Привет всем
Сегодня я бы хотел рассказать о способе "расшифровки" простых вирусов!И так начнем!
Давайте допустим, что к Вам в руки попал вирус. Даже два. Первый кролик у нас на C, а второй на Visual C#. Мы не знаем назначения вирус но путём ловли трафика мы узнали, что он коннектится к FTP-серверу и заливает туда информацию о Ваших аккаунтах.
Всё, что будет описано ниже, подходит только для школо-вирусов.
[Опыты над C]
Я решил пойти трудно-лёгким путём и решил посмотреть что там через WinHex (олдфаги помнят). Собственно, дефолтный блок с началом и упоминанием ДОСа. Далее идут кракозябры, небольшой блок с точками, кракозябры, точки иии... Вот оно:
........................
50.54.12.5.21.vasya$$$
Argument domain....
Ну вы поняли. Разберём.
50.54.12.5 — IP
21 — Порт
vasya$$$ — Логин/пароль (?)
Путём мышления вспоминаем, что 21 — это стандартный порт FTP. Открываем старый добрый FileZilla, подключаемся к серверу, НО! Сталкиваемся с необъяснимым. Пароля-то нету! Или логина. Думаем и ещё немножко и понимаем что школьник купил самый тупой FTP-сервер с входом по логину! То есть о пароле речи не идёт, права админа зная только логин! Собственно в FileZill'е этот тип входа называется интерактивный.
Конечно же логин подошёл и мы оказались в рутовой директории.
Исходный код (да, это была пустышка):
int main(int argc, char *argv[]) {
char* ftp = "50.54.12.5";
char* port = "21";
char* login = "vasya$$$";
return 0;
}
[Опыты над .NET]
Предлагаем осмотреть ещё одну интересную пустышку на C#. Программа опять такого же назначения, но тут уже всё совсем не так. Раз уж это .NET, то воспользуемся программой .NET Reflector. Открываем её, выбираем C# (это может быть и не C#), открываем саму программу, смотрим классы. В конце каждого класса есть "Expand methods". Оно позволяет прочитать все переменные и код с точностью до оригинального. Поскольку это заглушка, мы сразу же увидим:
string server = "50.54.12.5";
string port = "21";
string login = "vasya$$$";
Вот и всё.
Я не знаю была ли эта статья на этом форуме,не надо писать что она старый баян ,а вы все крутые мамкиныхацкеры. Просто прочтите если нравиться,то отблагодорите. Если нет то перейдите на преведущщую страницу и читайте то что вам интересно!
Сегодня я бы хотел рассказать о способе "расшифровки" простых вирусов!И так начнем!
Давайте допустим, что к Вам в руки попал вирус. Даже два. Первый кролик у нас на C, а второй на Visual C#. Мы не знаем назначения вирус но путём ловли трафика мы узнали, что он коннектится к FTP-серверу и заливает туда информацию о Ваших аккаунтах.
Всё, что будет описано ниже, подходит только для школо-вирусов.
[Опыты над C]
Я решил пойти трудно-лёгким путём и решил посмотреть что там через WinHex (олдфаги помнят). Собственно, дефолтный блок с началом и упоминанием ДОСа. Далее идут кракозябры, небольшой блок с точками, кракозябры, точки иии... Вот оно:
........................
50.54.12.5.21.vasya$$$
Argument domain....
Ну вы поняли. Разберём.
50.54.12.5 — IP
21 — Порт
vasya$$$ — Логин/пароль (?)
Путём мышления вспоминаем, что 21 — это стандартный порт FTP. Открываем старый добрый FileZilla, подключаемся к серверу, НО! Сталкиваемся с необъяснимым. Пароля-то нету! Или логина. Думаем и ещё немножко и понимаем что школьник купил самый тупой FTP-сервер с входом по логину! То есть о пароле речи не идёт, права админа зная только логин! Собственно в FileZill'е этот тип входа называется интерактивный.
Конечно же логин подошёл и мы оказались в рутовой директории.
Исходный код (да, это была пустышка):
int main(int argc, char *argv[]) {
char* ftp = "50.54.12.5";
char* port = "21";
char* login = "vasya$$$";
return 0;
}
[Опыты над .NET]
Предлагаем осмотреть ещё одну интересную пустышку на C#. Программа опять такого же назначения, но тут уже всё совсем не так. Раз уж это .NET, то воспользуемся программой .NET Reflector. Открываем её, выбираем C# (это может быть и не C#), открываем саму программу, смотрим классы. В конце каждого класса есть "Expand methods". Оно позволяет прочитать все переменные и код с точностью до оригинального. Поскольку это заглушка, мы сразу же увидим:
string server = "50.54.12.5";
string port = "21";
string login = "vasya$$$";
Вот и всё.
Я не знаю была ли эта статья на этом форуме,не надо писать что она старый баян ,а вы все крутые мамкиныхацкеры. Просто прочтите если нравиться,то отблагодорите. Если нет то перейдите на преведущщую страницу и читайте то что вам интересно!