8
Keylogger drpu pc data manager
hallo,
ich habe leider o.g. keylogger auf einem unserer Rechner gefunden.
Jetzt würde ich gerne wissen ob sich der Übeltäter zurückverfolgen lässt.
Seine Mailadresse müsste ja irgendwo gespeichert sein.
leider besteht das Programm nur aus eine exe und einer dll, die log Datei kann ich nicht finden,
zudem handelt es sich auch um eine Demo-Version die schon abgelaufen ist.
An die Konfiguration komme ich so halt nicht so einfach ran.
Ich sehe da nur illegale Möglichkeiten(cr..k),
(obwohl es wohl auch illegal ist bei anderen Leuten einen keylogger zu installieren.)
(ansonst vielleicht disassemblieren??hab ich allerdings keine Erfahrung mit)
ich habe leider o.g. keylogger auf einem unserer Rechner gefunden.
Jetzt würde ich gerne wissen ob sich der Übeltäter zurückverfolgen lässt.
Seine Mailadresse müsste ja irgendwo gespeichert sein.
leider besteht das Programm nur aus eine exe und einer dll, die log Datei kann ich nicht finden,
zudem handelt es sich auch um eine Demo-Version die schon abgelaufen ist.
An die Konfiguration komme ich so halt nicht so einfach ran.
Ich sehe da nur illegale Möglichkeiten(cr..k),
(obwohl es wohl auch illegal ist bei anderen Leuten einen keylogger zu installieren.)
(ansonst vielleicht disassemblieren??hab ich allerdings keine Erfahrung mit)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 144924
Url: https://administrator.de/contentid/144924
Ausgedruckt am: 15.11.2024 um 11:11 Uhr
8 Kommentare
Neuester Kommentar
Moin Djevil-ad
wenn das programm noch versteckt im Hintergrund läuft, kannst du es mit einem Tastenkombo starten.
zb. Strg+Alt+Shift+F8. musst mal im netz schauen, welchen Tasten es genau sind, oder besser du ziehst dir selbst die Demo im netz, installierst sie auf nem testpc und so siehst du ganz genau, was wo wie funktioniert
kannst dann auf dem betroffenem PC es Starten und schauen ob irgendwo die email hinterlegt ist.
Aus eigener Erfahrung, ist sie es
gruß
koluschkiB
wenn das programm noch versteckt im Hintergrund läuft, kannst du es mit einem Tastenkombo starten.
zb. Strg+Alt+Shift+F8. musst mal im netz schauen, welchen Tasten es genau sind, oder besser du ziehst dir selbst die Demo im netz, installierst sie auf nem testpc und so siehst du ganz genau, was wo wie funktioniert
kannst dann auf dem betroffenem PC es Starten und schauen ob irgendwo die email hinterlegt ist.Aus eigener Erfahrung, ist sie es
gruß
koluschkiB
hallo,
kein Gruß
snow
ich habe leider o.g. keylogger auf einem unserer Rechner gefunden.
Das ist schonmal nicht gut.Jetzt würde ich gerne wissen ob sich der Übeltäter zurückverfolgen lässt.
Wieso wollen immer alle die Teile zurückverfolgen? Wenn der überhaupt etwas nach draussen gesendet hat, dann musst du eben in deinen Proxy-/ Firewalllogs nachsehenSeine Mailadresse müsste ja irgendwo gespeichert sein.
Wenn's dumm läuft, dann steht sie verschlüsselt fest im Programmleider besteht das Programm nur aus eine exe und einer dll, die log Datei kann ich nicht finden,
Die wird auch kaum im gleichen Ordner gespeichert werden. Sowas versteckt man ja auchzudem handelt es sich auch um eine Demo-Version die schon abgelaufen ist.
??? Hat den vllt. ein Mitarbeiter zu Testzwecken installiert?An die Konfiguration komme ich so halt nicht so einfach ran.
Datenzugriffe loggen, wenn das Ding aktiv ist. Dann findest du auch Logs und ggb. ConfigIch sehe da nur illegale Möglichkeiten(cr..k),
Ein Crack ist einen Computer hacken (eigentlich cracken), um dem Besitzer oder einem Benutzer zu schaden und/oder sich selbst einen Vorteil zu verschaffen. (Oder das umgehen eines Kopierschutzes). Ausserdem kannst du auf deinem eigenen Rechner machen, was du willst. Da ist recht wenig illegal.(obwohl es wohl auch illegal ist bei anderen Leuten einen keylogger zu installieren.)
