- Регистрация
- 26.12.2012
- Сообщения
- 2 780
- Репутация
Давно хотел эту статейку отрерайтить и выложить,но сейчас подумал,что лучше от этого она не станет.От себя добавлю,что тут описывается сотая часть от возможностей Wireshark,чтобы изучить все его
возможности,настройки,работу-нужно прочитать очень большое количество мануалов.
Оригинал статьи от Вазонеза:
Итак, сегодня мы будем отлавливать гейт/фтп/адрес, на которые настроен уже существующий билд стилера.
Нам понядобятся:
1 Билд стилера. Его ловим на любом хэк-форуме, обычно его впаривают под видом неибаццо полезной тулзы или кряка.
2Wireshark (
3 Виртуалка (Oracle VirtualBox)
Установку VBox и Wireshark опустим, это должно быть установлено и настроено заранее.
Первое, что надо сделать — убить или хотя бы за'suspend-ить все процессы, которые юзают сеть. Так будет проще найти нужные данные в тоннах хуйни. Запускаем Wireshark и настраиваем интерфейс для сниффинга: Capture -> Interfaces. Выбираем тот, который используется у Вас — в колонке Packets будет наибольшее число. Жмем "Start", тем самым начиная сниффинг.
Запускаем билд стилера (всё на виртуалке, и никак иначе!) и контролируем Process Explorer'ом (на самый худой и короткоствольный конец — Диспетчером задач) его работу, ожидаем завершения.
Переходим в Wireshark и жмем Capture -> Stop, т.е. завершаем сниффинг. Теперь у нас есть дамп сетевой активности всей системы за то время, пока работал билд стилера. Осталось найти нужные данные.
Для начала пробуем засечь FTP-сервер, вдруг стилер именно таким образом отправляет отчет с паролями. Для фильтрации в Wireshark'е есть всё необходимое — вбиваем в поле фильтрации (оно находится прямо над списком пойманных пакетов) слово "ftp" и жмем "Enter":
Мы получили список пакетов, отправленных по FTP:
На картинке обозначены хост, логин и пароль от FTP. Негодяй-впариватель попался, время отрывать ему яйца.
Если же ничего такого в окне сниффера не просматривается, значит на FTP логи не идут (еще это может значить, что в стилере включены анти-фичи вроде Anti-Wireshark, но об этом позже).
Попробуем словить адрес гейта. Убираем "ftp" из строки фильтрации и ищем по пакетам следы стилера. Жмем Ctrl+F для открытия окна поиска. Выбираем поиск строк (Find by: String) и вбиваем в поле поиска строку "UFR", остальное оставляем по дефолту, и ищем. Если билд отправляет пароли на гейт, что-то должно было найтись, вкусный пакет вот такого вида:
Обезьяна со стилером попалась, собираем кибер-братию и идём бить морду.
Если же находятся только левые пакеты, то забиваем, это всё быть мусор — на гейт ничего не идёт.
Остается только мыло. Для этого в поле фильтрации вбиваем строку "smtp" и видим такое:
Декодируем логин и пароль от мыла отправителя при помощи
Если же сниффинг ничего не дал, значит в стилере включена защита от подобной хуиты. Можно попробовать сменить имя EXE'шника вайршарка, или изменить заголовок окна, но не факт что поможет.
возможности,настройки,работу-нужно прочитать очень большое количество мануалов.
Оригинал статьи от Вазонеза:
Итак, сегодня мы будем отлавливать гейт/фтп/адрес, на которые настроен уже существующий билд стилера.
Нам понядобятся:
1 Билд стилера. Его ловим на любом хэк-форуме, обычно его впаривают под видом неибаццо полезной тулзы или кряка.
2Wireshark (
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
)3 Виртуалка (Oracle VirtualBox)
Установку VBox и Wireshark опустим, это должно быть установлено и настроено заранее.
Первое, что надо сделать — убить или хотя бы за'suspend-ить все процессы, которые юзают сеть. Так будет проще найти нужные данные в тоннах хуйни. Запускаем Wireshark и настраиваем интерфейс для сниффинга: Capture -> Interfaces. Выбираем тот, который используется у Вас — в колонке Packets будет наибольшее число. Жмем "Start", тем самым начиная сниффинг.
Запускаем билд стилера (всё на виртуалке, и никак иначе!) и контролируем Process Explorer'ом (на самый худой и короткоствольный конец — Диспетчером задач) его работу, ожидаем завершения.
Переходим в Wireshark и жмем Capture -> Stop, т.е. завершаем сниффинг. Теперь у нас есть дамп сетевой активности всей системы за то время, пока работал билд стилера. Осталось найти нужные данные.
Для начала пробуем засечь FTP-сервер, вдруг стилер именно таким образом отправляет отчет с паролями. Для фильтрации в Wireshark'е есть всё необходимое — вбиваем в поле фильтрации (оно находится прямо над списком пойманных пакетов) слово "ftp" и жмем "Enter":
Мы получили список пакетов, отправленных по FTP:
На картинке обозначены хост, логин и пароль от FTP. Негодяй-впариватель попался, время отрывать ему яйца.
Если же ничего такого в окне сниффера не просматривается, значит на FTP логи не идут (еще это может значить, что в стилере включены анти-фичи вроде Anti-Wireshark, но об этом позже).
Попробуем словить адрес гейта. Убираем "ftp" из строки фильтрации и ищем по пакетам следы стилера. Жмем Ctrl+F для открытия окна поиска. Выбираем поиск строк (Find by: String) и вбиваем в поле поиска строку "UFR", остальное оставляем по дефолту, и ищем. Если билд отправляет пароли на гейт, что-то должно было найтись, вкусный пакет вот такого вида:
Обезьяна со стилером попалась, собираем кибер-братию и идём бить морду.
Если же находятся только левые пакеты, то забиваем, это всё быть мусор — на гейт ничего не идёт.
Остается только мыло. Для этого в поле фильтрации вбиваем строку "smtp" и видим такое:
Декодируем логин и пароль от мыла отправителя при помощи
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
веб-морды, заходим в почту и меняем пароль (чтоб поднасрать, ибо нехуй!).Если же сниффинг ничего не дал, значит в стилере включена защита от подобной хуиты. Можно попробовать сменить имя EXE'шника вайршарка, или изменить заголовок окна, но не факт что поможет.
