Я думаю, что автор хочет узнать, можно ли в готовом трояне (ехешнике) узнать, разобрав оный, куда уходят пароли, какой метод, что забирает трой и тд
Sulf aka Joker всё за меня сказал. Просто какойто тип прислал мне трояна , но я его не запуслит и теперь хочу узнать куда уплывут мои пассы при запуске
Открой WinHex'ом, поищи что нить удобочитаемое. Чтоб узнать мыло хлзяина - запускаешь на виртуалке троя и снифером отлавливаешь обращения к SMTP.
Если экзешник запакован, то винхексом ты там ничего не высмотришь. Скачай PEiD и потом ищи нужный распаковщик... Если упаковано чем нить стандартным, то считай что тебе повезло. распаковщики можно посмотреть тут и конечно в гугле.
http://www.cracklab.ru/f/index.php?action=vthread&forum=1&topic=5541 http://www.cracklab.ru/f/index.php?action=vthread&forum=1&topic=4359
Тут показано как отсниферить. Была подобная ситуация, посмотрел видео, сразу все понял, разжовано хорошо) только там все под линукс, ищи этот же софт, только под винду.
Если троян SMTP, то можно запустить на виртуалке, снять дамп памяти через LordPE, например, а далее открыть дамп блокнотом и искать по фразе "MAIL FROM" нужные данные. Пароль и логин будут закодированы в Base64. По крайней мере, в один ящик попадёшь.
не все трои шлют пасы прямо на мыло, есть работающие через скрипт на хосте, шлют на скрипт инфу а патом скрипт пересылает её на нужное мыло, советую файрволом посмотреть, хотя это мало чего даст, хост может быть чужим и поломанным.....
Есть и более интересные вариации, работающие через IRC, ICQ и FTP. Ничего удивительного. Встречал разновидность, отстукивающую инфу на ноду через https даже.