Das allein wohl nicht. Allerdings die Daten auszuwerten.(ansonst vielleicht disassemblieren??hab ich allerdings keine Erfahrung mit)
Kannst ja auch mal versuchen, 'nen Debugger dran zu hängenkein Gruß
snow
Zitat von @Snowman25:
> Zitat von @djevil-ad:
> ----
> hallo,
hallo,
> ich habe leider o.g. keylogger auf einem unserer Rechner gefunden.
Das ist schonmal nicht gut.
> Jetzt würde ich gerne wissen ob sich der Übeltäter zurückverfolgen lässt.
Wieso wollen immer alle die Teile zurückverfolgen? Wenn der überhaupt etwas nach draussen gesendet hat, dann musst du
eben in deinen Proxy-/ Firewalllogs nachsehen
> Zitat von @djevil-ad:
> ----
> hallo,
hallo,
> ich habe leider o.g. keylogger auf einem unserer Rechner gefunden.
Das ist schonmal nicht gut.
> Jetzt würde ich gerne wissen ob sich der Übeltäter zurückverfolgen lässt.
Wieso wollen immer alle die Teile zurückverfolgen? Wenn der überhaupt etwas nach draussen gesendet hat, dann musst du
eben in deinen Proxy-/ Firewalllogs nachsehen
Ah,ja.
> Seine Mailadresse müsste ja irgendwo gespeichert sein.
Wenn's dumm läuft, dann steht sie verschlüsselt fest im Programm
> leider besteht das Programm nur aus eine exe und einer dll, die log Datei kann ich nicht finden,
Die wird auch kaum im gleichen Ordner gespeichert werden. Sowas versteckt man ja auch
> zudem handelt es sich auch um eine Demo-Version die schon abgelaufen ist.
??? Hat den vllt. ein Mitarbeiter zu Testzwecken installiert?
Wenn's dumm läuft, dann steht sie verschlüsselt fest im Programm
> leider besteht das Programm nur aus eine exe und einer dll, die log Datei kann ich nicht finden,
Die wird auch kaum im gleichen Ordner gespeichert werden. Sowas versteckt man ja auch
> zudem handelt es sich auch um eine Demo-Version die schon abgelaufen ist.
??? Hat den vllt. ein Mitarbeiter zu Testzwecken installiert?
Wäre möglich.
> An die Konfiguration komme ich so halt nicht so einfach ran.
Datenzugriffe loggen, wenn das Ding aktiv ist. Dann findest du auch Logs und ggb. Config
> Ich sehe da nur illegale Möglichkeiten(cr..k),
Ein Crack ist einen Computer hacken (eigentlich cracken), um dem Besitzer oder einem Benutzer zu schaden und/oder sich selbst
einen Vorteil zu verschaffen. (Oder das umgehen eines Kopierschutzes). Ausserdem kannst du auf deinem eigenen Rechner machen, was
du willst. Da ist recht wenig illegal.
Datenzugriffe loggen, wenn das Ding aktiv ist. Dann findest du auch Logs und ggb. Config
> Ich sehe da nur illegale Möglichkeiten(cr..k),
Ein Crack ist einen Computer hacken (eigentlich cracken), um dem Besitzer oder einem Benutzer zu schaden und/oder sich selbst
einen Vorteil zu verschaffen. (Oder das umgehen eines Kopierschutzes). Ausserdem kannst du auf deinem eigenen Rechner machen, was
du willst. Da ist recht wenig illegal.
Ich dachte, man würde es auch cracken nennen wenn man aus einer Demo eine Vollversion macht.
> (obwohl es wohl auch illegal ist bei anderen Leuten einen keylogger zu installieren.)
Das allein wohl nicht. Allerdings die Daten auszuwerten.
> (ansonst vielleicht disassemblieren??hab ich allerdings keine Erfahrung mit)
Kannst ja auch mal versuchen, 'nen Debugger dran zu hängen
Ja falls ich mal nix zu tun habDas allein wohl nicht. Allerdings die Daten auszuwerten.
