我的一个朋友 runescape 帐户通过键盘记录器被黑了。他从文件共享网站下载了一个金币生成器并尝试使用它。我非常怀疑它是一个键盘记录器。所以我在虚拟机中运行该软件,该软件确实发送了一些 SMTP 数据包。但它使用的是 gmail,我无法理解这些数据包。这是数据包的转储:
现在我想知道如何在这些数据包被加密时读取它们?键盘记录器正在发送什么以及它发送到哪个电子邮件 ID?我怎么会知道这个?
编辑:这是 pcap 文件:http ://www.mediafire.com/?6ulkjdf5a4eapbg
我上传了整个 pcap 文件,因为除了 smtp 数据包之外可能还有其他我不知道的内容。它几乎是 10 mb。如果有人只想检查 smtp 数据包,请过滤。
键盘记录器看起来使用 Gmail 发送电子邮件,但 SMTP 通信使用 TLS (SSL) 加密。
Simple Mail Transfer Protocol
Command Line: STARTTLS\r\n
Command: STAR
Request parameter: TLS
Simple Mail Transfer Protocol
Response: 220 2.0.0 Ready to start TLS\r\n
Response code: <domain> Service ready (220)
Response parameter: 2.0.0 Ready to start TLS
您可以在运行键盘记录器的主机上使用Fiddler在使用 TLS (SSL) 加密之前拦截 SMTP 消息。Fiddler 拦截基于 Windows WinINET 的应用程序,因此它不会拦截所有 SSL 连接。
Fiddler 是一个 Web 调试代理,它记录您的计算机和 Internet 之间的所有 HTTP(S) 流量。Fiddler 允许您检查所有 HTTP(S) 流量、设置断点以及“摆弄”传入或传出数据。Fiddler 包括一个强大的基于事件的脚本子系统,并且可以使用任何 .NET 语言进行扩展。
如果键盘记录器发送电子邮件,则意味着它将在一定时间内收集密钥,然后发送电子邮件。这意味着它必须将这些密钥存储在某个地方。该键盘记录器的跟踪文件写入可以将您指向它的缓存,并且密钥文件可能会指示键盘记录器是针对 Runescape 还是用户。我建议使用Process Monitor来跟踪文件写入。
查找目标电子邮件地址的另一种方法是调试键盘记录器。您可以从内存转储和搜索字符串开始。首先,您通过跟踪按键后发生的写入来识别键盘记录器进程,然后使用Process Explorer从进程的内存转储中搜索字符串。
通过在 SMTP 函数上设置断点然后检查内存中的电子邮件地址, OllyDBG和一点耐心对于调试键盘记录器的代码很有用。