Complex Cryptor Test - CCT

[Graxcon]

Данная программа - подопытная жертва для теста крипторов
С помощью неё можно определить - ломает ли криптор файл?

Основные преимущества перед обычным "Hello world" состоит в:
1. Состоит из двух частей
1) Shellcode (написан на MASM32 - вызывает обычное сообщение)
2) Сам CCT - состоит из двух частей
1. Обычный вызов MessageBox
2. MessageBox с криптованнным текстом и заголовком

Если все 3 сообщения успешно выведены - знайте:

1. В первом случае ваш криптор не сломает джойнер (CCT переносит массив шеллкода в себе)
2. Не "забудет", где вызываются API функции (user32.dll, Kernel32.dll и т.д.)
3. Не сломает алгоритмы файла, в том числе и математические (для декрипта сообщения используется обычный xor массива)

Автор: Graxcon

[Ссылки могут видеть только зарегистрированные пользователи.]

p.s. Если понравится - прошу закрепить тему для более удобного тестирования крипторов

[Graxcon]

Уважаемые мошенники! Кто-нибудь тестировал?

[denis7650]

Неожиданно:
NOD32 орет - a variant of Win32/Injector.TLN
Kaspersky орет - HEUR:Trojan.Win32.Generic
а доктор от Данилова пишет clean, cureit тоже

так что нужно одновременно проверять и обычный файл - пустышку для проверки самого криптора на зуб антивируса.
Я обычно использую первую версию пинча для проверки криптора, которую палят почти все антивиры. А только потом, если все ок, криптую и проверяю свой рэт.
А так, ССT - полезен для мгновенной оценки криптора на уродование файла.
спасибо.

[Graxcon]

Цитата:

Сообщение от denis7650

Win32/Injector.TLN

Shellcode потому что вызывается

Цитата:

Сообщение от denis7650

HEUR:Trojan.Win32.Generic

Эвристика, чо

Цитата:

Сообщение от denis7650

А так, ССT - полезен для мгновенной оценки криптора на уродование файла.

Для этого и написан

Цитата:

Сообщение от Graxcon

С помощью неё можно определить - ломает ли криптор файл?

[denis7650]

Спасибо, просто никогда до этого не заморачивался с приставками антивиров...
Теперь... как вижу, тут в приставке детекта антивира прямая причина детекта.
Спасибо.