Как выковырять информацию с нубо-вирусов? Взламываем школо-хацкеров!
Окей, давайте допустим, что к Вам в руки попал вирус. Даже два. Первый кролик у нас на C, а второй на Visual C#. Мы не знаем назначения вирус но путём ловли трафика мы узнали, что он коннектится к FTP-серверу и заливает туда информацию о Ваших аккаунтах.
Всё, что будет описано ниже, подходит только для школо-вирусов.
[Опыты над C]
Я решил пойти трудно-лёгким путём и решил посмотреть что там через WinHex (олдфаги помнят). Собственно, дефолтный блок с началом и упоминанием ДОСа. Далее идет код, небольшой блок с точками, код, точки иии... Вот оно:
........................
50.54.12.5.21.vasya$$$
Argument domain....
Ну вы поняли. Разберём.
50.54.12.5 — IP
21 — Порт
vasya$$$ — Логин/пароль (?)
Путём мышления вспоминаем, что 21 — это стандартный порт FTP. Открываем старый добрый FileZilla, подключаемся к серверу, НО! Сталкиваемся с необъяснимым. Пароля-то нету! Или логина. Думаем и ещё немножко и понимаем что школьник купил самый тупой FTP-сервер с входом по логину! То есть о пароле речи не идёт, права админа зная только логин! Собственно в FileZill'е этот тип входа называется интерактивный.
Конечно же логин подошёл и мы оказались в рутовой директории.
Исходный код (да, это была пустышка):
int main(int argc, char *argv[]) {
char* ftp = "50.54.12.5";
char* port = "21";
char* login = "vasya$$$";
return 0;
}
[Опыты над .NET]
Предлагаем осмотреть ещё одну интересную пустышку на C#. Программа опять такого же назначения, но тут уже всё совсем не так. Раз уж это .NET, то воспользуемся программой .NET Reflector. Открываем её, выбираем C# (это может быть и не C#), открываем саму программу, смотрим классы. В конце каждого класса есть "Expand methods". Оно позволяет прочитать все переменные и код с точностью до оригинального. Поскольку это заглушка, мы сразу же увидим:
string server = "50.54.12.5";
string port = "21";
string login = "vasya$$$";
Вот и всё.
Окей, давайте допустим, что к Вам в руки попал вирус. Даже два. Первый кролик у нас на C, а второй на Visual C#. Мы не знаем назначения вирус но путём ловли трафика мы узнали, что он коннектится к FTP-серверу и заливает туда информацию о Ваших аккаунтах.
Всё, что будет описано ниже, подходит только для школо-вирусов.
[Опыты над C]
Я решил пойти трудно-лёгким путём и решил посмотреть что там через WinHex (олдфаги помнят). Собственно, дефолтный блок с началом и упоминанием ДОСа. Далее идет код, небольшой блок с точками, код, точки иии... Вот оно:
........................
50.54.12.5.21.vasya$$$
Argument domain....
Ну вы поняли. Разберём.
50.54.12.5 — IP
21 — Порт
vasya$$$ — Логин/пароль (?)
Путём мышления вспоминаем, что 21 — это стандартный порт FTP. Открываем старый добрый FileZilla, подключаемся к серверу, НО! Сталкиваемся с необъяснимым. Пароля-то нету! Или логина. Думаем и ещё немножко и понимаем что школьник купил самый тупой FTP-сервер с входом по логину! То есть о пароле речи не идёт, права админа зная только логин! Собственно в FileZill'е этот тип входа называется интерактивный.
Конечно же логин подошёл и мы оказались в рутовой директории.
Исходный код (да, это была пустышка):
int main(int argc, char *argv[]) {
char* ftp = "50.54.12.5";
char* port = "21";
char* login = "vasya$$$";
return 0;
}
[Опыты над .NET]
Предлагаем осмотреть ещё одну интересную пустышку на C#. Программа опять такого же назначения, но тут уже всё совсем не так. Раз уж это .NET, то воспользуемся программой .NET Reflector. Открываем её, выбираем C# (это может быть и не C#), открываем саму программу, смотрим классы. В конце каждого класса есть "Expand methods". Оно позволяет прочитать все переменные и код с точностью до оригинального. Поскольку это заглушка, мы сразу же увидим:
string server = "50.54.12.5";
string port = "21";
string login = "vasya$$$";
Вот и всё.