Kleines Tutorial, was ich für einen Freund geschrieben habe, nachdem er eine verdächtige Datei angeklickt hatte. Vielleicht hilft es ja dem ein oder anderen.

http://katharsis.425mb.com/malware/

Sehr gute Arbeit! Alles genausten beschrieben...
Nur 1. welche prog hast du gnutzt um alle strings zu sehen?
2. wie macht man das mit dsniff ?

Sehr gute Arbeit! Alles genausten beschrieben...
Nur 1. welche prog hast du gnutzt um alle strings zu sehen?

Das Programm ist Teil der GNU Tools und heißt "strings" ;)


2. wie macht man das mit dsniff ?

Wie im Beispiel beschrieben. dsniff -p [dateiname]

Ja, das übliche, aber gut erklärt!

Wenn die Datei gecrypted ist sieht man die Strings aber Garnicht mehr,oder?
Und sonst erkennt ja sogar Antivir den Stealer.

Wenn die Datei gecrypted ist sieht man die Strings aber Garnicht mehr,oder?

Die gezeigten "Strings" sind die "Imports" der Datei.
Um die zu verstecken müsste der Crypter die dazugehörigen Dateien auflesen und feststellen in welche Adresse die Funktionen geladen werden.
Normalerweise übernimmt das Windows - und dafür müssen die Namen der Funktionen in lesbarer Form vorliegen.


mfG. BlackBerry

Aber wenn der Server einen Stealer droppt, dann sehe ich doch nur die Strings des Servers und nicht die des Stealers, oder?