1. Новый раздел и сервер Discord!
    Смотри новость ТЫК

Распознаём Фейк В Crossfire

Тема в разделе "Гайды для CrossFire", создана пользователем ignatys, 25 мар 2012.

  1. Оффлайн

    ignatys

    175
    276
    45
    Всем привет с вами ignatys, сегодня наткнулся на очередную фейк программу и подумал почему бы не написать руководство по их распознаванию.
    Инструменты которые нам потребуются:

    Всем известный хекс редактор – WinHex (Можно воспользоваться любым другим)
    Редактор ресурсов, я буду использовать редактор ресурсов встроенный в PE Explorer

    Программы легко гуглятся, так что не спрашивайте у меня где их достать.

    В качестве примера я взял фейк RFLogin'a который обнаружил на одном форуме.

    Начнем с того что запустим PE Explorer. Он выглядит вот так:

    [​IMG]

    Перетащим на него исследуемую программу и затем нажмем на указанный значек:

    [​IMG]

    Откроется редактор ресурсов. В левой части отображается список групп ресурсов. В нем мы видим такую группу как
    “RC Data” присутствие этой группы уже говорит о том что программа написана либо на Delphi либо на C++ Builder. Открыв эту группу мы видим среди ее ресурсов "DVCLAL". Выбрав его мы узнаем компилятор:


    [​IMG]

    Так же мы видим ресурс под названием “TFORM1” это текстовый ресурс описывающий формы формата Delphi/C++ Builder. В PE Explorer’е он структурирован и можно посмотреть каждый объект в отдельности по уровням вложенности. Щелкаем на плюсик что бы раскрыть список, внутри видим объект под названием “Form1: TForm1” это главная форма программы. Его так же раскрываем и видим элементы находящиеся на форме, среди них есть “IdSMTP1: TIdSMTP ”, это и есть компонент с помощью которого происходит отправка письма. Выбираем его и в правой части видим список его свойств:

    1.MaxLineAction = maException
    2.ReadTimeout = 0
    3.Host = 'smtp.mail.ru'
    4.Port = 2525
    5.AuthenticationType = atLogin
    6.Password = 'qweasd'
    7.Username = 'moneyfreeze'
    8.Left = 2
    9.Top = 5


    [​IMG]

    Из этого мы видим, что программа подключается к почтовому серверу 'smtp.mail.ru' под логином 'moneyfreeze' с паролем 'qweasd' иными словами она отправляет пароли с почтового ящика '[Ссылки могут видеть только зарегистрированные пользователи. ]' . Паролем от этого ящика является 'qweasd'. Заходим на этот ящик и меняем пароль, тем самым обламываем программу и ее создателя, так как она уже не сможет входить на ящик и отсылать пароли. :d
    Мы определили ящик с которого отсылаются пароли. Как же определить куда они уходят? Запускаем WinHex и открываем в нем исследуемую программу. Теперь вызовем диалог поиска нажатием “Ctrl+F” и предполагая что у злоумышленника ящик для приема писем зареган в той же зоте что и для отправки, в поле для поиска вписываем “.ru” так же можно вписать любой другой предполагаемый домен
    .


    [​IMG]

    Нажимаем на кнопку “OK” и первый же найденный результат приводит нас к ответу, на скрине первый выделенный ящик является получателем, а второй отправителем.

    [​IMG]

    Вот мы и распознали фейк программу. Даное руководство не является шаблонным, ведь программы могут быть написаны по разному, я лишь показал пример возможного обнаружения, так что при анализе программ включайте серое вещество и все получится. =)
     
    паша123 нравится это.
  2.  

Поделиться этой страницей

Уважаемый пользователь!

Мы обнаружили, что вы блокируете показ рекламы на нашем сайте.

Просим внести его в список исключения или отключить AdBlock.

Наши материалы предоставляются БЕСПЛАТНО и единственным доходом является реклама.

Спасибо за понимание!