Analiza unui software: Shoot "IM"

nullbyte · October 11, 2007

Buna.

Recent am aflat si eu de Shoot messenger, de la cei de la 3k.

( http://shoot.3k.ro )

Nerabdator, mi-am facut cont, am instalat, si am intrat pe chat ca tot omul...

In momentul ala, mi-am zis, e un mess nou... Oare cum merge?

Am incercat sa-l tarasc peste Olly... dar am realizat ca e criptat.

M-am dus pe

http://virusscan.jotti.org

si am scanat fisierul Shoot.exe.

Am aflat ca softul cu care a fost criptat e ASPACK ( http://www.aspack.com/ ).

Desigur, acum trebuia decriptat. Am intrat pe Google, si am cautat:

unpack aspack

Am dat peste ( http://www.exetools.com/unpackers.htm ). De acolo, am ales: ASPack 2.11 unpacker by Unknown One ( http://www.exetools.com/files/unpackers/win/deasp10.zip ).

L-am decriptat. Acum, am pornit WireShark ( http://www.wireshark.org/ ). I-am dat sa analizeze placa de baza. Am pornit messengerul decriptat (out.exe) si m-am logat. Ce credeti ca am vazut?

4 0.017451 192.168.1.64 212.146.105.167 HTTP GET /verifica_user.php?user=NuLLByTe&parola=*********&versiune=v1.11 HTTP/1.1

Deci userul se logheaza prin http://shoot.3k.ro/verifica_user.php . Bun!

Odata intrat in chat, am scris un mesaj [sal].

Request
2 0.017573 193.230.227.9 192.168.1.64 TCP 6667 > 2580 [ACK] Seq=0 Ack=25 Win=5840 Len=0
Response
4 9.316852 192.168.1.64 193.230.227.9 TCP 2580 > 6667 [ACK] Seq=25 Ack=96 Win=65100 Len=0

Am observat portul (6667) si mi-am dat seama ca e vorba de IRC. Deci Shoot se bazeaza pe un server de IRC.

Am dat Follow TCP Stream.

PING :irc.protv.ro
PONG irc.protv.ro

Deci serverul e irc.protv.ro.

:roxy_dulcikutza1!1-19-15375@8FBC01DE.54565180.F927B150.IP PRIVMSG #generalqwe :kand a intreb?

Si canalul e generalqwe.

Am pornit Opera, am incercat sa ma conectez. Mi-a iesit. Dar canalul imi cerea o parola...

Am asteptat sa intre cineva.

:Gunther11092!2-22--@39F8504C.1ACFBAE.CD54811A.IP JOIN #generalqwe key

Aham. Parola e key.

OK, m-am deconectat de la server... Apoi, l-am deschis in Resource Tunner. Surpriza! Totul se poate edita

Oricum, l-am deschis in Hex Workshop, nu se poate edita adresa de conectare (sau cel putin nu am vazut eu, imi e cam somn).

Bye.

NuLLByTe_

G3o · October 12, 2007

BUN tutorial

Sign In

Analiza unui software: Shoot "IM"

Recommended Posts

nullbyte

G3o

Join the conversation

Browse

Activity

Pages