Пятница, 20.10.2017, 09:50 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 212»
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Троянская программа с использованием почтового ящика. (Скажите где ошибка!)
Троянская программа с использованием почтового ящика.
DelДата: Среда, 22.08.2012, 14:17 | Сообщение # 1
Участник
Зарегистрирован: 20.08.2012
Группа: Пользователи
Сообщений: 69
Статус: Offline
Решил я написать программу, которая будет получать команды через почтовый ящик. Код и описание проблемы ниже.


Сообщение отредактировал Del - Среда, 22.08.2012, 16:04
 
DelДата: Среда, 22.08.2012, 17:11 | Сообщение # 2
Участник
Зарегистрирован: 20.08.2012
Группа: Пользователи
Сообщений: 69
Статус: Offline
Попробовал в качестве команды использовать тему письма. Всё работает.
 
XSPYДата: Среда, 22.08.2012, 23:12 | Сообщение # 3
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
Del, а может надо не не "=" а ":="?)))
 
xXxSh@dowxXxДата: Четверг, 23.08.2012, 00:26 | Сообщение # 4
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (XSPY)
а может надо не не "=" а ":="?)))

ну ты даешь XSPY вобще то на сколько я знаю в исключениях if перед then не пишется " : " перед равенством или неравенством значения...!!!

Del у тебя в коде:

а если ты используешь свой знак '<>' то при отправке письма с текстом 'mouse' естественно у тебя код работать не будет, банальная ошибка!


Сообщение отредактировал xXxSh@dowxXx - Четверг, 23.08.2012, 00:36
 
DelДата: Четверг, 23.08.2012, 09:29 | Сообщение # 5
Участник
Зарегистрирован: 20.08.2012
Группа: Пользователи
Сообщений: 69
Статус: Offline
Quote (xXxSh@dowxXx)
if idmessage1.Body.Text<>'mouse' then //Если тело письма НЕ РАВНО 'mouse' то...
//другими словами если в теле письма нету текста 'mouse' то выполнить след. код...

В том то и дело, что в письме есть "мышь" а он считает, что её нет!
И или я не так понял?
P.S. Кстати, а как программно можно удалить сообщение из почтового ящика?


Сообщение отредактировал Del - Четверг, 23.08.2012, 13:46
 
xXxSh@dowxXxДата: Четверг, 23.08.2012, 14:26 | Сообщение # 6
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (Del)
В том то и дело, что в письме есть "мышь" а он считает, что её нет!

Дак он у тебя потому и считает что его нет ведь у тебя знак неравенства стоит '<>' !!!
Если бы у тебя стоял знак '=' то все было бы нормально!
 
DelДата: Четверг, 23.08.2012, 14:50 | Сообщение # 7
Участник
Зарегистрирован: 20.08.2012
Группа: Пользователи
Сообщений: 69
Статус: Offline
Если = стоит, то он вообще не чего не делает! Я вообще вместо тела письма стал использовать тему.
 
xXxSh@dowxXxДата: Четверг, 23.08.2012, 16:09 | Сообщение # 8
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Del че та я сразу даже весь код то и не смотрел, а к какому серверу ты вобще конектишься, если к почт. ящику, то где у тебя тогда логин - пароль?
странный код конечно...
 
DelДата: Четверг, 23.08.2012, 17:24 | Сообщение # 9
Участник
Зарегистрирован: 20.08.2012
Группа: Пользователи
Сообщений: 69
Статус: Offline
Quote (xXxSh@dowxXx)
а к какому серверу ты вобще конектишься, если к почт. ящику, то где у тебя тогда логин - пароль?

Логин и пароль указываются в настройках компонента idPOP3. Ящик у меня от яндекса.
 
XSPYДата: Четверг, 23.08.2012, 18:35 | Сообщение # 10
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
ой,ребят,прошу звинять мну... сам как увидел офигел...
З.Ы:Писал под мухой,праздники у нас ща идут)))
 
annakinДата: Четверг, 23.08.2012, 22:45 | Сообщение # 11
Частый гость
Зарегистрирован: 26.06.2012
Группа: Пользователи
Сообщений: 37
Статус: Offline
Если тебе нужно что бы оно исполняло процедуру при нахождении заданного текста в теле письма то тебе нужно использовать не <> а >=
 
DelДата: Пятница, 24.08.2012, 07:47 | Сообщение # 12
Участник
Зарегистрирован: 20.08.2012
Группа: Пользователи
Сообщений: 69
Статус: Offline
annakin, спасибо большое!
А можешь подсказать как программно удалить письмо, если это возможно?


Сообщение отредактировал Del - Пятница, 24.08.2012, 07:57
 
xXxSh@dowxXxДата: Пятница, 24.08.2012, 11:44 | Сообщение # 13
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Del Вобщем меня самого заинтересовал вопрос, почему же все таки не работает код через
Code

idMessage1.Body.Text = 'mouse'


Убил на поиск ошибки пол дня и все таки нашел в чем проблема!!! biggrin

Оказалось что поля сообщения в почтовом ящике несколько расширены чем это может показаться на первый взгляд, то есть, по сути текст в теле письма на почтовом ящике выглядит так:

Code

'mouse

'

для наглядности отметил текст в ковычки...
так вот, а ты пытаешься сравнивать то что получает idMessage1.Body.Text с вот этим 'mouse', в то время как текст в idMessage1 будет как минимум на два переноса больше, почему я говорю переноса а не два пробела, потому что проведя пару тестов такого плана:

Code

if idMessage1.Body.Text = 'mouse  ' then

естественно ничего не сработало, так как там именно перенос строки а не пробелы...

PS: Данную проблему я смог решить только с помощью Memo1, ведь в коде просто так перенос не паставишь, а в поле Мемо запросто...

