R0 CREW

Исполняемый файл XORит бинарник

В общем, есть .exe файл, который в HEX редакторе вообще ничего не показывает, ни строчки. Есть также старая версия этого же исполняемого файла в котором все строки и значения лежат в бинарном виде, не зашифрованы короче.

Ковырялся в исполняемом файле и нашел что после запуска он прогоняет цикл по этой области, вот думаю, после запуска небось обратно XORит исполняемый файл, делая его читабельным для системы.
Кто может глянуть на скрин и сказать, что это может быть

https://ibb.co/kcgpb8

для полной картины нужен код выше видимой части дампа и код обработчика исключений.

09a857b…09a8583 - antidebug trick
09a85ba…09a85c2 - antidebug trick

09a8584…09a8590 - obfuscation
09a85c3…09a85c7 - obfuscation

09a85a5…09a85ac - set SEH frame
09a85ca…09a85d3 - clear SEH frame

остальной код что-то такое

kk = 1
for j in range(len_src):
c = ord(src[j])
for i in range(8):
k = (kk & 1) << i
c ^= k
kk <<= 1
if kk & 0x8000:
kk ^= 0x8003
dst += chr©

len_src - берется по адресу 09a859f
указатель на dst в регистре esi
исходный байт попадает в al возможно в обработчике исключения, само исключение вероятно отладочное, вызывается выставлением флага трассировки
09a85ba…09a85c2 - antidebug trick
поэтому под отладчиком может не попадать в обработчик для получения исходного байта.

Как-то так.

Дай телегу, есть что обсудить по этому поводу

Актуально, требуется деобфускатор, готов заплатить