16.06.2013, 01:00
|
|
Участник форума
Регистрация: 02.04.2013
Сообщений: 149
С нами:
6901526
Репутация:
53
|
|
Все привет, я новичок на этом форуме, поэтому расскажу немного о себе:
Я кодер и исследователь.
Я занимаюсь программированием на платформе .NET Framework, а также провожу разные эксперименты.
Также я умею реверсить, ну и основы хакинга знаю.
-----------------------------------------------------------------------------
Ну в первом своем посте я расскажу, про деградацию младшей части населения.
Для этого я месяца 3 тому назад провел эксперимент. Он заключался в "атаке" на стимоманов и состоял из 2 стадий.
1 стадия: Забив в гугл - "форумы читеров", я наткнулся на пару интересных.
На тех форумах процент нубов over 9999%. Далее я собрал стилер,
ничем не криптовал и т.д. Выложил его на форум и написал - "Программа для бесплатных игр Steam. Для успешной работы - отключите антивирус".
Было уже 3 часа утра, я валился с ног, и поэтому пошел спать.
Утром, я решил проверить свой сервер.
И чуть не схватил сердечный приступ - мне пришло 75 отчетов.
Пруф
IMAGE http://i46.fastpic.ru/big/2013/0616/f8/4f462e7150876bf82b304e53396955f8.jpg
IMAGE http://i46.fastpic.ru/big/2013/0616/f6/4135871ff3bd8656cc5b5be3f86e5ef6.jpg
2 стадия: Я сделал стим фейк, который подменял собой оригинальный стим и клиент, и выложил его на форум в "качестве" обновления Steam.
Ночь просидел у компа, пил кофе и читал новостную ленту.
Через 4 часа в ФайлЗилле появился текстовый документ, размером несколько десятков КБ.
В нем было куча левой инфы:
Login:djdjdfj
Pass: jsdjsjd
Но были и стим аки, много аков.
Кол-во запусков стилера было 75 (напомню, что стилер был "хаком для стим", а фейк "апдейтом"), а кол-во запусков фейка - 25.
Вывод: Хак намного интереснее для школоты, чем обновление. А теперь представьте, что это "школота" вырастет и останется такой-же тупой.
Многие сейчас говорят, что нация деградирует, но никто не хочет искать причину.
А причину вот она (заметка для родителей ->):
У школьников сейчас мощные игровые компы, но покупались они для учебы.
Например реклама: "Купите вашему ребенку Intel Core i7 и NVIDIA Titan для учебы".
Отличная, блин, учеба - изучаем DirectX 11.
Конечно, если школьник занимается моделированием (что очень вряд ли), то мощный комп нужен.
Теперь вопрос сообществу:
" Если бы в мире не было бы игр, то что делала бы школота?"
Спасибо за внимание!
Вот интересная мысль (не моя)
А родители считают, что сыну купили ПК, дали образование и миссия выполнена.
А в голове у него что - никто не копает.
Он им чешет одно, живёт по-другому, я уверен.
Когда уже поймут, что воспитание - это не материальное обеспечение?
Чёрт знает.
Всё идёт так криво, что будущее должно будет просто совершить нечто радикальное, чтобы выровнять ситуацию.
Технологий - больше, смысла - меньше.
Хочу выразить благодарность пользователю samarobrino за гостеприимство и поддержку.
Если было интересно, то продолжу писать про свои эксперименты.
Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме. |
|
|
16.06.2013, 01:00
|
|
Познавший АНТИЧАТ
Регистрация: 30.03.2010
Сообщений: 1,068
С нами:
8484086
Репутация:
335
|
|
Цитата:
У школьников сейчас мощные игровые компы, но покупались они для учебы.
Например реклама: "Купите вашему ребенку Intel Core i7 и NVIDIA Titan для учебы".
Да уж, я удивляюсь, неужели родители такие глупые, что совсем не понимают, почему их чадо так настойчиво просит их купить ему личный компьютер "для учебы"? Ведь сейчас, по большому счету, в школе не то что без компьютера, без учебников можно обойтись, имея одну общую тетрадь на все предметы, и закончить школу.
В универе да, без компьютера не обойтись. Хотя даже и в этом случае обходной вариант есть (писать работы и отчеты в библиотеке например, потом распечатывать за бабки).
В общем, интересно пишешь, продолжай=)
|
|
|
|
16.06.2013, 01:00
|
|
Участник форума
Регистрация: 02.04.2013
Сообщений: 149
С нами:
6901526
Репутация:
53
|
|
Цитата:
Сообщение от Nick Hander
Да уж, я удивляюсь, неужели родители такие глупые, что совсем не понимают, почему их чадо так настойчиво просит их купить ему личный компьютер "для учебы"? Ведь сейчас, по большому счету, в школе не то что без компьютера, без учебников можно обойтись, имея одну общую тетрадь на все предметы, и закончить школу.
