|
Программа для извлечения почтовых адресов из троянов
|
|
| Stertor | Дата: Суббота, 01.03.2014, 21:02 | Сообщение # 1 |
Группа: Удаленные
| Задался целью написать ковырялку троянов, чтобы извлекать из их тел адреса электронной почты, и прошу совета опытных товарищей: с чего начать?
|
| |
| |
| xXxSh@dowxXx | Дата: Воскресенье, 02.03.2014, 12:04 | Сообщение # 2 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| первое что приходит в голову это реализация проверки на шифрованность самого трояна, так как из шифрованных детищ просто так много не вытащишь, а так же не факт что троян вобще будет завязан на почту, нынче это уже не модно.
|
| |
| |
| Neo | Дата: Воскресенье, 02.03.2014, 15:44 | Сообщение # 3 |
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 317
Статус: Offline
| Или можно ещё поставить хук на функцию Connect. Перехватывать все соединения по SMTP портам ( 25 порт).
|
| |
| |
| Anton93 | Дата: Воскресенье, 02.03.2014, 16:38 | Сообщение # 4 |
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| а можно еще что то типа эмулятора написать  рано или поздно в ячейку памяти занесется значение с ящиком
 ICQ: 41896
|
| |
| |
| Stertor | Дата: Воскресенье, 02.03.2014, 20:46 | Сообщение # 5 |
|
Группа: Удаленные
| мне нужно выяснить, как шифруется тестовая константа, представляющая собой адрес, и где она хранится.
Так как билдер собирает троян из стаба, можно предположить, что строка хранится в стабе в виде ресурсов, либо билдер патчит стаб.
У кого какие соображения на этот счет?
[добавлено]
Я скачал билдер UFR и изучил его работу: при создании трояна билдер модифицирует стаб (стаб хранится в ресурсах самого билдера), добавляет кое-что в ресурсы, но почтовый адрес в ресурсах тела трояна я не нашел. Не было и строковых ресурсов, которые можно было бы анализировать.
Очевидно, он патчит тело стаба.
Я так представляю себе процесс извлечения: найти в теле трояна константу по какой-то сигнатуре, извлечь ее и расшифровать.
Кто нибудь умеет работать с отладчиком OllyDebug? Также у меня есть декомпилированные листинги билдера (декомпиляция произведена с помощью DeDe, все инструкции на ассемблере). Нужна помощь товарищей.
Сообщение отредактировал Stertor - Понедельник, 03.03.2014, 19:18 |
| |
| |
| Hargen | Дата: Среда, 05.03.2014, 19:05 | Сообщение # 6 |
Участник
Зарегистрирован: 08.05.2013
Группа: Пользователи
Сообщений: 66
Статус: Offline
| Цитата Neo (  ) Или можно ещё поставить хук на функцию Connect. Перехватывать все соединения по SMTP портам ( 25 порт).
А что можно впринципе свой сниффер написать на базе хуков ws32.dll и winsock.dll - он вообще много где пригодиться может
Хотя проще готовый найти он должен где нибудь быть в виде исходников
Главное - не изобретать велосипед
Сообщение отредактировал Hargen - Среда, 05.03.2014, 19:07 |
| |
| |
