ANTICHAT — форум по информационной безопасности, OSINT и технологиям

в таких случиях ножно проверять а не тратить время на никчемный пост

сори за ОФ ТОП

А по делу вроде все норм паковка FSG 2.0

можно распаковать но лень возиться с импортом
без распаковки говорить пока не очем

фаил чист

размыщление о криптографии
взял я как то криптор RCryptor 1.6с и задался целью унать как же всетаки детектяк антивири
так как этот криптор в паблике то можно смело тестить на джоти (хотя это тоже зло)
итак открываем криптованый пинчь от слеша в ольги при этом отключаем анализ (чтоб не мутил воду)и смотрим 3 цикла декриптора
т.е к каждой секции криптор пременил свой алгоритм криптовки хор итак начинаем их уберать забивая нопами и видм и отпровляем на проверку (моя цель не прятать от каспера так как у него эвристик почти не работает и он детектит только по стабу по этому он нас не интересует стоит немного изменить стаб и все про каспера забыли) прокручу вперед нудную проверку и вот результат все палят только по первому циклу дальше наверное их не интересует смотрим цикл декрипта

13178015 B8 00101413 MOV EAX, pinch.13141000
1317801A 3D 007E1413 CMP EAX, pinch.13147E00
1317801F 74 06 JE SHORT pinch.13178027
13178021 8030 D7 XOR BYTE PTR DS:[EAX], 0D7
13178024 40 INC EAX
13178025 ^ EB F3 JMP SHORT pinch.1317801A

думаю разберать его нет смысла и так все ясно хотя для навечков напишу чтоб было понятно

MOV EAX, pinch.13141000 вставляет значение 13141000 в операнд EAX (13141000 это значение соотвецтвует началу кода криптованой программы т.е пинча)
CMP EAX, pinch.13147E00 сравнивает значение операнда EAX с 13147E00 (естественно оно отличаеться потому как мы только что воткнули туда 13141000 )
JE SHORT pinch.13178027 так как после сравнения выше результат был не равны по этому ничего не делаем если же подходит то прыгаем и цикла дальше (13147E00 это значение конца кода тоесть секции кода)
XOR BYTE PTR DS:[EAX], 88собственно дешифровка (берет значение еах из дампа а там находиться криптованый кусок програмы раскриптовывает и ставит на место)
INC EAX прибовляет 1 к EAX (если там было 13141000 то будет 13141001 что соотвецтвует второму символу кода криптованой программы)
JMP SHORT pinch.1317801A это прыжок на (CMP EAX, pinch.13147E00) и цикл повторяеться
за исключением того что в еах значение 13141001 и происходит декодировка второго символа
ИТД как ты понял после так этого цикла все байты криптованой
программы кода реаскриптовываються и значение еах становиться 13147E00 тогда при сравнении нас выкидывает из цыкла

надеюсь сечас стало все понятно так как я убил на эту писанину 2 мин
если нет то СРОЧНО прекрати читать дальше и посмотри мультики по ТНТ будет полезнее

ой о чем это я ах да криптовка теперь о решении задачи есть 2 варианта а то и больше если быть точнее то нод детектит именно вот это XOR BYTE PTR DS:[EAX], 0D7 ну а если еще точнее то его эвристик заходить по этому алгоритму 0D7
ракриптовывая этот кусок программы и арет вывод нужно запутать эвристик так чтобы нод замучился искать хе хе и не только он
к примеру можно закриптовать этот кусок предварительно вставив туда декриптор если хватит места ибо его там не очень много я имею в виду свободного можно попробовать закинуть цифру алгоритма в стек и ли еще куда ну это вам решать удачной криптовки


п.с
если что не так извеняйте голова болит жудко (похмелье) Парни с праздником вас !

сегодня криптонул криптером 3 месячной давности вот результаы

AhnLab-V3 2008.2.22.0 2008.02.22 -
AntiVir 7.6.0.67 2008.02.22 -
Authentium 4.93.8 2008.02.24 -
Avast 4.7.1098.0 2008.02.23 -
AVG 7.5.0.516 2008.02.24 -
BitDefender 7.2 2008.02.24 -
CAT-QuickHeal 9.50 2008.02.22 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.02.24 -
DrWeb 4.44.0.09170 2008.02.24 -
eSafe 7.0.15.0 2008.02.21 suspicious Trojan/Worm
eTrust-Vet 31.3.5557 2008.02.23 -
Ewido 4.0 2008.02.24 -
FileAdvisor 1 2008.02.24 -
Fortinet 3.14.0.0 2008.02.24 -
F-Prot 4.4.2.54 2008.02.23 -
F-Secure 6.70.13260.0 2008.02.23 Suspicious:W32/Malware!Gemini
Ikarus T3.1.1.20 2008.02.24 -
Kaspersky 7.0.0.125 2008.02.24 -
McAfee 5236 2008.02.22 -
Microsoft 1.3204 2008.02.24 -
NOD32v2 2898 2008.02.23 unpack error
Norman 5.80.02 2008.02.22 Suspicious_F.gen
Panda 9.0.0.4 2008.02.24 -
Prevx1 V2 2008.02.24 -
Rising 20.32.62.00 2008.02.24 -
Sophos 4.26.0 2008.02.24 Sus/UnkPacker
Sunbelt 3.0.893.0 2008.02.23 -
Symantec 10 2008.02.24 -
TheHacker 6.2.9.228 2008.02.23 -
VBA32 3.12.6.1 2008.02.21 -
VirusBuster 4.3.26:9 2008.02.24 Packed/FSG
Webwasher-Gateway 6.6.2 2008.02.24 Win32.Malware.gen#FSG (suspicious)

даже 6/32 - плохой результат, хотя для паблика..... так себе

Если кому надо, криптану нахаляву пинча от слеша 2.99. Другие не криптану!
Результат крипта так себе... Но каспер и нод не палят.
Кому надо, пишите в личку и давайте сразу линк на скачку файла в архиве под пассом. Как криптану, напишу с линком для скачки

Killerkod а идея хороша вот только сколько твой сервис по криптовке продержиться если все начнут его тестить кто нить да и кинет на вирус тал

а по делу воть после твоего крипта если сжать фаил spack ом эфект будет круче палить будет только 4 антивиря

тут важно не то, сколько запалили, а сколько нет, а важно что запалило... Для меня если после крипта каспер, нод, аваст не палят, то это гуд.

Вот такой результат:
Кому надо, также криптану пинча от слеша. Пишите в личку и оставляйте сразу линк для скачки пинча в архиве

Если спалят, то почищу заново)))Мне это надо лишь для набора опыта...