> (ansonst vielleicht disassemblieren??hab ich allerdings keine Erfahrung mit)
Kannst ja auch mal versuchen, 'nen Debugger dran zu hängen
kein Gruß
warum kein Gruss, war ich so unhöflich?
snow
Zitat von @djevil-ad:
Ich dachte, man würde es auch cracken nennen wenn man aus einer Demo eine Vollversion macht.
Unter Umständen. Ab und zu heißt das auch 'kaufen' Ich dachte, man würde es auch cracken nennen wenn man aus einer Demo eine Vollversion macht.
Ich ging allerdings nicht davon aus, dass du den Keylogger 'erweitern' möchtest..
kein Gruß
warum kein Gruss, war ich so unhöflich?snow
Zitat von @Snowman25:
> Zitat von @djevil-ad:
> ----
> Ich dachte, man würde es auch cracken nennen wenn man aus einer Demo eine Vollversion macht.
Unter Umständen. Ab und zu heißt das auch 'kaufen'
Ich ging allerdings nicht davon aus, dass du den Keylogger 'erweitern' möchtest..
Nun, Geld für Malware wollte ich eigentlich nicht investieren.> Zitat von @djevil-ad:
> ----
> Ich dachte, man würde es auch cracken nennen wenn man aus einer Demo eine Vollversion macht.
Unter Umständen. Ab und zu heißt das auch 'kaufen'
Ich ging allerdings nicht davon aus, dass du den Keylogger 'erweitern' möchtest..
>> kein Gruß
> warum kein Gruss, war ich so unhöflich?
Du hast ja auch nicht gegrüßt :-P
>> snow
> warum kein Gruss, war ich so unhöflich?
Du hast ja auch nicht gegrüßt :-P
>> snow
Ok, mein Fehler..
Moin,
also mit nem disassambler wäre das zwar möglich (sofern die email-adresse fest eingetragen wurde) aber aufwendig. Sofern du nix von ASM-Sprachen verstehst wirst du hier ins leere laufen.
Nen Crack? Gut - dann hast du die "Vollversion". Und dann? So die Email-Adresse fest im Programm eingetragen ist bist du noch keinen Schritt weiter...
Jetzt könntest du natürlich einfach mal den Datenverkehr von deinem Rechner mitschneiden -> und zwar alles was auf dport 25 geht. Sofern derjenige sich an nen SMTP-Standard gehalten hat wird er versuchen an seine Adresse zu senden - und bei normalen SMTP ist die Adresse jetzt im Klartext lesbar. Nachteil: Du weisst nicht WANN das Programm sendet -> d.h. das kann sehr lange dauern.
Und jetzt die 100.000 Euro Masterfrage: Was bringt es dir wenn du die Email-Adresse von der Person kennst? Wenn der/diejenige auch nur eine Minimal-Intelligenz hat dann wird das irgendwo ein Free-Mailer sein und mit irgendeiner Sinnfreien Email-Adresse arbeiten. Gut - du weisst jetzt das deine Daten an grmbfix@xxx.org gesendet wurden. Bist du jetzt weiter?
Ich würde eher folgendes machen: Den Rechner sauber neu aufsetzen und danach NICHT mit Cracks u. ä. Software rumspielen (denn üblicherweise kommt nen Keylogger genau dort her!). Dann noch sämtliche Passwörter (ebay, Banking,...) ändern und aus der ganzen Aktion lernen...
also mit nem disassambler wäre das zwar möglich (sofern die email-adresse fest eingetragen wurde) aber aufwendig. Sofern du nix von ASM-Sprachen verstehst wirst du hier ins leere laufen.
Nen Crack? Gut - dann hast du die "Vollversion". Und dann? So die Email-Adresse fest im Programm eingetragen ist bist du noch keinen Schritt weiter...
Jetzt könntest du natürlich einfach mal den Datenverkehr von deinem Rechner mitschneiden -> und zwar alles was auf dport 25 geht. Sofern derjenige sich an nen SMTP-Standard gehalten hat wird er versuchen an seine Adresse zu senden - und bei normalen SMTP ist die Adresse jetzt im Klartext lesbar. Nachteil: Du weisst nicht WANN das Programm sendet -> d.h. das kann sehr lange dauern.
