![[Гайд]Как распознать фейк. 9d8eca5b65a6](http://i018.radikal.ru/1202/6d/9d8eca5b65a6.png)
1.Здраствуйте уважаемые гости чтобы качать читы,хаки и д.т. Вам надо *
1![[Гайд]Как распознать фейк. Empty](https://illiweb.com/empty.gif)
[Гайд]Как распознать фейк. Пт Апр 13, 2012 6:41 am
KaRaM
Перец II ранга
Всем привет с вами KaRaM, сегодня наткнулся на очередную фейк программу и подумал почему бы не написать руководство по их распознаванию.
Инструменты которые нам потребуются:
Программы легко гуглятся, так что не спрашивайте у меня где их достать.
В качестве примера я взял фейк RFLogin'a который обнаружил на одном форуме.
Начнем с того что запустим PE Explorer. Он выглядит вот так:
[Вы должны быть зарегистрированы и подключены, чтобы видеть это изображение]
Перетащим на него исследуемую программу и затем нажмем на указанный значек:
[Вы должны быть зарегистрированы и подключены, чтобы видеть это изображение]
Откроется редактор ресурсов. В левой части отображается список групп ресурсов. В нем мы видим такую группу как
“RC Data” присутствие этой группы уже говорит о том что программа написана либо на Delphi либо на C++ Builder. Открыв эту группу мы видим среди ее ресурсов "DVCLAL". Выбрав его мы узнаем компилятор:
[Вы должны быть зарегистрированы и подключены, чтобы видеть это изображение]
Так же мы видим ресурс под названием “TFORM1” это текстовый ресурс описывающий формы формата Delphi/C++ Builder. В PE Explorer’е он структурирован и можно посмотреть каждый объект в отдельности по уровням вложенности. Щелкаем на плюсик что бы раскрыть список, внутри видим объект под названием “Form1: TForm1” это главная форма программы. Его так же раскрываем и видим элементы находящиеся на форме, среди них есть “IdSMTP1: TIdSMTP ”, это и есть компонент с помощью которого происходит отправка письма. Выбираем его и в правой части видим список его свойств:
1.MaxLineAction = maException
2.ReadTimeout = 0
3.Host = 'smtp.mail.ru'
4.Port = 2525
5.AuthenticationType = atLogin
6.Password = 'qweasd'
7.Username = 'moneyfreeze'
8.Left = 2
9.Top = 5
[Вы должны быть зарегистрированы и подключены, чтобы видеть это изображение]
Из этого мы видим, что программа подключается к почтовому серверу 'smtp.mail.ru' под логином 'moneyfreeze' с паролем 'qweasd' иными словами она отправляет пароли с почтового ящика '[Ссылки могут видеть только зарегистрированные пользователи. ]' . Паролем от этого ящика является 'qweasd'. Заходим на этот ящик и меняем пароль, тем самым обламываем программу и ее создателя, так как она уже не сможет входить на ящик и отсылать пароли. :d
Мы определили ящик с которого отсылаются пароли. Как же определить куда они уходят? Запускаем WinHex и открываем в нем исследуемую программу. Теперь вызовем диалог поиска нажатием “Ctrl+F” и предполагая что у злоумышленника ящик для приема писем зареган в той же зоте что и для отправки, в поле для поиска вписываем “.ru” так же можно вписать любой другой предполагаемый домен.
[Вы должны быть зарегистрированы и подключены, чтобы видеть это изображение]
Нажимаем на кнопку “OK” и первый же найденный результат приводит нас к ответу, на скрине первый выделенный ящик является получателем, а второй отправителем.
[Вы должны быть зарегистрированы и подключены, чтобы видеть это изображение]
Вот мы и распознали фейк программу. Даное руководство не является шаблонным, ведь программы могут быть написаны по разному, я лишь показал пример возможного обнаружения, так что при анализе программ включайте серое вещество и все получится. =)
Всем спасибо за внимание!
Инструменты которые нам потребуются:
- Код:
Всем известный хекс редактор – WinHex (Можно воспользоваться любым другим)
Редактор ресурсов, я буду использовать редактор ресурсов встроенный в PE Explorer
Программы легко гуглятся, так что не спрашивайте у меня где их достать.
В качестве примера я взял фейк RFLogin'a который обнаружил на одном форуме.
Начнем с того что запустим PE Explorer. Он выглядит вот так:
[Вы должны быть зарегистрированы и подключены, чтобы видеть это изображение]
Перетащим на него исследуемую программу и затем нажмем на указанный значек:
[Вы должны быть зарегистрированы и подключены, чтобы видеть это изображение]
Откроется редактор ресурсов. В левой части отображается список групп ресурсов. В нем мы видим такую группу как
“RC Data” присутствие этой группы уже говорит о том что программа написана либо на Delphi либо на C++ Builder. Открыв эту группу мы видим среди ее ресурсов "DVCLAL". Выбрав его мы узнаем компилятор:
[Вы должны быть зарегистрированы и подключены, чтобы видеть это изображение]
Так же мы видим ресурс под названием “TFORM1” это текстовый ресурс описывающий формы формата Delphi/C++ Builder. В PE Explorer’е он структурирован и можно посмотреть каждый объект в отдельности по уровням вложенности. Щелкаем на плюсик что бы раскрыть список, внутри видим объект под названием “Form1: TForm1” это главная форма программы. Его так же раскрываем и видим элементы находящиеся на форме, среди них есть “IdSMTP1: TIdSMTP ”, это и есть компонент с помощью которого происходит отправка письма. Выбираем его и в правой части видим список его свойств:
1.MaxLineAction = maException
2.ReadTimeout = 0
3.Host = 'smtp.mail.ru'
4.Port = 2525
5.AuthenticationType = atLogin
6.Password = 'qweasd'
7.Username = 'moneyfreeze'
8.Left = 2
9.Top = 5
[Вы должны быть зарегистрированы и подключены, чтобы видеть это изображение]
Из этого мы видим, что программа подключается к почтовому серверу 'smtp.mail.ru' под логином 'moneyfreeze' с паролем 'qweasd' иными словами она отправляет пароли с почтового ящика '[Ссылки могут видеть только зарегистрированные пользователи. ]' . Паролем от этого ящика является 'qweasd'. Заходим на этот ящик и меняем пароль, тем самым обламываем программу и ее создателя, так как она уже не сможет входить на ящик и отсылать пароли. :d
Мы определили ящик с которого отсылаются пароли. Как же определить куда они уходят? Запускаем WinHex и открываем в нем исследуемую программу. Теперь вызовем диалог поиска нажатием “Ctrl+F” и предполагая что у злоумышленника ящик для приема писем зареган в той же зоте что и для отправки, в поле для поиска вписываем “.ru” так же можно вписать любой другой предполагаемый домен.
[Вы должны быть зарегистрированы и подключены, чтобы видеть это изображение]
Нажимаем на кнопку “OK” и первый же найденный результат приводит нас к ответу, на скрине первый выделенный ящик является получателем, а второй отправителем.
[Вы должны быть зарегистрированы и подключены, чтобы видеть это изображение]
Вот мы и распознали фейк программу. Даное руководство не является шаблонным, ведь программы могут быть написаны по разному, я лишь показал пример возможного обнаружения, так что при анализе программ включайте серое вещество и все получится. =)
Всем спасибо за внимание!
