Wpis z mikrobloga

Skopiuj link

23.03.2016, 20:02:33

Murki mam pewien pliczek .exe, który najprawdopodobniej jest keyloggerem. Chcę sprawdzić co ten dany program robi po uruchomieniu (prześledzić gdzie wychodzą informacje, które zbiera), oczywiście na jedynym prawilnym systemie, bo do windowsa nie mam dostępu. Jakieś pomysły jak to zrobić? Przeglądanie objdumpem w poszukiwaniu czegoś co może wyglądać jak adres ip czy e-mail nie bardzo mi się widzi, bo dość dużo linii to ma.

#linux #hacking w sumie też i #windows

piqt

23.03.2016, 20:06:03

@AvalonYuuna: Maszyna wirutalna + jakiś sandbox (np. sandboxie) + process monitor i process explorer z technetu + wireshark :)

list86

23.03.2016, 20:07:05

@AvalonYuuna: najpierw zobacz czy nie jest spakowany upx-em (często te śmieci są) i potem strings plik.exe + grep czasem daje efekty

marek22

23.03.2016, 20:11:42

@AvalonYuuna: może wrzuć do anubisa https://anubis.iseclab.org/?action=result&task_id=1296f68cb6ef521a4d53e8de4a4c15deb

@AvalonYuuna: gdb

@list86: widzę śliczny ciąg znaków, które nie są krzakami, więc spróbuję z tym grepem poszaleć.
@marek22: kurczę, trochę kolejką, ale te 1,5h poczekam.
@piqt: cumplu, troszkę możesz wyjaśnić bardziej?

piqt

23.03.2016, 20:22:52

@AvalonYuuna: Zainstaluj windowsa na maszynie wirtualnej, doinstaluj aplikację sandboxie i uruchom podejrzaną aplikację w trybie "piaskownicy" (wszystko co robi aplikacja będzie odkładało się w oddzielnych katalogach i będzie łatwe do wyśledzenia) jednocześnie odpal aplikację process monitor i wskaż proces który chcesz śledzić (aplikacja pokazuje wszystkie operacje realizowane przez procesy w systemie) do tego odpal wiresharka i zobacz z czym aplikacja chce się łączyć i co wysyła. Możesz też wrzucić aplikacje