Und jetzt die 100.000 Euro Masterfrage: Was bringt es dir wenn du die Email-Adresse von der Person kennst? Wenn der/diejenige auch nur eine Minimal-Intelligenz hat dann wird das irgendwo ein Free-Mailer sein und mit irgendeiner Sinnfreien Email-Adresse arbeiten. Gut - du weisst jetzt das deine Daten an grmbfix@xxx.org gesendet wurden. Bist du jetzt weiter?
Ich würde eher folgendes machen: Den Rechner sauber neu aufsetzen und danach NICHT mit Cracks u. ä. Software rumspielen (denn üblicherweise kommt nen Keylogger genau dort her!). Dann noch sämtliche Passwörter (ebay, Banking,...) ändern und aus der ganzen Aktion lernen...
Zitat von @maretz:
Moin,
also mit nem disassambler wäre das zwar möglich (sofern die email-adresse fest eingetragen wurde) aber aufwendig. Sofern
du nix von ASM-Sprachen verstehst wirst du hier ins leere laufen.
Nen Crack? Gut - dann hast du die "Vollversion". Und dann? So die Email-Adresse fest im Programm eingetragen ist bist du
noch keinen Schritt weiter...
Moin,
also mit nem disassambler wäre das zwar möglich (sofern die email-adresse fest eingetragen wurde) aber aufwendig. Sofern
du nix von ASM-Sprachen verstehst wirst du hier ins leere laufen.
Nen Crack? Gut - dann hast du die "Vollversion". Und dann? So die Email-Adresse fest im Programm eingetragen ist bist du
noch keinen Schritt weiter...
Die Einstellungen sind doch im Programm
Jetzt könntest du natürlich einfach mal den Datenverkehr von deinem Rechner mitschneiden -> und zwar alles was auf
dport 25 geht. Sofern derjenige sich an nen SMTP-Standard gehalten hat wird er versuchen an seine Adresse zu senden - und bei
normalen SMTP ist die Adresse jetzt im Klartext lesbar. Nachteil: Du weisst nicht WANN das Programm sendet -> d.h. das kann
sehr lange dauern.
Und jetzt die 100.000 Euro Masterfrage: Was bringt es dir wenn du die Email-Adresse von der Person kennst? Wenn der/diejenige auch
nur eine Minimal-Intelligenz hat dann wird das irgendwo ein Free-Mailer sein und mit irgendeiner Sinnfreien Email-Adresse
arbeiten. Gut - du weisst jetzt das deine Daten an grmbfix@xxx.org gesendet wurden. Bist du jetzt weiter?
Ich würde eher folgendes machen: Den Rechner sauber neu aufsetzen und danach NICHT mit Cracks u. ä. Software rumspielen
(denn üblicherweise kommt nen Keylogger genau dort her!). Dann noch sämtliche Passwörter (ebay, Banking,...)
ändern und aus der ganzen Aktion lernen...
(denn üblicherweise kommt nen Keylogger genau dort her!). Dann noch sämtliche Passwörter (ebay, Banking,...)
ändern und aus der ganzen Aktion lernen...
zum Glück waren da keine wichtigen Daten oder Passwörter etc. drauf..
die einstellungen sind im Programm? Woher weisst du das? Jetzt geb ich dir mal ne Option wie ich das machen würde:
Keylogger startet und zieht sich die Konfiguration von einem beliebigen (web-)Server. Eleganter Vorteil: Wenn McAfee usw. in ihre Scanner-Signaturen meine Email-Adresse hinterlegen dann wechsel ich die Email-Adresse schnell und schon erkennt die Signatur (wenn die so simpel ist) meine Adresse nicht mehr. Der Keylogger läuft weiter. Jetzt besorge ich mir ggf. noch irgendwo in Timbuktu nen Root-Server-Zugang und richte dort ne Catch-All-Adresse ein. Schon kann die Konfiguration sogar ne dynamische Email-Adresse enthalten die Täglich/Stündlich wechselt. Gleichzeitig könnte ich so dem Keylogger noch eine Funktionserweiterung spendieren -> z.B. Auto-Update oder Destruktive Funktionen nachladen (wenn ich keine Daten mehr bekomme dann plättet man eben alle Rechner die infiziert sind - damit ich Zeit gewinne die geklauten Daten zu verwenden).
