Сетевые запросы:

Discussion in 'Реверсинг' started by darckmilord, 10 Jul 2012.

  1. darckmilord

    darckmilord Elder - Старейшина

    Joined:
    8 Feb 2007
    Messages:
    50
    Likes Received:
    14
    Reputations:
    0
    есть программа: скачать
    при установке она ставит еще 2. Вавилон тул бар и еще какую то. Можно ли выцепить какие запросы по сети и куда они отправляют? Я так понимаю это через сниферы делается, пока сам разбираюсь, но может кто знает.

    А то поставил а она всякой дряни напихала, и авер промолчал. Хочется знать что там сокрыто.
     
  2. mrfreeze

    mrfreeze New Member

    Joined:
    4 Apr 2012
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    Убирай переключатель с полной установки в следующий раз, снимай галки с установки баров и всего прочего, что тебе не нужно. Из официальных дистрибутивов такого не схватишь
     
  3. darckmilord

    darckmilord Elder - Старейшина

    Joined:
    8 Feb 2007
    Messages:
    50
    Likes Received:
    14
    Reputations:
    0
    Все равно любопытно, там что то слишком много запросов отправляется. Хочу докопаться до того что отправляет.
     
  4. mrfreeze

    mrfreeze New Member

    Joined:
    4 Apr 2012
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    Снифай трафик
     
  5. darckmilord

    darckmilord Elder - Старейшина

    Joined:
    8 Feb 2007
    Messages:
    50
    Likes Received:
    14
    Reputations:
    0
    Ставит она BabylonToolbar и RelevantKnowledge адвару
    данные шлет на 165.193.78.245

    а что за данные, фиг его пойми, разобрал п запчастям инсталятор, там длл-ка которая грузит RelevantKnowledge по сети, скачал аида про и вот так вот за 5 секунд дизасемблировать не научился)))
     
  6. mrfreeze

    mrfreeze New Member

    Joined:
    4 Apr 2012
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    Смотри автозагрузку. Если фаер не стоит - данные уже отправлены, меняй пассы. Ставь авиру, блокируй для приложения все порты. Установи AnVir Task Manager, смотри путь процесса, удаляй оттуда всё, перезапускай комп
     
  7. darckmilord

    darckmilord Elder - Старейшина

    Joined:
    8 Feb 2007
    Messages:
    50
    Likes Received:
    14
    Reputations:
    0
    ну вообще я как бы под завиртуаленой через qemu системой) Я понимаю что сама qemu не имеет защиты от выхода из гостевой системы. Но вроде оутпост не ругался под 7кой.

    RelevantKnowledge - там за 2004 год, работающий, устанавливается по фтп при помощи itdownload.dll. Удаляется просто из программ файлов. Последующее сканирование системы признаков этой дряни не обнаруживает (авира и cureIt)
    сейчас копаю эту самую длл, и читаю мат часть по дизасемблированию, оказывается очень интересное и занятное дело - только нифига не понятно.