Привет. Вся история начинается с того, что Гл. Модератор попросил меня проверить "крипт", который продавал один пользователь. И пересылает мне файл: У меня сразу возникли 2 вопроса: Как можно закриптовать файл, сжав 6 мб до 44 кб? Почему файл называется loader1.exe Первое, что приходит в голову, что это лоадер. Но я точно знаю, что лоадер и крипт - это разные вещи. Естественно нужно подтвердить свою теорию. Смотрим анализ DiE (Detect It Easy): Но даже наличие Confuser(Ex), нас не остановит. Прогоняем файл через de4dot mod by kao и открываем в dnSpy. И сразу открою точку входа (функция main): Видим вызов 4 функций, Q4 -> Q1 -> Q3 -> Q2 , правильный порядок для корректной работы. Q4 - генерирует путь до файла, в папке temp, с расширением .tmp, а потом меняет его на .vbs: Q1 - запись из ресурса в файл .vbs: Q3 - Запускает .vbs скрипт (о нем позже): Q2 - ждет окончания выполнения скрипта и удаляет его (WaitForExit прописан в Q3): А теперь перейдем к тому самому vbs скрипту: VBS - Visual Basic, выполняются такие скрипты в оболочке PowerShell. Честно скажу: этот язык я не знаю. Но просто просматривая названия функций, очень не сложно догадаться, что это загрузчик. Так же там находится какая-то форма, но в точке Main и в других функциях это форма не вызывается. Посмотрим же на саму тему: Подведу итог: За 10$ вы получаете даже не крипт, а просто лоадер. Лоадер с зависимостью и где половина функционала не соответствует описанию (не говоря о том, что предлагается крипт, а дают лоадер). Почему написал эту статью Другая версия: https://telegra.ph/Analiz-kripta-ot-Helex-SupremeSellerr-09-02