So - jetzt kommst du mit deinem Decompiler oder deinem Crack. Du siehst hier keine Adresse "@xyz.de" im Quellcode -> da die Konfig ja erst zur Laufzeit geladen wird. Und du siehst ggf. auch (je nachdem in welcher Sprache man das macht und wie man das aufbaut) keinen Aufruf "http" sondern nur ne Socket-Verbindung. Und ob du die ohne Programmierkenntnisse erkennst (speziell bei Assambler-Sprachen) ist eher fraglich.
Hier würdest du aber eben mit einem Programm welches deinen Traffic mitschneidet weiterkommen. Allerdings: Nehmen wir an das ich der Versender wäre. Da ich ja weiss zu welchem Server mein Keylogger kontakt aufnehmen soll und da ich ggf. den Mail-Verkehr auf nem geknackten Root-Server erwarte (ich möchte ja nicht meinen eigenen dafür nehmen...) würde ich auch da etwas anders vorgehen: Ich würde mich eben abseits vom Port 25 / SMTP bewegen -> z.B. Port 12349. Da kann ich auf dem Root-Server nen Mailserver drauf lauschen lassen ohne das es dem Möchtegern-Admin auffällt. Gleichzeitig umgehe ich noch einiges an Firewalls von Möchtegern-Admins (Ports oberhalb von 1023 lässt man erstmal per Default durch...) und umgehe auch die SMTP-Sperre von Virenscannern (die blocken nur ausgehend Port 25 damit man keine Massenwürmer versendet -> da fall ich ja dann nicht drunter). Da dein Rechner aber ja vermutlich mehr macht als nur rumstehen und Keylogger-Daten zu versenden kannst du bei der Datenmenge kaum was sinnvoll prüfen.
Keylogger startet und zieht sich die Konfiguration von einem beliebigen (web-)Server. Eleganter Vorteil: Wenn McAfee usw. in ihre Scanner-Signaturen meine Email-Adresse hinterlegen dann wechsel ich die Email-Adresse schnell und schon erkennt die Signatur (wenn die so simpel ist) meine Adresse nicht mehr. Der Keylogger läuft weiter. Jetzt besorge ich mir ggf. noch irgendwo in Timbuktu nen Root-Server-Zugang und richte dort ne Catch-All-Adresse ein. Schon kann die Konfiguration sogar ne dynamische Email-Adresse enthalten die Täglich/Stündlich wechselt. Gleichzeitig könnte ich so dem Keylogger noch eine Funktionserweiterung spendieren -> z.B. Auto-Update oder Destruktive Funktionen nachladen (wenn ich keine Daten mehr bekomme dann plättet man eben alle Rechner die infiziert sind - damit ich Zeit gewinne die geklauten Daten zu verwenden).
So - jetzt kommst du mit deinem Decompiler oder deinem Crack. Du siehst hier keine Adresse "@xyz.de" im Quellcode -> da die Konfig ja erst zur Laufzeit geladen wird. Und du siehst ggf. auch (je nachdem in welcher Sprache man das macht und wie man das aufbaut) keinen Aufruf "http" sondern nur ne Socket-Verbindung. Und ob du die ohne Programmierkenntnisse erkennst (speziell bei Assambler-Sprachen) ist eher fraglich.
Hier würdest du aber eben mit einem Programm welches deinen Traffic mitschneidet weiterkommen. Allerdings: Nehmen wir an das ich der Versender wäre. Da ich ja weiss zu welchem Server mein Keylogger kontakt aufnehmen soll und da ich ggf. den Mail-Verkehr auf nem geknackten Root-Server erwarte (ich möchte ja nicht meinen eigenen dafür nehmen...) würde ich auch da etwas anders vorgehen: Ich würde mich eben abseits vom Port 25 / SMTP bewegen -> z.B. Port 12349. Da kann ich auf dem Root-Server nen Mailserver drauf lauschen lassen ohne das es dem Möchtegern-Admin auffällt. Gleichzeitig umgehe ich noch einiges an Firewalls von Möchtegern-Admins (Ports oberhalb von 1023 lässt man erstmal per Default durch...) und umgehe auch die SMTP-Sperre von Virenscannern (die blocken nur ausgehend Port 25 damit man keine Massenwürmer versendet -> da fall ich ja dann nicht drunter). Da dein Rechner aber ja vermutlich mehr macht als nur rumstehen und Keylogger-Daten zu versenden kannst du bei der Datenmenge kaum was sinnvoll prüfen.