В универе да, без компьютера не обойтись. Хотя даже и в этом случае обходной вариант есть (писать работы и отчеты в библиотеке например, потом распечатывать за бабки).
В общем, интересно пишешь, продолжай=)
Спасибо, ну без компа в школе будет довольно туго, т.к надо всякие рефераты печатать, и.тд
|
|
|
|
16.06.2013, 01:00
|
|
Участник форума
Регистрация: 02.04.2013
Сообщений: 149
С нами:
6901526
Репутация:
53
|
|
Всем привет! Вторую запись я хочу начать словами известного писателя М.Е. Салтыкова-Щедрина:
"Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в России, я отвечу,- ПЬЮТ И ВОРУЮТ".
И ничего не изменилось.
По крайней мере среди младшей части нашего населения.
Пьют - ягуар, пиво и т.д.
Воруют - жвачки в магазинах, ну и пароли у собратьев.
Именно и про пароли я хочу вам рассказать. Как я уже говорил в своем прошлом сообщение:
игроманов больше всего интересуют читы, и чуть меньше программы для взлома.
Запомни два ключевых слова "hack" и "cheat".
Сегодня, я расскажу как эти "хаки" и "читы" использовать против них.
Нет, я не буду писать вам инфу про СИ, Фейки и т.д.
Я расскажу вам - как обернуть оружие обезьян со стилерами против них.
Для начала немного теории:
Что такое стилер?
Это прога, которая собирает данные о паролях в браузерах, а также инфу о системе и передает ее нам на почту, фтп или еще куда.
Но как стилер узнает данные для отправки логов?
Их вводит "хакер" в билдере, и они хранятся в самом стилере.
Я расскажу вам, как их достать.
Нет, мы не будем использовать сниффер. Мы расковыряем стилер.
В качестве эксперимента будет билд UFR Stealer (да простит меня Vazonez).
Приступим. Нам понадобиться отладчик и виртуальная машина. Я юзаю OllyDebug и VirtualBox.
1)Идем на rghost.ru и вбиваем в поиск "hack" или "cheat":
IMAGE http://i48.fastpic.ru/big/2013/0616/ad/698aadd1a850e52af7cc438558aad7ad.jpg
Почти 10000 "хаков", и почти все трояны, фейки или сборки РМС.
Выбирайте файлы размером поменьше ( до 1 МБ), это с гарантией окажутся чистыми троями, а не сборками.
Я выбрал данный экземпляр:
IMAGE http://i48.fastpic.ru/big/2013/0616/ce/a167957affd4968f21cac9b33adab4ce.jpg
Жмем скачать, и открываем в отладчике.
2)Проведем визуальный анализ.
IMAGE http://i48.fastpic.ru/big/2013/0616/c8/b62aa18fd34c3dc936ba310c1c71c2c8.jpg
Это UPX (подробнее в гугле).
Для его распаковки нам надо сделать следующее:
-Крутим до такого фрагмента кода и ставим брейкпоинт на безусловный переход (JMP):
IMAGE http://i48.fastpic.ru/big/2013/0616/d2/037e83001a3a23dec55cc348d44935d2.jpg
- Запускаем прогу в отладчике (F9).
Когда безусловный переход станет серым, жмем F8.
И попадаем в такое место:
IMAGE http://i46.fastpic.ru/big/2013/0616/56/c58da83c852a6b67c7595f08ec46c056.jpg
Это антиотладочный код, мы крутнем чуть ниже, то увидим переход JE:
IMAGE http://i48.fastpic.ru/big/2013/0616/c7/0816e0bf36536bfe8f80918f831685c7.jpg
Ставим на него брейпоинт (F2) и жмем запуск (F9).
Когда переход станет серым, жмем F8.
Попадаем на оригинальный код стилера:
IMAGE http://i46.fastpic.ru/big/2013/0616/72/0a127b5934607defd2452790beb19772.jpg
Теперь нам надо найти процедуру, которая загружает данные "хакера" (они хранятся в ресурсах) в стек.
Не волнуйтесь, я уже нашел ее за вас, она находится по адресу 401083 (у меня).
