Цитата:

Сообщение от XaviS

Все привет! Вторую запись я хочу начать словами известного писателя М.Е. Салтыкова-Щедрина:
"Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в России, я отвечу,- ПЬЮТ И ВОРУЮТ".
И ничего не изменилось.
По крайней мере среди младшей части нашего населения.
Пьют - ягуар, пиво и т.д.
Воруют - жвачки в магазинах, ну и пароли у собратьев.
Именно и про пароли я хочу вам рассказать. Как я уже говорил в своем прошлом сообщение:
игроманов больше всего интересуют читы, и чуть меньше программы для взлома.
Запомни два ключевых слова "hack" и "cheat".
Сегодня, я расскажу как эти "хаки" и "читы" использовать против них.
Нет, я не буду писать вам инфу про СИ, Фейки и т.д.
Я расскажу вам - как обернуть оружие обезьян со стилерами против них.
Для начала немного теории:
Что такое стилер?
Это прога, которая собирает данные о паролях в браузерах, а также инфу о системе и передает ее нам на почту, фтп или еще куда.
Но как стилер узнает данные для отправки логов?
Их вводит "хакер" в билдере, и они хранятся в самом стилере.
Я расскажу вам, как их достать.
Нет, мы не будем использовать сниффер. Мы расковыряем стилер.
В качестве эксперимента будет билд UFR Stealer (да простит меня Vazonez).
Приступим. Нам понадобиться отладчик и виртуальная машина. Я юзаю OllyDebug и VirtualBox.
1)Идем на rghost.ru и вбиваем в поиск "hack" или "cheat":
IMAGE http://i48.fastpic.ru/big/2013/0616/ad/698aadd1a850e52af7cc438558aad7ad.jpg
Почти 10000 "хаков", и почти все трояны, фейки или сборки РМС.
Выбирайте файлы размером поменьше ( до 1 МБ), это с гарантией окажутся чистыми троями, а не сборками.
Я выбрал данный экземпляр:
IMAGE http://i48.fastpic.ru/big/2013/0616/ce/a167957affd4968f21cac9b33adab4ce.jpg
Жмем скачать, и открываем в отладчике.
2)Проведем визуальный анализ.
IMAGE http://i48.fastpic.ru/big/2013/0616/c8/b62aa18fd34c3dc936ba310c1c71c2c8.jpg
Это UPX (подробнее в гугле).
Для его распаковки нам надо сделать следующее:
-Крутим до такого фрагмента кода и ставим брейкпоинт на безусловный переход (JMP):
IMAGE http://i48.fastpic.ru/big/2013/0616/d2/037e83001a3a23dec55cc348d44935d2.jpg
- Запускаем прогу в отладчике (F9).
Когда безусловный переход станет серым, жмем F8.
И попадаем в такое место:
IMAGE http://i46.fastpic.ru/big/2013/0616/56/c58da83c852a6b67c7595f08ec46c056.jpg
Это антиотладочный код, мы крутнем чуть ниже, то увидим переход JE:
IMAGE http://i48.fastpic.ru/big/2013/0616/c7/0816e0bf36536bfe8f80918f831685c7.jpg
Ставим на него брейпоинт (F2) и жмем запуск (F9).
Когда переход станет серым, жмем F8.
Попадаем на оригинальный код стилера:
IMAGE http://i46.fastpic.ru/big/2013/0616/72/0a127b5934607defd2452790beb19772.jpg
Теперь нам надо найти процедуру, которая загружает данные "хакера" (они хранятся в ресурсах) в стек.
Не волнуйтесь, я уже нашел ее за вас, она находится по адресу 401083 (у меня).
У вас может быть другой адрес, но в любом случае вот она (подсвечена серым):
IMAGE http://i46.fastpic.ru/big/2013/0616/cf/b9f9c2d712a5d68edac6c70f4d8ce9cf.jpg
Теперь делаем по аналогии. Ставим на нее брейпоинт, F9, но теперь жмем F7, и попадаем в ее код:
IMAGE http://i47.fastpic.ru/big/2013/0616/d1/7afe39ac0a1ee79fd38dedc9348d28d1.jpg
В коде идет загрузка данный из ресурсов (именно там хранятся данные), а затем расшифровка.
Она (расшифровка) на и интересует.
Ставим брейкпоинт на последний CALL, потом F9, потом F7. Попадаем в ее код:
IMAGE http://i48.fastpic.ru/big/2013/0616/3b/572348a94313bcdd06ee9dc17d158d3b.jpg
Цикл расшифровки организован при помощи условных переходов (JNZ).
Нас интересует конструкция LODS BYTE PTR DS:[ESI].
Она загружает данные по адресу из ESI в EAX.
Ставим брейкпоинт на эту строчку и жмем F9.
Когда она станет серой, жмем на ESI в онке регистров правой кнопкой и выбираемFollow in Dump
Увидим непонятную хрень в окне дампа:
IMAGE http://i47.fastpic.ru/big/2013/0616/7a/0634958fd2024f19da4aafea4a145b7a.jpg
Это шифрованные данные "хакера".
Теперь надо заставить прогу их расшифровать. Ставим брейкпоинт на команду LEAVE, жмем F9, и непонятная хрень стала понятной:
IMAGE http://i47.fastpic.ru/big/2013/0616/3e/e62c4b646ed7755093cdea5b65c62c3e.jpg
Мы можем наблюдать следующее: почта отправителя и почта получателя совпадают. Это значит, что стилер отправляет отчеты на почту недохакера, с почты недохакера.
Теперь, нам надо зайти в почту и поставить пересылку на нашу почту.
Зайдя в почту, я понял, что угадал насчет отправки самому себе:
IMAGE http://i47.fastpic.ru/big/2013/0616/79/a32b520a4e52ed7d36f2b6b40479c579.jpg
Идем в Настройки-Фильтры и пересылка и вбиваем такие настройки:
IMAGE http://i48.fastpic.ru/big/2013/0616/...eaac8c6f51.jpg

