Дата: Воскресенье, 02.03.2014, 12:04 | Сообщение # 2
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
первое что приходит в голову это реализация проверки на шифрованность самого трояна, так как из шифрованных детищ просто так много не вытащишь, а так же не факт что троян вобще будет завязан на почту, нынче это уже не модно.
Дата: Воскресенье, 02.03.2014, 20:46 | Сообщение # 5
Группа: Удаленные
мне нужно выяснить, как шифруется тестовая константа, представляющая собой адрес, и где она хранится. Так как билдер собирает троян из стаба, можно предположить, что строка хранится в стабе в виде ресурсов, либо билдер патчит стаб. У кого какие соображения на этот счет?
[добавлено] Я скачал билдер UFR и изучил его работу: при создании трояна билдер модифицирует стаб (стаб хранится в ресурсах самого билдера), добавляет кое-что в ресурсы, но почтовый адрес в ресурсах тела трояна я не нашел. Не было и строковых ресурсов, которые можно было бы анализировать. Очевидно, он патчит тело стаба.
Я так представляю себе процесс извлечения: найти в теле трояна константу по какой-то сигнатуре, извлечь ее и расшифровать.
Кто нибудь умеет работать с отладчиком OllyDebug? Также у меня есть декомпилированные листинги билдера (декомпиляция произведена с помощью DeDe, все инструкции на ассемблере). Нужна помощь товарищей.
Сообщение отредактировал Stertor - Понедельник, 03.03.2014, 19:18
Или можно ещё поставить хук на функцию Connect. Перехватывать все соединения по SMTP портам ( 25 порт).
А что можно впринципе свой сниффер написать на базе хуков ws32.dll и winsock.dll - он вообще много где пригодиться может Хотя проще готовый найти он должен где нибудь быть в виде исходников Главное - не изобретать велосипед
Сообщение отредактировал Hargen - Среда, 05.03.2014, 19:07
рано или поздно в ячейку памяти занесется значение с ящиком
