Криптография и криптовка
Что вы узнаете из данной статьи:
- В чём разница между скантаймом и рантаймом? - Разница между «уник» и «паблик» стабом. - Прогруз файла в браузере - Смартскрин - И многое-многое-многое другое!
Что такое крипт файла и зачем он нужен?
Если данную статью читают совсем новички, то придется объяснять с азов. Грубо говоря, файл криптуют, чтобы для антивирусов этот файл выглядел белым и пушистым. То есть его можно скачать и запустить, без каких-либо последствий со стороны этого самого АВ(Антивирус).
В общем-то, на этом задача крипта заканчивается. Но народные легенды постепенно начали приписывать, ему (крипту то бишь) совершенно волшебные свойства, и теперь в 2022 году, «грамотный крипт» разве что не лечит лейкемию.
Системы активных и проактивных защит ОС
Что такое крипт разобрались. Верно? Теперь разложим по полочкам следующий вопрос, о котором мало кто понимает в общем и целом, и над некоторыми аспектами в частности. Итак, рассмотрим все системы защиты от и до по порядку. По каждому из пунктов пройдемся дополнительно в дальнейшем.
1) Прогруз файла в браузере – обозначает «способность» файла проходить проверку браузера и не выдавать разного рода алерты (файл опасный, файл потенциально опасный, файл редко скачивается, файл заблокирован и т.д.). Прогруз должен работать просто – файл скачался и готов к открытию. Всё! Без иных вариантов.
2) Статичная проверка антивируса или ScanTime – АВ проводит проверку прямо внутри браузера при скачивании файла. За успешное прохождение отвечает хороший крипт. Эта опция иногда может быть отключена, у некоторых антивирусов, таким образом, скантайм проверка выполняться не будет.
То есть подведем промежуточный итог – для того чтобы файл скачался без проблем и без алертов, должны быть пройдены 2 системы защиты – браузера и антивируса.
3) Динамическая проверка АВ при запуске или так называемый RunTime – при запуске файла АВ начинается активно его проверять по своим алгоритмам. За прохождение отвечает крипт, который должен выдержать эту проверку. Если что-то не понравилось – болт. О разнице между скантаймом и рантаймом поговорим чуть попозже. А о рантайме, где всё до крайности непросто, уделим отдельный блок статьи.
4) Смартскрин – еще одна система проактивный защиты, не связанная с антивирусом. Проверяет подпись файла и его сертификацию. Если что-то не нравится, начинает задавать вопросы на тему: «Уверены, что хотите запустить файл?». Логика работы вне человеческой сферы понимания. Рассмотрим отдельно, ибо информации насчет смартскрина вы нигде больше не найдете.
То есть подведем окончательный итог – для того чтобы файл запустился без проблем должны быть пройдены еще 2 системы защиты – динамической проверки антивируса и смартскрина. Если ваш билд рабочий (а многие крипты убивают работоспособность билда, кстати) – получите долгожданный отстук в панель.
Проверяем крипт на качество – шаг первый
Если у вас варит мозг или уже есть опыт, то вы должны сходу подумать о том, что криптованный файл надо где-то проверять на работоспособность и способность обходить системы защиты, в частности антивирусов. И если проверять файл на тот же прогруз - это быстро и просто, то вот проверить файл на обход защиты антивирусов, коих десятка 3 наберется, уже задача, мягко говоря, проблемная.
Именно поэтому были придуманы разного рода чекеры на вирусы – от общеизвестного ВирусТотала (ВТ), который сливает всё врагам (логично - это его работа), до якобы теневых чекеров, которые ничего не сливают (авчек и сканмайбин, динчек не актуален).
Логика работа простая – вы загружаете файл, отмечаете галочками АВ, которые вас интересует. Жмякаете кнопочку и дожидаетесь результатов проверки.
В чём разница между скантаймом и рантаймом?
В данном посте я сразу отвечаю на 2 конкретных вопроса:
- Что из себя вообще представляет процесса крипта файла?
- Почему 99% крипторов не занимаются райнтаймом?
Итак. Давайте очень упростим для скорости, иначе тут можно смело книгу садиться писать.