После этого жмем Сохранить, а затем Подтвердить и выполняем инструкции почтового сервера (там все просто).
Теперь можете запустить стилер на виртуалке и проверить вашу почту.
Лог должен прийти.
Спасибо за внимание! Понравилось?
Если у вас есть ко мне вопросы, предложение и т.д. - прошу в ICQ: 608983234.

Вот тут UPX

Всем здорово! Пишу из Москвы с умирающего лапотопа. Возможно, это последняя статья, которую я отправил с него=(. Сижу на НТТМ (техн. творчество молодежи) и залипаю в реверсинг, иногда отвечаю на вопросы (иногда дебильные) касательно своего проекта. Кстати, есть две хорошие новости:
1) Что круче: Посмотреть на Москву или на живую девушка-линуксоида?
Думаю второе, так как их (девушек-линуксоидов) довольно мало.
Встретился с Иреникой, побродили по ВДНХ и поболтали на ИТ темы (пруф)
2) Я открываю свой блог, который будет посвящен реверсингу и разным интересным фишкам. Домен уже есть.
Как только приеду домой, то регну хост
В общем все круто, если не считать жары в 40 градусов и отсутствие кондиционера.

Цитата:

Сообщение от XaviS

Всем здорово! Пишу из Москвы с умирающего лапотопа. Возможно, это последняя статья, которую я отправил с него=(. Сижу на НТТМ (техн. творчество молодежи) и залипаю в реверсинг, иногда отвечаю на вопросы (иногда дебильные) касательно своего проекта. Кстати, есть две хорошие новости:
1) Что круче: Посмотреть на Москву или на живую девушка-линуксоида?
Думаю второе, так как их (девушек-линуксоидов) довольно мало.
Встретился с Иреникой, побродили по ВДНХ и поболтали на ИТ темы (пруф)
2) Я открываю свой блог, который будет посвящен реверсингу и разным интересным фишкам. Домен уже есть.
Как только приеду домой, то регну хост
В общем все круто, если не считать жары в 40 градусов и отсутствие кондиционера.

И тебе привет)думаю он еще чучуть поживет))

Цитата:


Что круче: Посмотреть на Москву или на живую девушка-линуксоида?



Конечно на девушку-линуксоида))таких как она действительно мало)
--------------------------------------------------

Цитата:


Я открываю свой блог, который будет посвящен реверсингу и разным интересным фишкам. Домен уже есть.
Как только приеду домой, то регну хост



Будем ждать, тебя интересно читать)

Цитата:

Сообщение от bufferrr

И тебе привет)думаю он еще чучуть поживет))

Поживет, но надо менять. Охлаждение подыхает =(
Да и вообще это не мой ноут, я бы не за что в жизни на свой ноут не поставил Хрюшу.

Mishar, можно конечно и распаковщиком, но поставить бряк на одну строчку кода и нажать F9 быстрее, ИМХО.

Всем ку! Сразу после Москвы я уехал на отдых, поэтому с блогом немного затянулось). Сейчас работа идет полным ходом=)

Девушка линуксойд это не редкость.
ТС а ты че такой набычиный?

Цитата:


Зря в зал не ходишь, здоровье нужно беречь.



В зал иногда ходят, чтобы губить здоровье химией и нагрузкой на сердце. Так что - зал, не показатель.
Улица ---> Турники = тоже неплохо. Да и в понятие "Здоровье", я ещё вкладываю мыслительное развитие, трезвость взглядов, работа над своими слабостями и недостатками. Ибо здоровое тело, без здоровой головы - это вреднее, чем кажется.

Цитата:

Сообщение от XaviS

А кто тебе сказал, что я порчу здоровье?
С простыми ребятами не получается общаться =(

23 часа портят здоровье!
почему не получается?