// вы читаете...

Новости

Заметки о BTA dll



Пару дней назад ко мне в руки попал очередной «хакерский» диск с
многообещающим названием «Всё что надо хакеру/крэкеру для взлома любой
системы» (круто! :)). На диске содержится много «полезного» софта для
истинного компьютерного хулигана:
1. FrontPage 98.
2. Go!Zilla (хорошая кстати прога).
3. Полная официальная версия WinXP (объём дистрибутива 150 метров (!)).
4. Коллекция вирусов (это интересно :)).

Коллекция вирусов при ближайшем рассмотрении содержала в себе много
прог, которые вредоносными и назвать тяжело (подборщики паролей,
системы удалённого администрирования, крякер инета :) и т. д.). И среди
всего этого попались мне интересные проги, а именно OpenPass, Behind
The Asterisks и MadExplorer. Первые две занимаются тем, что показывают
пароли находящиеся за звёздочками. Но особенность их в том, что они не
используют DLL. В «хакере» была статья (ver.10.01(34)) о написании
смотрелки. Суть той программы заключалась в следующем: экзешник загружаеть
Dll’ку, которая в свою очередь ставит хук на мессаги и смотрит, где
кликнула мышь, там убирает звездочки. Но в OpenPass и Behind The Asterisks
нет DLL (поэтому они меня и заинтересовали).
Ну что ж, посмотрим что содержится в Behind The Asterisks (так как она меньше,
чем OpenPass). Для этого возьмём WinDasm и декомпилируем BTA. Код
программы очень прост и легко читаем. Программа создает стандартный диалог
DialogBoxParamA() и работает только с ним, но не это интересно. Как же она достает
текст из полей ввода без DLL? Смотрим и видим следующие строки:

:00401052 53 push ebx
:00401053 6A0A push 0000000A
:00401055 6A04 push 00000004
:00401057 51 push ecx

* Reference To: USER32.SetTimer, Ord:0252h
|
:00401058 FF1528204000 Call dword ptr [00402028]

Это сразу бросается в глаза (так как программа очень маленькая). Что же делает таймер? А вот что:

//Получаем информацию о расположении курсора на экране.
:0040107C 6800304000 push 00403000

* Reference To: USER32.GetCursorPos, Ord:00FCh
|
:00401081 FF1518204000 Call dword ptr [00402018]

Страницы: 1 2 3

Обсуждене

Отзывов нет на «Заметки о BTA dll»

Ваш отзыв

Рубрики


Происшествия и криминал - происшествия