Хай народ! Я тут новенький (сорри за флуд), но проф. занимаюсь сис. программированием! Увы PHP, Java и подобную хренотень не знаю (да и времени не было изучать), пишу исключительно на Си++ ну и изредко на Delphi.... Ближе к телу! Решил навоять небольшой троянчик для хака magent`a! Сегодня утром написал сканер дампа сегмента данных MAgenta... Должен выдирать логин и пароль к сей почтовой приблуде! Программуля маленькая, сканит и ищет определенную сигнатуру, при обнаружении сохраняет в файл <C:\magent.pas> все что навыдирала! Увы может работать достаточно долго, так как механизм не заточен на статический адрес в сегменте данных, а реализованно все в виде перебора памяти процесса magent... Наиболее нормальный механизм, так как адреса не всегда являются статичными и могут меняться от версии MAgenta! начальные данные для сканинга беруться из реестра, вернее создается сигнатура для поиска, это почтовый адрес и хэш пароля(скорее всего)... Думаю дописать её в виде сервиса который бы после выдирания слал бы всю инфу либо на мыло, или на ICQ , скорее всего оба варианта будут использоваться! Прога у меня работает, на 3 тачилах тестил, и разные количества логинов генерировал.. Нужно потестить правильно ли выдирает пару логин и пароль! Посмотрите плиз! Сразу оговорюсь без всяких подстав и вирей! При тесте можете отрубиться от инета, чтобы не было нехороших мыслей, если все будет удачно, после завершения написания поделюсь! Собственно сама прога: [Потёр недоверчивый SladerNon.] P.S. расширение ExE естесно... Прога сыра, могут быть баги, может провисать проц, так как сканин в цикле... А вообще жду рецензий!
Интересно, а размер в 10 с небольшим килобайт, он писал на делфи или на c++))) и в том и в другом такого размера не добиться. Программка, которая выводит сообщение на c++ весит килобайт 60, только что проверил.
Antivirus Version Update Result AntiVir 7.3.0.21 01.09.2007 no virus found Authentium 4.93.8 01.12.2007 no virus found Avast 4.7.892.0 12.30.2006 no virus found AVG 386 01.11.2007 no virus found BitDefender 7.2 01.12.2007 no virus found CAT-QuickHeal 9.00 01.12.2007 no virus found ClamAV devel-20060426 01.12.2007 no virus found DrWeb 4.33 01.12.2007 no virus found eSafe 7.0.14.0 01.10.2007 suspicious Trojan/Worm eTrust-InoculateIT 23.73.112 01.12.2007 no virus found eTrust-Vet 30.3.3319 01.11.2007 no virus found Ewido 4.0 01.11.2007 no virus found Fortinet 2.82.0.0 01.12.2007 suspicious F-Prot 3.16f 01.12.2007 no virus found F-Prot4 4.2.1.29 01.12.2007 no virus found Ikarus T3.1.0.27 01.09.2007 no virus found Kaspersky 4.0.2.24 01.12.2007 no virus found McAfee 4937 01.11.2007 no virus found Microsoft 1.1904 01.12.2007 no virus found NOD32v2 1972 01.11.2007 no virus found Norman 5.80.02 01.12.2007 no virus found Panda 9.0.0.4 01.12.2007 no virus found Prevx1 V2 01.12.2007 no virus found Sophos 4.13.0 01.11.2007 no virus found Sunbelt 2.2.907.0 01.12.2007 no virus found TheHacker 6.0.3.147 01.11.2007 no virus found UNA 1.83 01.11.2007 no virus found VBA32 3.11.2 01.12.2007 no virus found VirusBuster 4.3.19:9 01.11.2007 no virus found
Ню-ню.... Ты родной программингом занимался когда нить? Слышал про написание программ без MFC! Это раз, а во вторых это не троян 100%, Писалось на Си++... И упаковано UPX`ом.. Мля хакеры.. Ламерством пованивает! =( Если уж в программинге не шарите нах что=то гнать? Я сказал, что это не троян и ни вирь! Ну как вам докажешь?
Мало ли что ты сказал, ты кто вообще такой ?=) С сегодняйшей регой к тому же. Лично я таким методом впариваю трои, по этому и не верю.
Ну ладно, может просто наш новый дружок, захочет поделиться исходничком? а мы уж сами и скомпилируем и запакуем
Угу.. А рульному хацкеру слабо дизасмом пройтись и проверить, а перед этим распаковать файлик? =) А? Хацкер? Али демагеры (Soft ICe и т.п.) Мы не знаем?
При таком раскладе мона firewall поставить на запрещенный режим для всего и проверить прогу. Файл создается на диске c:\ . Если что, то удалить прогу.
Мда. Мембер, который пишет на С++ программы размером 11kb не стал бы орать "запустите плиз!!! Очень надо!" (имхо)Да и проще перехватить данные пре пересылке (за основу можно взять снифер nerezus'а.) логин\пароль передаются в открытом виде, без всяких хешей (сам знаю, ковырялся в протоколе)
