nullbyte Posted October 11, 2007 Report Share Posted October 11, 2007 Buna.Recent am aflat si eu de Shoot messenger, de la cei de la 3k.( http://shoot.3k.ro )Nerabdator, mi-am facut cont, am instalat, si am intrat pe chat ca tot omul...In momentul ala, mi-am zis, e un mess nou... Oare cum merge?Am incercat sa-l tarasc peste Olly... dar am realizat ca e criptat.M-am dus pehttp://virusscan.jotti.orgsi am scanat fisierul Shoot.exe.Am aflat ca softul cu care a fost criptat e ASPACK ( http://www.aspack.com/ ).Desigur, acum trebuia decriptat. Am intrat pe Google, si am cautat:unpack aspackAm dat peste ( http://www.exetools.com/unpackers.htm ). De acolo, am ales: ASPack 2.11 unpacker by Unknown One ( http://www.exetools.com/files/unpackers/win/deasp10.zip ).L-am decriptat. Acum, am pornit WireShark ( http://www.wireshark.org/ ). I-am dat sa analizeze placa de baza. Am pornit messengerul decriptat (out.exe) si m-am logat. Ce credeti ca am vazut?4 0.017451 192.168.1.64 212.146.105.167 HTTP GET /verifica_user.php?user=NuLLByTe&parola=*********&versiune=v1.11 HTTP/1.1Deci userul se logheaza prin http://shoot.3k.ro/verifica_user.php . Bun!Odata intrat in chat, am scris un mesaj [sal].Request2 0.017573 193.230.227.9 192.168.1.64 TCP 6667 > 2580 [ACK] Seq=0 Ack=25 Win=5840 Len=0Response4 9.316852 192.168.1.64 193.230.227.9 TCP 2580 > 6667 [ACK] Seq=25 Ack=96 Win=65100 Len=0Am observat portul (6667) si mi-am dat seama ca e vorba de IRC. Deci Shoot se bazeaza pe un server de IRC.Am dat Follow TCP Stream. PING :irc.protv.roPONG irc.protv.roDeci serverul e irc.protv.ro.:roxy_dulcikutza1!1-19-15375@8FBC01DE.54565180.F927B150.IP PRIVMSG #generalqwe :kand a intreb?Si canalul e generalqwe.Am pornit Opera, am incercat sa ma conectez. Mi-a iesit. Dar canalul imi cerea o parola...Am asteptat sa intre cineva. :Gunther11092!2-22--@39F8504C.1ACFBAE.CD54811A.IP JOIN #generalqwe keyAham. Parola e key.OK, m-am deconectat de la server... Apoi, l-am deschis in Resource Tunner. Surpriza! Totul se poate edita Oricum, l-am deschis in Hex Workshop, nu se poate edita adresa de conectare (sau cel putin nu am vazut eu, imi e cam somn).Bye.NuLLByTe_ Quote Link to comment Share on other sites More sharing options...
G3o Posted October 12, 2007 Report Share Posted October 12, 2007 BUN tutorial Quote Link to comment Share on other sites More sharing options...