• Начинающий хакер, спасибо что зашёл к нам! Для полного удобства рекомендуем Вам сразу же зарегистрироваться. Помните, необходимо придумать сложный пароль к своему логину, в котором будут присутствовать цифры, а так же символы. После регистрации вы сможете пользоваться чатом. Так же не забудьте активировать аккаунт через письмо, высланное вам на почту ! Администрация заботится о каждом из Вас...
  • Для просмотра разделов из категории Private Informations & Programms необходимо купить

Узнаём автора билда DarkComet RAT (IP,Port...)

  • Автор темы Автор темы Celis Hugo
  • Дата начала Дата начала
  • Просмотры Просмотры 312

Celis Hugo

we are the legend
Топовый
Celis Hugo

Celis Hugo

we are the legend
Топовый
Регистрация
27 Дек 2016
Сообщения
154
Реакции
65
Баллы
2
Приветствую всех. Сегодня расскажу как узнать данные о билде DarkComet, для того что бы узнать IP и порт подключения, а так же дополнительную информацию о настройке билда.

Прежде всего убедитесь что билд не упакован пакерами:

Если же он упакован (обычно это UPX или MPRESS), то распакуйте анпакерами (к примеру Packer Breaker).

Далее открываем билд в любом редакторе ресурсов, и смотрим ресурс в RC_DATA под названием "DCDATA":


Внутри видим шифрованную строку через RC4. Теперь нужно его просто расшифровать.

Идём сюда: RC4 Encryption – Easily encrypt or decrypt strings or files

Вводим данные которые мы нашли и ключ для расшифровки (комета использует ключ "#KCMDDC51#-890" для шифровки всех своих пакетов).

В итоге мы получаем расшифрованный текст:


Скачиваем его как бинарный файл и открываем в блокноте, ну и вот что мы видим в итоге:
Код:
Код: 
#BEGIN DARKCOMET DATA --
MUTEX={DC_MUTEX-9QBE2AZ}
SID={Test} //UserID
FWB={0}
NETDATA={127.0.0.1:1604} //IP и порт подключения.
GENCODE={2PEYRLKdlsU5}
INSTALL={1}
COMBOPATH={7}
EDTPATH={MSDCSC\msdcsc.exe} //Папка для самокопирования
KEYNAME={Windows Security} // Имя в автозагрузке
EDTDATE={16/04/2007}
PERSINST={1}
MELT={1}
CHANGEDATE={0}
DIRATTRIB={6}
FILEATTRIB={6}
SH1={1}
SH5={1}
SH6={1}
SH7={1}
CHIDEF={1}
CHIDED={1}
PERS={1}
OFFLINEK={1}
#EOF DARKCOMET DATA --
 
  • Мне нравится
Реакции: Ydod

4QSN1K

ШКОЛОЛОТРОН
Топовый
4QSN1K

4QSN1K

ШКОЛОЛОТРОН
Топовый
Регистрация
25 Май 2017
Сообщения
317
Реакции
109
Баллы
3
По моему мы так не автора билда узнаем, а просто узнаем что нам автор подсунул и через какую дырку он сидит.
Годненько.
А нельзя расковырять на столько, чтоб можно было конкретно какие то данные компа узнать владельца билда который у нас сидит?
 

AmaRichBitch

Пользователь
Elite Premium
AmaRichBitch

AmaRichBitch

Пользователь
Elite Premium
Регистрация
24 Май 2017
Сообщения
105
Реакции
12
Баллы
2
@4QSN1K, Была как-то раньше схема одна, что можно было узнать куда со стилака твой отчет улетел. Подрубаешь какую-то прогу и она показывает куда с твоего компа уходит трафик и сразу при включении программы запускаешь чей-то стиллер. Если ему логи приходят на мыло, то можно было все его сливки угнать.
 

4QSN1K

ШКОЛОЛОТРОН
Топовый
4QSN1K

4QSN1K

ШКОЛОЛОТРОН
Топовый
Регистрация
25 Май 2017
Сообщения
317
Реакции
109
Баллы
3
@AmaRichBitch, а вот это уже конечно очень даже интересно.
И все же бывает такое когда в компиляторе остается в лог IP.
 

Flappy

Техническая Поддержка форума
Топовый
Flappy

Flappy

Техническая Поддержка форума
Топовый
Регистрация
15 Июл 2017
Сообщения
347
Реакции
94
Баллы
2
Таа не , туфта
 

Genrik2000

Пользователь
Пользователь
G

Genrik2000

Пользователь
Пользователь
Регистрация
20 Июл 2017
Сообщения
6
Реакции
0
Баллы
1
Интересно
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу