Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Een .exe debuggen

Pagina: 1
Acties:

zondag 9 april 2006 23:31

Acties:

Verwijderd

Topicstarter
Hallo,

Kort geleden werd ik geinfecteerd met een zogenaamde e-gold trojan. Als je inlogt op je e-gold rekening, neemt hij nadat je bent ingelogd je sessie over en maakt hij bijna al je geld over naar iemand anders zijn rekening.

Ik kwam erachter doordat elke keer als ik inlogde, werd mijn window 'afgesloten'. Maar echt *meteen* als ik op de login knop druk. Dat zou misschien 1 keer kunnen gebeuren, maar niet een paar keer. Blijkt dus dat het programma het window verbergt en de sessie overneemt, en zichzelf daarna verwijderd, zie http://www.lurhq.com/grams.html. In mijn geval is dat dus niet gebeurd, omdat ik minder geld op mijn rekening had staan dan je minimaal over moet maken. En toen is hij dus elke keer dat ik inlogde mijn sessie over gaan nemen.

Nu is er dus geen transactie gebeurd, en weet ik niet wie mij met deze trojan heeft geinfecteerd. Ik wou er door middel van debuggen van de .exe achter komen naar wie hij het zou overmaken. Ik heb echter geen idee hoe dit gaat, kan iemand mij dit uitleggen?

zondag 9 april 2006 23:35

Acties:
  • H!GHGuY
  • Registratie: December 2002
  • Niet online

H!GHGuY

Try and take over the world...

je kan je gokje wagen door met "textscan" van AnalogX (www.analogx.com) eens te kijken of er bepaalde text-strings in zitten.

Je kan er vanop aan dat als de programmeur echter iets van programmeren kent, hij toch minstens zijn adres etc op het moment zelf laat "berekenen".

Je kan natuurlijk ook proberen een debugger aan het process te attachen, maar meer dan assembly-code zul je niet vinden. (In het extreme is er BlackIce (of zoiets))

ASSUME makes an ASS out of U and ME

zondag 9 april 2006 23:47

Acties:
  • Erik Jan
  • Registratie: Juni 1999
  • Niet online

Erik Jan

Langzaam en zeker

Of IDA Pro... maar zonder een flinke dosis kennis van x86 assembly kom je _echt_ nergens. Laat staan dat als je een rekeningnummer hebt gevonden, dat uiteindelijk zal leiden tot de vervolging van de schuldige, die waarschijnlijk achter vele proxy's verstopt vanuit een op dat gebied wetteloos (vaak Oost-Europees / Aziatisch) land opereert...

This can no longer be ignored.

zondag 9 april 2006 23:52

Acties:
  • usgaap
  • Registratie: Oktober 2005
  • Laatst online: 27-11 21:00

usgaap

Debuggen vereist kennis van Assembly, Hex en binair.

Er zijn een heleboel programma's die je daarvoor kan gebruiken zoals Ollydbg. een ander programma is W32DASM. Ik denk dat je er alleen zonder kennis niet veel verder mee komt.

De kans is groot dat het rekeningnummer allang gesloten is en andere relevante informatie verdwenen is. Daarnaast is het niet raadzaam om een trojan op je computer de debuggen, gebruik daar een virtuele OS voor zoals VMWare.

zondag 9 april 2006 23:58

Acties:
  • Jimbolino
  • Registratie: Januari 2001
  • Laatst online: 00:01

Jimbolino

troep.com

Runnen op vmware, sniffer draaien en http protocol onderscheppen.

Heb op dezelfde manier een aantal sd-botnets opgerold.

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

maandag 10 april 2006 08:58

Acties:
  • whoami
  • Registratie: December 2000
  • Laatst online: 10:52

whoami

Dit heeft niet zozeer met programmeren te maken; een betere plek is 'Beveiliging & Virussen'

-> BV

https://fgheysels.github.io/

maandag 10 april 2006 21:22

Acties:
  • Thralas
  • Registratie: December 2002
  • Laatst online: 23:39

Thralas

usgaap1976 schreef op zondag 09 april 2006 @ 23:52:
Debuggen vereist kennis van Assembly, Hex en binair.

Er zijn een heleboel programma's die je daarvoor kan gebruiken zoals Ollydbg. een ander programma is W32DASM. Ik denk dat je er alleen zonder kennis niet veel verder mee komt.

De kans is groot dat het rekeningnummer allang gesloten is en andere relevante informatie verdwenen is. Daarnaast is het niet raadzaam om een trojan op je computer de debuggen, gebruik daar een virtuele OS voor zoals VMWare.
Je kunt inderdaad een hex editor of OllyDbg gebruiken om hardcoded strings te zoeken. Ik denk dat de kans wel aanwezig is dat het egold 'adres' van de ontvanger hardcoded en unencrypted is. Hex Workshop (voorbeeld) markeert strings nogal vervelend, Olly list ze netjes, en de strings eruitpikken met Olly is niet meer dan een kwestie van de executable openen via File -> Open, en dan rechterklikken in de main window Find All -> Referenced Text Strings. Doe dit, als je een debugger als OllyDbg gebruikt, zoals usgaap1976 al aangaf in een VM mocht er iets mis gaan. Al is er als het goed is niets aan de hand als je maar NIET op run / F9 drukt.

Nogmaals, doe het liever niet dan dat je jezelf nogmaals besmet
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq