержка исключений вещь весьма непростая и специфическая.
Пообщался с овнером и командой разработчиков, люди хорошо разбираются в системном программировании, отвечают по сути. Оперативно реагировали на мои замечания по коду. В общем, сервис весьма хороший, и надеюсь , будет успешно работать. Так как спрос на рынке крипторов многократное превышает предложение, и достойных крайне мало. Единственное - советую не снижать цену, лучше пусть будет качество, чем количество.
https://xss.pro/threads/51906/ - тема крипт-сервиса.
Итак, стукнул в жабу Expiro , мне выдали домен и данные для входа. Логинимся. Что видим вначале - удобная админ-панель в сети TOR, мультиязычная (RU/EN). Автоматизация это очень хорошее дело, так как не надо ждать в жабе криптовщика, здесь пополнил баланс, и криптуешь хоть в 3 часа ночи. Баланс также пополняется без участия саппорта. Панель предоставляет ссылки на скачивание на своем сервере и на qaz, файлы сразу отдаются запароленные в архиве и переименованные. Есть история криптов, файл можно скачать снова.
Однако, юзабилити это такое дело, перейдем непосредство к крипту.
Криптор поддерживает все нативные ехе, единственное - в файле должны быть релоки, также не поддерживаются дотнет приложения. Есть проверка - если загрузили неподходящий файл, админка его попросту не закриптует и выведет алерт. Для проверки загружаю ~30 кб файл, обычный хелловорлд. Админка возвращает криптованный билд размером 369 кб. Начинаем смотреть.
Файл представляет собой 32 битное (так как тестовая прога такая же) нативное приложение, анализатор говорит что компилятор 2010 студия, и что файл ничем не упакован (энтропия около 6). Что, конечно, не соответствует истине, так как это криптор, т.е. упакованный файл. Также, в файле присутствует оверлей.
Импорт действительно характерен для студии, генерируется динамически
Иногда (зависит от стаба, видимо) в импорт добавляются другие дллки.
Открываем файл в IDA. Трешген сгенерил подобный код, разобраться в котором весьма сложно - инструкции FPU разбавлены фейк вызовами апи.
Непонятные циклы и подобное весьма усложняют работу реверсеру,
особенно если учесть, что привязаться особо не к чему - строки все скрыты, апи функции особой информативности не несут. Все вызовы VirtuAlloc из импорта никак не связаны со стабом, они либо фейковые (не несущие полезной нагрузки), либо цртшные.
После выполнения мусорного кода криптор динамически находит адреса функций натив апи для работы с памятью, выделяет память, маппит туда расшифрованный изначальный файл и вступает в действие классический PE loader (правка импорта, релоков, передача управления). Технические детали (где что лежит) раскрывать не буду, дабы не упрощать работу аналитикам. Сам РЕ лоадер поддерживает много чего (сех, тлс и т.д.), правда у меня на 1 файле с сех случился сбой, это уже фиксят. Вообще, поддержка SEH это огромный плюс, как и собственно и 64 бит, но если 64 битные стабы другим крипторам, видимо, просто лень кодить (иначе как объяснить их отсутствие у конкурентов?); то поддержка исключений вещь весьма непростая и специфическая.
Пообщался с овнером и командой разработчиков, люди хорошо разбираются в системном программировании, отвечают по сути. Оперативно реагировали на мои замечания по коду. В общем, сервис весьма хороший, и надеюсь , будет успешно работать. Так как спрос на рынке крипторов многократное превышает предложение, и достойных крайне мало. Единственное - советую не снижать цену, лучше пусть будет качество, чем количество.
https://xss.pro/threads/51906/ - тема крипт-сервиса.