пятница, 24 августа 2012 г.

Реверсим фейк

Опять в моём скромном бложике какой то школьник выложил свой фейк, придётся реверснуть...


Инструмент:
IDR - Отладчик для Delphi приложений + База знаний Delphi7 kb7.bin

Фейк написан на Delphi 7, ничем не запакован и по этому отправляем его в IDR. После того как IDR завершит свою работу открываем первую форму видим следующее:


Тут всё ясно - фейк отправляет данные на почту. Попробуем достать эти данные из кода программы, для этого кликаем ПКМ по кнопке и выбираем обработчик события OnClick


По адресу 0052FF9A и 0052FFAC программа берёт данные из полей, далее вызывается некая функция по адресу 0052FFB5 - смотрим её: http://pastebin.com/yws2i6mX (она слишком большая и копировать её сюда я не стал.)

Функция это делает следующие:
1. По адресу 0052FB60 отправляет GET запрос с параметрами логин и пароль
2. По адресу 0052FB6D проверяет ответ сервера, если title равняется "Вход" значит данные не верны.
3. По адресу 0052FB74 проверяет результат функции POS если он равен 0 значит выполняем код отправки этих данных на почту

Достаём логин и пароль:



Пароль отправляется на этот же адрес:


С информативной темой.

Вывод: постить ссылки на фейки у мну в блоге лучше не стоит.

Ссылку на фейк по понятным причинам не даю.

34 комментария:

  1. молодец ванс, так ему и надо!

    ОтветитьУдалить
  2. Спасябки за почту, я все его сайты посносил =)

    ОтветитьУдалить
  3. Вопрос не по теме, а VkAksCheck можно где-нибудь скачать? В теме с ней ссылка битая, не качает...

    ОтветитьУдалить
  4. скучный у тебя сайт =(

    ОтветитьУдалить
    Ответы
    1. http://s017.radikal.ru/i411/1208/a3/2b4221cb1552.jpg

      Удалить
    2. Не то что скучный, как мутный. Прямо как VanS.

      Удалить
  5. QLike вернётся?

    ОтветитьУдалить
    Ответы
    1. тут обнаружилась такая несправедливость (я думаю тебя заинтересует). Есть сайт prcr.org и теперь уже есть бот для него, написанный чуваком под ником volk, но фишка в том, что он платный. Да там не такие уж большие деньги (100р. всего), но всегда хочется халявы =) Так я к чему веду - может ты этот бот крякнешь, да и выложишь, или же напишешь своего бота для этого сайта (а это было бы даже круче). Я думаю здешнему народу бы эт очень понравилось =)
      Вот ссылка с продажей бота на ачате:
      http://forum.antichat.ru/thread348155.html
      VANS, твой софт всяко будт лучше, сделай доброе дело =)

      Удалить
    2. А ссылку на этого бота можно?

      Удалить
    3. VANS, дак ведь спрашивал я на зисмо - там все жопошники, хрен кто даст. Подсунул кто-то архив - VT выдал мне отчёт о 17 вирях внутри, и я зассал его открывать =)

      Удалить
    4. Вот как отвечают обычно:
      http://goo.gl/Q3ugN
      Я не думаю, что там настолько суперкрутая привязка - у apple тоже привязка к железу, но хакинтош же есть =)
      VANS, напиши свой софт, мы все обоссымся от щастья =)

      Удалить
    5. trik, крякнуть можно всё что запускается.

      Пусть автор не думает что энигма спасёт его.

      Удалить
    6. http://zismo.ru/forum/11-179638-1
      вот ссылка на тему

      Удалить
  6. Да-да, было бы здорово!

    ОтветитьУдалить
  7. Ссылка на бот http://volk-blog.ru/PRCR-Bot.exe
    Вирустотал 5/41

    ОтветитьУдалить
  8. Ответы
    1. Тоесть Volk упаковал?)

      Удалить
    2. Бот походу тот самый, но требует активацию, мать его =)
      удем ждать. пока Vans ковырнёт его энигму =)

      Удалить
  9. Народ совсем уже обнаглел. 100 рублей бля этой проги это копейки, а вы человека напрягаете.
    Я купил вчера, за день трижды уже окупилась!

    ОтветитьУдалить
    Ответы
    1. Я думаю, что Vans крякнет её из интереса)
      Тут не в сумме дело)

      Удалить
    2. Слушай, я выложил ссылку потому что Vans написал следущее "А ссылку на этого бота можно?" и тут дело не в наглости совсем. Если ты у нас такой "необнаглевший" и все проги покупаешь то нафиг вабще заходишь на этот блог, иди и торгуйся на античете блин!

      Удалить
  10. Ого! Научишь меня фэйки ломать? Мда.... А зачем придумали WireShark? Ну да, нам нужен хард нам нужен экстрим хD! И вроде бы ничего "МЕГО-СЛОЖНОГО" нету в поиске пасса через олидебаггер.

    ОтветитьУдалить
    Ответы
    1. Да просто VanS всякую муть в виде уроков выкладывает. На лучшее он настоящий КУРБАН.

      Удалить
    2. Статья написана для того что бы люди не велись на подобную хрень и знали как определить фейк. Сами то, кроме того как рубится в любимую КС со одноклашками ничего не умеете.

      Удалить
    3. Ну конечно, только рубиться можем. Ты у нас он какой специалист есть.

      Удалить
  11. VanS молодец) хороший софт пишешь) жаль только что быстро умирает

    ОтветитьУдалить
  12. через ту активация идет а вот сам бот http://rghost.ru/40602086

    ОтветитьУдалить
  13. могу взломать пишите в скайп , vanpeace11 ,,,, кидать только сам бот

    ОтветитьУдалить
  14. какой вы умный! не зря столько хитрых программ пишите...

    ОтветитьУдалить