Чтобы сделать крипт, прежде всего, нужен некий «криптографический модуль». Который покупается, либо делается с нуля. Дальше на основе этого модуля создаётся стаб (упрощаю объяснение как могу без лишней теории). Ну а дальше можно сажать любую обезьяну, которая будет нажимать на кнопку, и получать готовый файл.
Поэтому если вы встречаете саппорта, который вообще ни в зуб ногой в теме и орёт матами, какие все тупые – то обезьянЪ детектед. Человека просто посадили нажимать кнопку и на этом всё. Больше вам он ничем не поможет.
Всё вышеперечисленное справедливо ТОЛЬКО для скантайма. Ибо модулей, которые бы позволили автоматически криптовать файлы под рантайм не существует ввиду разницы в … назовём это так … технологической природе процесса. И выходит, что чистить рантайм - это строго ручная и кропотливая работа.
Важнейшее замечание – Ввиду трудозатратности и средней цены за крипт на рынке (20-50 баксов), сервисам заниматься чисткой рантайма никакого смысла нету. Логичный вопрос на тему: «На кой хер нужен чистый скантайм, если там по рантайму 100500 детектов?» перенесем в следующую тему.
Что такое рантайм?
Повторимся. Рантайм – это когда вы запускаете файл, антивирус сканирует его и убеждается, что опасности процесс не представляет. А файл между тем делает свои темные делишки. Уже исходя из этого, можно убедиться, что процесс чистки рантайна намного сложнее, чем сделать чистый скантайм. И чистка рантайма никакого отношения к крипту НЕ ИМЕЕТ.
Рантайм не использует алгоритмы того самого модуля, который используется для крипта на скантайм. Опять же – чистота рантайма большей частью зависит от чистоты билда, которым занимается создатель вашего софта. Рантайм бывает двух типов – static detect и dynamic detect.
Крипт на скантайм и рантайм – это совершенно две разные операции, лежащие в совершенно разных областях! И они никак не пересекаются между собой.
Разница между «уник» и «паблик» стабом?
Как я уже писал, нынешний крипт с точки зрения школоты и прочей шудры, разве что не лечит от онкологии последней стадии. А еще даёт просветление и генерирует биткоины каждый день. Крипторы охреневают от подобных предъяв, и паблик рынок лишается последних адекватных профессионалов
Прежде всего «уник стаб» подразумевается тем, что он сделан индивидуально под необходимое вам ПО. Для тех, кто еще не понял: модуль – стаб – крипт. Таким образом, если предположить что криптор «создал» уник стаб под конкретного клиента, исходя из показателей «живых машин» и свёл его в FUD=0 по скантайму. То вы можете взять билд, запихать его в архив под паролем, подержать недельку на облаке, потом достать, чекнуть и там по прежнему будет FUD=0
Важнейшее замечание – Не забывайте, что чек на живых АВ убивает крипт. Данный метод используется ТОЛЬКО для проверки качества криптосервиса, а не для постоянной проверки криптованного билда.
В свою очередь паблик «стаб» сделан по принципу – один для всех. И срок жизни такого крипта крайне ограничен. Поэтому его обычно делают сразу перед проливом и надеются, что он не сдохнет через 5 минут.
Ну и надо понимать, что у качественного уник-стаб под ваше ПО обычно ценник идет за аренду в месяц под безлимитный крипт файла. Ибо никому неинтересно, сколько вы там собираетесь раз его использовать. Цена от 1К и выше.
Прогруз файла в браузере
То, с чего начинается путь земной вашего файла. В идеале, должен быть без алертов а ля - файл опасный, файл потенциально опасный, файл редко скачивается, файл заблокирован. В ином случае, можете забыть про 99% отстука.
Прежде всего, надо понять две базовые вещи:
- Прогруз самого файла в браузере от крипта НЕ ЗАВИСИТ! Обратное тоже верно – даже самый лучший крипт, прогрузу не поможет! Ибо это разные вещи. Совсем разные.
- Проверка файла браузером и антивирусом – это две разные проверки.
Важнейшее замечание – Еще раз. Вначале при загрузке файла идет проверка файла браузером (особенно когда файл грузится и мигает, крутиться значок загрузки). Затем после скачивания начинается проверка файла антивирусом (если этот модуль активен).
