Сегодня наткнулся на очередную фейк программу и подумал почему бы не написать руководство по их распознаванию.
Инструменты которые нам потребуются:
Цитата:
Всем известный хекс редактор – WinHex (Можно воспользоваться любым другим)
Редактор ресурсов, я буду использовать редактор ресурсов встроенный в PE Explorer
Программы легко гуглятся, так что не спрашивайте у меня где их достать.
В качестве примера я взял фейк который обнаружил вот тут.
Начнем с того что запустим PE Explorer. Он выглядит вот так:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Перетащим на него исследуемую программу и затем нажмем на указанный значек:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Откроется редактор ресурсов. В левой части отображается список групп ресурсов. В нем мы видим такую группу как “RC Data” присутствие этой группы уже говорит о том что программа написана либо на Delphi либо на C++ Builder. Открыв эту группу мы видим среди ее ресурсов "DVCLAL". Выбрав его мы узнаем компилятор:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Так же мы видим ресурс под названием “TFORM1” это текстовый ресурс описывающий формы формата Delphi/C++ Builder. В PE Explorer’е он структурирован и можно посмотреть каждый объект в отдельности по уровням вложенности. Щелкаем на плюсик что бы раскрыть список, внутри видим объект под названием “Form1: TForm1” это главная форма программы. Его так же раскрываем и видим элементы находящиеся на форме, среди них есть “IdSMTP1: TIdSMTP ”, это и есть компонент с помощью которого происходит отправка письма. Выбираем его и в правой части видим список его свойств:
MaxLineAction = maException
ReadTimeout = 0
Host = 'smtp.mail.ru'
Port = 2525
AuthenticationType = atLogin
Password = 'qweasd'
Username = 'moneyfreeze'
Left = 2
Top = 5
[Ссылки могут видеть только зарегистрированные пользователи. ]
Из этого мы видим, что программа подключается к почтовому серверу 'smtp.mail.ru' под логином 'moneyfreeze' с паролем 'qweasd' иными словами она отправляет пароли с почтового ящика '[Ссылки могут видеть только зарегистрированные пользователи. ]' . Паролем от этого ящика является 'qweasd'. Заходим на этот ящик и меняем пароль, тем самым обламываем программу и ее создателя, так как она уже не сможет входить на ящик и отсылать пароли.
Мы определили ящик с которого отсылаются пароли. Как же определить куда они уходят? Запускаем WinHex и открываем в нем исследуемую программу. Теперь вызовем диалог поиска нажатием “Ctrl+F” и предполагая что у злоумышленника ящик для приема писем зареган в той же зоте что и для отправки, в поле для поиска вписываем “.ru” так же можно вписать любой другой предполагаемый домен.
[Ссылки могут видеть только зарегистрированные пользователи. ]
Нажимаем на кнопку “OK” и первый же найденный результат приводит нас к ответу, на скрине первый выделенный ящик является получателем, а второй отправителем.
[Ссылки могут видеть только зарегистрированные пользователи. ]
Вот мы и распознали фейк программу. Даное руководство не является шаблонным, ведь программы могут быть написаны по разному, я лишь показал пример возможного обнаружения, так что при анализе программ включайте серое вещество и все получится. =)
________________ Продаю приват читы для AION Absolute, desteny 3.5, Legend, Cataclysm, Ru, EU, NA Продаю многооконку на R2 Пишу читы на заказ под любые игры. Предложения в ЛС. Все мои читы/программы/статьи тут:http://zhyk.ru/forum/showpost.php?p=38501&postcount=21
Последний раз редактировалось Тигрь; 15.08.2010 в 19:45.
отличная статья. получается этой же программой можно узнать по какой странице работает, например, брут?
Смотря на чем брут написан и как реализован, в этой программе (я говорю про исследуемый фейк) логин и пас от мыла напиример можно было не прописывать в свойствах компонента, а задать програмно в коде, тогда они бы там не отображались. Но мы определили бы компонент с помощью которого отсылается почта и нашли бы мыльтики с помощью вин хекса. По этому я и сказал что это руководство не шаблон и нужно немного подумать.
________________ Продаю приват читы для AION Absolute, desteny 3.5, Legend, Cataclysm, Ru, EU, NA Продаю многооконку на R2 Пишу читы на заказ под любые игры. Предложения в ЛС. Все мои читы/программы/статьи тут:http://zhyk.ru/forum/showpost.php?p=38501&postcount=21
значит если фейк простой как указан в теме, то можно его переделать так, чтобы он отсылал со своего мыла (офк левого) на свое?
Можно. Даже если фейк не простой, как например я указал постом выше, то его тоже можно переделать. Вообще можно переделать все что угодно главное уметь.
________________ Продаю приват читы для AION Absolute, desteny 3.5, Legend, Cataclysm, Ru, EU, NA Продаю многооконку на R2 Пишу читы на заказ под любые игры. Предложения в ЛС. Все мои читы/программы/статьи тут:http://zhyk.ru/forum/showpost.php?p=38501&postcount=21
гайд действительно шикарен, хотя узнать куда уходят письма можно немного проще - посмотреть отправленные на 1 ящике
Тут ты не прав, в отправленных - писем не будет так как отправка идет не с веб интерфейса а из программы, и на сервере письма не сохраняются. Вот к примеру если ты отправляешь почту из The Bat, отправленная почта хратится только в этой программе а не на сервере. Можешь проверить, это будет твоим домашним заданием
P.S. Рекомендую почитать статью про SMTP протокол в соседней теме, что бы понимать как работает отправка почты.
________________ Продаю приват читы для AION Absolute, desteny 3.5, Legend, Cataclysm, Ru, EU, NA Продаю многооконку на R2 Пишу читы на заказ под любые игры. Предложения в ЛС. Все мои читы/программы/статьи тут:http://zhyk.ru/forum/showpost.php?p=38501&postcount=21
Совершенно верно, с запакованными программами будет по-сложнее, но именно по-этому я и использую редактор ресурсов встроенный в PE Explorer, так как он умеет распаковывать некоторые известые пакеры, а так же поддерживает плагины.
________________ Продаю приват читы для AION Absolute, desteny 3.5, Legend, Cataclysm, Ru, EU, NA Продаю многооконку на R2 Пишу читы на заказ под любые игры. Предложения в ЛС. Все мои читы/программы/статьи тут:http://zhyk.ru/forum/showpost.php?p=38501&postcount=21
а можно взять wpe pro выбрать программу исследуемую и включить на запись, потыкать и узнать что и куда отправляется, а главное с помощью декодера можно достать логин и пароль от почты с которой идет отправка
И так тоже можно сделать. Вот только если фейк еще до ввода пароля отправляет например пароли из браузеров, то рискуешь их потерять. Я так уже один раз делал, потом пришлось все пароли менять. Подозрительные экзешники лучше вообще не запускать.
________________ Продаю приват читы для AION Absolute, desteny 3.5, Legend, Cataclysm, Ru, EU, NA Продаю многооконку на R2 Пишу читы на заказ под любые игры. Предложения в ЛС. Все мои читы/программы/статьи тут:http://zhyk.ru/forum/showpost.php?p=38501&postcount=21
Регистрация: 05.05.2009
Сообщений: 875
Популярность: 48955
Золото Zhyk.Ru: 850 
Сказал(а) спасибо: 155
Распознаём фейк программы