У вас может быть другой адрес, но в любом случае вот она (подсвечена серым):
IMAGE http://i46.fastpic.ru/big/2013/0616/cf/b9f9c2d712a5d68edac6c70f4d8ce9cf.jpg
Теперь делаем по аналогии. Ставим на нее брейпоинт, F9, но теперь жмем F7, и попадаем в ее код:
IMAGE http://i47.fastpic.ru/big/2013/0616/d1/7afe39ac0a1ee79fd38dedc9348d28d1.jpg
В коде идет загрузка данный из ресурсов (именно там хранятся данные), а затем расшифровка.
Она (расшифровка) на и интересует.
Ставим брейкпоинт на последний CALL, потом F9, потом F7. Попадаем в ее код:
IMAGE http://i48.fastpic.ru/big/2013/0616/3b/572348a94313bcdd06ee9dc17d158d3b.jpg
Цикл расшифровки организован при помощи условных переходов (JNZ).
Нас интересует конструкция LODS BYTE PTR DS:[ESI].
Она загружает данные по адресу из ESI в EAX.
Ставим брейкпоинт на эту строчку и жмем F9.
Когда она станет серой, жмем на ESI в онке регистров правой кнопкой и выбираем Follow in Dump
Увидим непонятную хрень в окне дампа:
IMAGE http://i47.fastpic.ru/big/2013/0616/7a/0634958fd2024f19da4aafea4a145b7a.jpg
Это шифрованные данные "хакера".
Теперь надо заставить прогу их расшифровать. Ставим брейкпоинт на команду LEAVE, жмем F9, и непонятная хрень стала понятной:
IMAGE http://i47.fastpic.ru/big/2013/0616/3e/e62c4b646ed7755093cdea5b65c62c3e.jpg
Мы можем наблюдать следующее: почта отправителя и почта получателя совпадают. Это значит, что стилер отправляет отчеты на почту недохакера, с почты недохакера.
Теперь, нам надо зайти в почту и поставить пересылку на нашу почту.
Зайдя в почту, я понял, что угадал насчет отправки самому себе:
IMAGE http://i47.fastpic.ru/big/2013/0616/79/a32b520a4e52ed7d36f2b6b40479c579.jpg
Идем в Настройки-Фильтры и пересылка и вбиваем такие настройки:
IMAGE http://i48.fastpic.ru/big/2013/0616/...eaac8c6f51.jpg
После этого жмем Сохранить, а затем Подтвердить и выполняем инструкции почтового сервера (там все просто).
Теперь можете запустить стилер на виртуалке и проверить вашу почту.
Лог должен прийти.
Спасибо за внимание! Понравилось?
Если у вас есть ко мне вопросы, предложение и т.д. - прошу в ICQ: 608983234. |
|
|
|
16.06.2013, 01:00
|
|
Постоянный
Регистрация: 10.02.2012
Сообщений: 372
С нами:
7502006
Репутация:
35
|
|
Молодец конечно, но можно гораздо проще. Заходим сюда загружаем файл, ждем, нам выдается полный отчет. Так же данные FTP/Почты и др. |
|
|
|
16.06.2013, 01:00
|
|
Участник форума
Регистрация: 02.04.2013
Сообщений: 149
С нами:
6901526
Репутация:
53
|
|
Прождал полчаса пока этот сервис проанализирует файл. Вот что он мне выдал:
IMAGE http://i48.fastpic.ru/big/2013/0616/55/5d5cec9a669b2253124bcb2e134aef55.jpg
И где тут данные? |
|
|
|
16.06.2013, 01:00
|
|
Новичок
Регистрация: 13.05.2013
Сообщений: 14
С нами:
6842486
Репутация:
6
|
|
Download Files: • traffic.pcap
В wireshark открой.
|
|
|
|
16.06.2013, 01:00
|
|
Участник форума
Регистрация: 02.04.2013
Сообщений: 149
С нами:
6901526
Репутация:
53
|
|
Цитата:
Сообщение от lolca
Download Files: • traffic.pcap
В wireshark открой.
Открыл, там тоже самое. Запрос на smtp.mail.ru, а данных нет.
Да и вообще:
IMAGE http://i46.fastpic.ru/big/2013/0616/a5/7493c2bef00641508d0a0460c35628a5.jpg |
|
|
|
17.06.2013, 01:00
|
|
Участник форума
Регистрация: 02.04.2013
Сообщений: 149
С нами:
6901526
Репутация:
53
|
|
Ура! Есть первый заказ на кейлоггер.
|
|
|
|
17.06.2013, 01:00
|
|
Новичок
Регистрация: 07.03.2010
Сообщений: 0
С нами:
8516490
Репутация:
0
|
|
Почитала, загуглила. Сгуглился бложек, а там..
программирую на Visual Basic .NET, так что большинство статей будет именно по кодингу на этом языке.
Даже расстроилась(
Ты продолжай писать, про реверсинг интересно.
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