Подготовить файл для прогруза в браузере задача сложная и многофакторная. И пути её решения, конечно же, никто палить не будет Бонусом гугл тоже на месте не стоит и постоянно вводит новые условия. В общем и целом, для разрешения задачи нужно по минимуму иметь:
Определенную подпись\сигнатуру Сертификат Крипт (ну это уже логика - ибо чистый билд лучше не палить в гугле) Чистый IP домена и хостинга
То есть, как вы заметили, крипт файла и подготовка уже криптованного файла для прогруза в браузере – задачи совершенно разные. Адекватный криптор с прямым руками может помочь в этой проблеме, но обычно не хочет. Почему? Спасибо школоте, которая начала это требовать чуть ли не с претензиями и истериками.
Важнейшее замечание – крипт есть крипт. Прогруз есть прогруз. Не мешайте всё в кучу. Каждая задача требует отдельного решения.
Смартскрин
Последний рубеж обороны виндоус 10. Головная боль логоводов. И сомнительной полезности вещь для рядового пользователя.
Судя по всему, система должна была проверять сертификацию файлов и брать на карандаш файлы без доверенного сертификата.
По факту смартскрин работает как наркоман под смесью DMT, LSD и мухоморов. Блокирует хорошие файлы, пропускает плохие. Не обращает внимание на недоверенные файлы и ругается на файлы с валидной подписью. Причем совершенно рандомно.
В среднем около 30% машин имеют табличку от смартскрина «хотите установить файл? Подпись не удалось проверить». Конверт - это нормально так режет …
Увы и ах, гарантированных методов обхода не существует. Обычный валидный сертификат, проблему не решает полностью. Как показала практика, использование валидного сертификата, кои продаются за 200-300 баксов, снижают появление окошка примерно в 1.5-2 раза. Стоит ли оно тех денег? Тут каждый решает сам.
Важнейшее замечание – Бывают ситуации, когда смартскрин не пропускает файл, который имеет валидную лицензию или цифровую подпись, купленную официально за кровные деньги. Это связано с тем, что загрузов этого файла слишком мало. Накрутка не поможет, можете не стараться. Официально считается, что помогает лицензия разработчика расширенного образца. А так же бывают ситуации, когда файл без сертификата и подписи открывается без вопросов. Некоторые АВ, при открытии файла действуют именно по этой схеме, даже если он кристально чистый.
Опять же либо только смириться, либо использовать валидный сертификат. Можно попробовать купить самому – это существенно сэкономит средства. У комодо он стоит всего лишь 80-90 долларов. Дерзайте.
Цена за паблик-крипт (скантайм):
10-50$ В принципе цена зависит от используемого алгоритма и чистоты скантайма. Покупая крипт за 10 долларов, вы получаете соответствующее качество. Дороже крипт – лучше качество. Как показывает практика, крипторы, которые еще делают нормальный и адекватный паблик-крипт остались.
Вообще есть золотое правильно - крипт за 10-15 баксов, это не крипт, а бесполезная имитация
Так же уточняйте, у многих в цену крипта (которые стоят по 30-50$) в услугу может входить помощь с прогрузом. По крайне мере раньше входила, пока гугл с концами не пережал все гайки.
Цена за уник-крипт (скантайм+рантайм):
тут надо понимать 2 варианта ситуации. Прежде всего криптор, который может сделать уник стаб, так же может почистить и рантайм. Но это не относится к крипту! Еще раз: рантайм никакого отношения к крипту не ИМЕЕТ! И услуга скорее всего должна будет оказываться совместно. Обычно разовый крипт под уник стаб стоит около 100$-150$ + очистка рантайма. Месячная аренда уник стаба под себя стоит 1-2К.
Что по итогу?
Запасаемся деньгами, попкорном и идем искать всех крипторов на рынке. Составляем список. Уточняем, через что он проверяет скантайм. Сами обязательно проверяем крипт на живых машинах. Если расхождения нет – поздравляю! Если есть – пробуем договориться и предоставляем доказательства. Если не послали нахер – поздравляю! Если послали – ищем дальше.
Важнейшее замечание – копание в говне обычно всегда даёт результаты! Не сдавайтесь. Адекватные крипторы есть, их надо просто найти.
Наш чат: https://t.me/+5qx52gpjkfRiYWQy
Канал: https://t.me/+fN7NR-nVvmsxYWRi
Оригинал статьи: https://lolz.guru/threads/3991180/#post-31729829