Вот рабочий код!!!!
Держи...

Кстати забыл напомнить, не забудьте в текстовом поле Memo1 параметр должен быть указан с 2мя переносами, что бы сработало, вот таким вот образом:
Code

'mouse

'

!!!ТОЛЬКО БЕЗ КОВЫЧЕК!!!


Сообщение отредактировал xXxSh@dowxXx - Пятница, 24.08.2012, 12:05
 
DelДата: Пятница, 24.08.2012, 11:52 | Сообщение # 14
Участник
Зарегистрирован: 20.08.2012
Группа: Пользователи
Сообщений: 69
Статус: Offline
Спасибо большое. Кстати, думаю вставить функцию чтобы троян отсылал историю браузера(сначала нужно узнать какой по умолчанию). а где она находится ?
 
xXxSh@dowxXxДата: Пятница, 24.08.2012, 11:57 | Сообщение # 15
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (Del)
думаю вставить функцию чтобы троян отсылал историю браузера

Имеете ввиду историю посещений сайтов,журнал браузера?, так какой в нем прок, если Вы все равно не зайдете на те ресурсы пользователя где требуется аутентификация (ввод логина и пароля), так как сессия будет мертва, если только не спереть файл сессии, тогда если пользователь полный "ЛАМЕР", можно увести все его почтовые адреса, странички соц сетей и тд. biggrin
 
DelДата: Пятница, 24.08.2012, 12:09 | Сообщение # 16
Участник
Зарегистрирован: 20.08.2012
Группа: Пользователи
Сообщений: 69
Статус: Offline
Нет, мне просто хотелось бы, узнать на какие сайты это юзер заходил. А пароли мне не интересны.
 
xXxSh@dowxXxДата: Пятница, 24.08.2012, 12:22 | Сообщение # 17
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (Del)
хотелось бы, узнать на какие сайты это юзер заходил

Ок...

для Firefox 3.x

Windows XP

C:\Documents and Settings\\Application Data\Mozilla\firefox\Profiles\\places.sqlite

Windows Vista

C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\\places.sqlite

GNU/Linux

/home//.mozilla/firefox//places.sqlite

Mac OS X

/Users//Library/Application Support/Firefox/Profiles/default.lov/places.sqlite

Mozilla History
 
DelДата: Пятница, 24.08.2012, 12:27 | Сообщение # 18
Участник
Зарегистрирован: 20.08.2012
Группа: Пользователи
Сообщений: 69
Статус: Offline
Спасибо.
 
DelДата: Пятница, 24.08.2012, 12:38 | Сообщение # 19
Участник
Зарегистрирован: 20.08.2012
Группа: Пользователи
Сообщений: 69
Статус: Offline
Кто согласится проверить beta версию трояна на палевность антивирусами? Я у себя касперский удалил так-как 768мб озу и 1.5Ггц сильно тормозили.
 
xXxSh@dowxXxДата: Пятница, 24.08.2012, 12:53 | Сообщение # 20
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (Del)
Кто согласится проверить beta версию трояна на палевность антивирусами?

Сразу тебе скажу даже без проверки, последний Каспер эвристикой палит любой коннект неизвестного приложения на удаленный ресурс, в том числе почтовые сервисы, так что с Каспером точно не сработает!
 
DelДата: Пятница, 24.08.2012, 13:02 | Сообщение # 21
Участник
Зарегистрирован: 20.08.2012
Группа: Пользователи
Сообщений: 69
Статус: Offline
А остальные антивиры?
P.S. Не у всех последний каспер стоит.
P.S.S. И на последний каспер найдётся "отмычка".
 
xXxSh@dowxXxДата: Пятница, 24.08.2012, 13:10 | Сообщение # 22
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (Del)
И на последний каспер найдётся "отмычка"

тяжеловато будет, сам пытался его обойти, с каждым новым обновлением все сложнее, эвристика слишком предирчивая у него, да же к некоторому лицензионному ПО.

у меня получилось обойти предыдущую версию каспера, за 2011 год, а новый 2012 исправили и теперь мои отмычки уже не работают sad

а что касается других АВ, то многие просто сигнатурно проверяют, не зацикливаясь на эвристическом анализе,какие то можно обойти, тем более что твоя программа ничего особо противоречивого не делает, с точки зрения АВ анализа...


Сообщение отредактировал xXxSh@dowxXx - Пятница, 24.08.2012, 13:11
 
DelДата: Пятница, 24.08.2012, 13:40 | Сообщение # 23
Участник
Зарегистрирован: 20.08.2012
Группа: Пользователи
Сообщений: 69
Статус: Offline
Quote (xXxSh@dowxXx)
а новый 2012 исправили и теперь мои отмычки уже не работают

Я слышал, что какая та утечка была. Это правда?
 
xXxSh@dowxXxДата: Пятница, 24.08.2012, 15:47 | Сообщение # 24
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (Del)
Я слышал, что какая та утечка была. Это правда?

Ага, исходников продукта за 2008 год, на данный момент полезен только тем что можно глянуть движок на котором он сделан, не более того...
 
DelДата: Пятница, 24.08.2012, 16:18 | Сообщение # 25
Участник
Зарегистрирован: 20.08.2012
Группа: Пользователи
Сообщений: 69
Статус: Offline
Жаль...
Quote (xXxSh@dowxXx)
а что касается других АВ, то многие просто сигнатурно проверяют, не зацикливаясь на эвристическом анализе,какие то можно обойти, тем более что твоя программа ничего особо противоречивого не делает, с точки зрения АВ анализа...

Доверять, но проверять. Кому не трудно обращайтесь.
 
delfcode » Delphi » Вирусология Delphi » Троянская программа с использованием почтового ящика. (Скажите где ошибка!)
Страница 1 из 212»
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz