Пятница, 24.11.2017, 21:08 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Программа для извлечения почтовых адресов из троянов (Планируется написать ковырялку троянов, типа USTEAL)
Программа для извлечения почтовых адресов из троянов
StertorДата: Суббота, 01.03.2014, 21:02 | Сообщение # 1
Группа: Удаленные



Задался целью написать ковырялку троянов, чтобы извлекать из их тел адреса электронной почты, и прошу совета опытных товарищей: с чего начать?
 
xXxSh@dowxXxДата: Воскресенье, 02.03.2014, 12:04 | Сообщение # 2
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
первое что приходит в голову это реализация проверки на шифрованность самого трояна, так как из шифрованных детищ просто так много не вытащишь, а так же не факт что троян вобще будет завязан на почту, нынче это уже не модно.
 
NeoДата: Воскресенье, 02.03.2014, 15:44 | Сообщение # 3
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Или можно ещё поставить хук на функцию Connect. Перехватывать все соединения по SMTP портам ( 25 порт).
 
Anton93Дата: Воскресенье, 02.03.2014, 16:38 | Сообщение # 4
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
а можно еще что то типа эмулятора написать biggrin рано или поздно в ячейку памяти занесется значение с ящиком

ICQ: 41896
 
StertorДата: Воскресенье, 02.03.2014, 20:46 | Сообщение # 5
Группа: Удаленные



мне нужно выяснить, как шифруется тестовая константа, представляющая собой адрес, и где она хранится.
Так как билдер собирает троян из стаба, можно предположить, что строка хранится в стабе в виде ресурсов, либо билдер патчит стаб.
У кого какие соображения на этот счет?

[добавлено]
Я скачал билдер UFR и изучил его работу: при создании трояна билдер модифицирует стаб (стаб хранится в ресурсах самого билдера), добавляет кое-что в ресурсы, но почтовый адрес в ресурсах тела трояна я не нашел. Не было и строковых ресурсов, которые можно было бы анализировать.
Очевидно, он патчит тело стаба.

Я так представляю себе процесс извлечения: найти в теле трояна константу по какой-то сигнатуре, извлечь ее и расшифровать.

Кто нибудь умеет работать с отладчиком OllyDebug? Также у меня есть декомпилированные листинги билдера (декомпиляция произведена с помощью DeDe, все инструкции на ассемблере). Нужна помощь товарищей.


Сообщение отредактировал Stertor - Понедельник, 03.03.2014, 19:18
 
HargenДата: Среда, 05.03.2014, 19:05 | Сообщение # 6
Участник
Зарегистрирован: 08.05.2013
Группа: Пользователи
Сообщений: 66
Статус: Offline
Цитата Neo ()
Или можно ещё поставить хук на функцию Connect. Перехватывать все соединения по SMTP портам ( 25 порт).

А что можно впринципе свой сниффер написать на базе хуков ws32.dll и winsock.dll - он вообще много где пригодиться может
Хотя проще готовый найти он должен где нибудь быть в виде исходников


Главное - не изобретать велосипед



Сообщение отредактировал Hargen - Среда, 05.03.2014, 19:07
 
delfcode » Delphi » Вирусология Delphi » Программа для извлечения почтовых адресов из троянов (Планируется написать ковырялку троянов, типа USTEAL)
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz