WmKing.ru

Здравствуйте, гость ( Вход | Регистрация )

> AntiPinch
Julianna
сообщение 25.8.2007, 15:46
Сообщение #1


Профи
******

Группа: Пользователи
Сообщений: 1 201
Регистрация: 5.10.2006
Пользователь №: 382
На форуме:
0d 1h 55m 19s


Заработано:5.73$
Выплачено:0$
Штрафы:0$
К выплате:5.73$


Пол: женский



Репутация:   18  


AntiPinch


gemaglab1n (http://underwater.cup.su)

IM-клиенты по-прежнему играют большую роль в общении по интернету. В России это ICQ,
на западе – AIM, Yahoo и MSN. В связи с такой популярностью расплодилось много форумов данной тематики с разнообразными мануалами по угону красивых скриннеймов и icq номеров. Данная статья наоборот поможет вам не стать жертвой этого асечного произвола ).
Два самых популярных метода – подбор паролей и всевозможные троянские программы.
Нас больше интересует второй метод так как он требует большего участия со стороны пользователя. Даже самый малофункциональный троян включает в себя возможность кражи паролей от мессенджеров.Возьмем для примера Pinch.Он ворует пароли из таких клиентов как Trillian, &RQ, Miranda и из всех официальных вплоть до ICQ lite 4.
Остановимся на каждом поподробнее.

0x00.Miranda

Самый продвинутый и функциональный клиент на момент написания статьи. Дает много возможностей для защиты. Во-первых, это клиент с открытыми исходными кодами и исправить их для грамотного человека не составит труда. Если же у вас плохо с этим, можно пойти по другому пути – спрятать миранду от Троянов. Для этого достаточно просто рассмотреть как они действуют. Открываем пинчевый модуль miranda.asm и сразу же в глаза бросается вот эта запись

@AllocStr , <"SOFTWARE\Miranda"> @AllocStr , <"Install_Dir">

Значит он считывает путь к миранде из реестра. Можно просто удалить этот ключ, но мы сделаем иначе – откроем миранду HEX – редактором и изменим строку Install_Dir на Path, после изменяем имя строкового параметра в реестре на Path.

Стоит заметить что все пароли хранятся в dat файлах и в сети полно мануалов по расшифровке алгоритма криптования пароля в этом клиенте. Проделываем туже операцию что и с Install_Dir только меняем строку .dat на что-то свое, допустим .icq Существует также плагины для обеспечения безопасности миранды. Например SecureIm позволяет обмениваться зашифрованными сообщениями. Минусы данного способа – у собеседника должен стоять такой же клиент с таким же плагинов.Или же mSecure который ограничивает загрузку профиля по паролю.

0x01.Andrq

Как и миранда является клиентом с открытыми исходными текстами. Пароль хранится в файле andrq.ini в папке с профилем. Алгоритм шифрования давно известен и является довольно легким. Смотрим файл &RQ.asm

@AllocStr , <"SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\&RQ"> @AllocStr , <"UninstallString">

Этот путь нужен только uninstaller`у и делает Крысу очень уязвимым клиентом. Достаточно просто удалить этот путь, не думая о том что возникнут конфликтные ситуации. Имея малейшие знания Delphi можно перестроить файл andrq.ini. Совсем не обязательно менять алгоритм шифрования пароля. Трояны находят зашифрованный пасс по строке crypted-password те достаточно поменять очередь этой строки в ini файле и ее название.

0x02.ICQ 4/5

С официальным клиентом ситуация посложнее. В реестре хранится информация о путях к смайлам, скину и самому клиенту. Удаление ключа повлечет за собой крах клиента. Можно также подредактировать файл HEX – редактором , но это требует немалых усилий так как помимо самого exe придется редактировать и dll файлы. Краже паролей подвержены только клиенты до icq lite 4 значит icq 5 уязвимым не является. Это является лучшим способом защититься.

0x03.QIP

Появился сравнительно недавно и успел завоевать популярность не только в России.Путь к клиенту можно найти в ветку Uninstal/Qip .После удаления ключа QIP прекрасно работал. Одним из плюсов является тот факт что функцию расшифровки зашифрованного пароля найти нетак легко и только последние версии Пинча могут это делать.

0x04.Fake Plugins

Такие клиенты как AndRQ и Miranda поддерживают плагины и исходники комплектуются PDK ( Plugin Dev Kit ) и примерами.Плагины для крысы еще не так развиты хотя существуют фейки.В противоположность крысе миранда без них не может существовать так как каждый протокол реализован в виде dll файла ( icq.dll / aim.dll … ).Существуют различные сборки и альтернативные icq библиотеки.Нелишним будет упомянуть что сборками можно пользоваться только проверенными,а библиотеки качать только с офф сайта или же isee от Bio (http://www.etplanet.com/bio/miranda/ )

0x04.AntiPinch

Отечественная разработка virii кодера. Кому как не им знать все аспекты кражи паролей : ) На момент написания статьи программа защищала Миранду, Крысу и QIP. Также можно сделать тест на уязвимость клиентов.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
 
Ответить в эту темуОткрыть новую тему
Ответов(1 - 3)
kanye
сообщение 29.8.2007, 6:56
Сообщение #2


Вникающий
**

Группа: Заблокированные
Сообщений: 69
Регистрация: 26.8.2007
Пользователь №: 2 766


Заработано:0.467$
Выплачено:0$
Штрафы:0.1$
К выплате:0.367$


Пол: мужской



Репутация:   0  


а где скачать можно?
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
nikola172
сообщение 21.3.2008, 18:39
Сообщение #3


Знающий
****

Группа: Заблокированные
Сообщений: 337
Регистрация: 21.3.2008
Пользователь №: 4 204


Заработано:2.066$
Выплачено:0$
Штрафы:0.19$
К выплате:1.876$


Пол: мужской



Репутация:   -2  


да скажите!
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
capitan)
сообщение 17.1.2010, 14:32
Сообщение #4


Подрабатывающий
***

Группа: Пользователи
Сообщений: 197
Регистрация: 14.1.2010
Пользователь №: 7 294
На форуме:
0d 20h 25m 50s


Заработано:1.046$
Выплачено:0$
Штрафы:0.04$
К выплате:1.006$


Пол: мужской



Репутация:   0  


миранду я вроде в сборке винды зверь видел. в июнских обновлениях.


--------------------
http://www.ipgold.ru/?r=dasmike классненький спонсор. сразу скажу что за просмотр сайтов и письма платит скромненько, но вот за выполнения задания приличненько. за 4 задания полтора рубля заработал
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Рекламный бот
сообщение
Сообщение #














Рекламное место свободно!
По вопросам размещения свяжитесь с администрацией форума.
Вернуться в начало страницы
Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0

 



- Текстовая версия Сейчас: 27.11.2024, 11:56