• Начинающий хакер, спасибо что зашёл к нам! Для полного удобства рекомендуем Вам сразу же зарегистрироваться. Помните, необходимо придумать сложный пароль к своему логину, в котором будут присутствовать цифры, а так же символы. После регистрации вы сможете пользоваться чатом. Так же не забудьте активировать аккаунт через письмо, высланное вам на почту ! Администрация заботится о каждом из Вас...
  • Для просмотра разделов из категории Private Informations & Programms необходимо купить

Узнаём автора билда DarkComet RAT (IP,Port...)

  • Автор темы Автор темы Celis Hugo
  • Дата начала Дата начала
  • Просмотры Просмотры 369

Celis Hugo

we are the legend

Celis Hugo

we are the legend
Топовый
Celis Hugo
Топовый
Регистрация
27 Дек 2016
Сообщения
154
Реакции
65
Приветствую всех. Сегодня расскажу как узнать данные о билде DarkComet, для того что бы узнать IP и порт подключения, а так же дополнительную информацию о настройке билда.

Прежде всего убедитесь что билд не упакован пакерами:

Если же он упакован (обычно это UPX или MPRESS), то распакуйте анпакерами (к примеру Packer Breaker).

Далее открываем билд в любом редакторе ресурсов, и смотрим ресурс в RC_DATA под названием "DCDATA":


Внутри видим шифрованную строку через RC4. Теперь нужно его просто расшифровать.

Идём сюда: RC4 Encryption – Easily encrypt or decrypt strings or files

Вводим данные которые мы нашли и ключ для расшифровки (комета использует ключ "#KCMDDC51#-890" для шифровки всех своих пакетов).

В итоге мы получаем расшифрованный текст:


Скачиваем его как бинарный файл и открываем в блокноте, ну и вот что мы видим в итоге:
Код:
Код: 
#BEGIN DARKCOMET DATA --
MUTEX={DC_MUTEX-9QBE2AZ}
SID={Test} //UserID
FWB={0}
NETDATA={127.0.0.1:1604} //IP и порт подключения.
GENCODE={2PEYRLKdlsU5}
INSTALL={1}
COMBOPATH={7}
EDTPATH={MSDCSC\msdcsc.exe} //Папка для самокопирования
KEYNAME={Windows Security} // Имя в автозагрузке
EDTDATE={16/04/2007}
PERSINST={1}
MELT={1}
CHANGEDATE={0}
DIRATTRIB={6}
FILEATTRIB={6}
SH1={1}
SH5={1}
SH6={1}
SH7={1}
CHIDEF={1}
CHIDED={1}
PERS={1}
OFFLINEK={1}
#EOF DARKCOMET DATA --
 
  • Мне нравится
Реакции: Ydod

4QSN1K

ШКОЛОЛОТРОН

4QSN1K

ШКОЛОЛОТРОН
Топовый
4QSN1K
Топовый
Регистрация
25 Май 2017
Сообщения
317
Реакции
109
По моему мы так не автора билда узнаем, а просто узнаем что нам автор подсунул и через какую дырку он сидит.
Годненько.
А нельзя расковырять на столько, чтоб можно было конкретно какие то данные компа узнать владельца билда который у нас сидит?
 

AmaRichBitch

Пользователь

AmaRichBitch

Пользователь
Elite Premium
AmaRichBitch
Elite Premium
Регистрация
24 Май 2017
Сообщения
105
Реакции
12
@4QSN1K, Была как-то раньше схема одна, что можно было узнать куда со стилака твой отчет улетел. Подрубаешь какую-то прогу и она показывает куда с твоего компа уходит трафик и сразу при включении программы запускаешь чей-то стиллер. Если ему логи приходят на мыло, то можно было все его сливки угнать.
 

4QSN1K

ШКОЛОЛОТРОН

4QSN1K

ШКОЛОЛОТРОН
Топовый
4QSN1K
Топовый
Регистрация
25 Май 2017
Сообщения
317
Реакции
109
@AmaRichBitch, а вот это уже конечно очень даже интересно.
И все же бывает такое когда в компиляторе остается в лог IP.
 

Flappy

Техническая Поддержка форума

Flappy

Техническая Поддержка форума
Топовый
Flappy
Топовый
Регистрация
15 Июл 2017
Сообщения
347
Реакции
94
Таа не , туфта
 

Genrik2000

Пользователь

Genrik2000

Пользователь
Пользователь
G
Пользователь
Регистрация
20 Июл 2017
Сообщения
6
Реакции
0
Интересно
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу