キーロガーによって送信されたパケットを調査する方法
友人のrunescapeアカウントの1つがキーロガーを介してハッキングされました。彼はファイル共有サイトからrunescapeゴールドジェネレーターをダウンロードし、それを使用しようとしました。それがキーロガーであることに私は強い疑いがあります。そのため、ソフトウェアを仮想マシンで実行し、ソフトウェアは実際にいくつかのSMTPパケットを送信します。しかし、それはGmailを使用しており、パケットを理解できません。パケットのダンプは次のとおりです。
これらのパケットが暗号化されているときにそれらを読み取る方法を知りたいのですが?キーロガーは何を送信していて、どのEメールIDに送信していますか?どうすればこれを知ることができますか?
編集:ここにpcapファイルがあります: http://www.mediafire.com/?6ulkjdf5a4eapbg
他に何かわからないsmtpパケットがあるかもしれないので、pcapファイル全体をアップロードしました。ほぼ10 mbです。誰かがSMTPパケットのみをチェックしたい場合は、親切にフィルタリングしてください。
キーロガーはGmailを使用してメールを送信しているようですが、SMTP通信はTLS(SSL)で暗号化されています。
Simple Mail Transfer Protocol
Command Line: STARTTLS\r\n
Command: STAR
Request parameter: TLS
Simple Mail Transfer Protocol
Response: 220 2.0.0 Ready to start TLS\r\n
Response code: <domain> Service ready (220)
Response parameter: 2.0.0 Ready to start TLS
キーロガーを実行しているホストで Fiddler を使用して、TLS(SSL)で暗号化される前にSMTPメッセージを傍受できます。 Fiddlerは、Windows WinINETベースのアプリケーションをインターセプトするため、すべてのSSL接続をインターセプトしません。
Fiddlerは、コンピューターとインターネット間のすべてのHTTP(S)トラフィックをログに記録するWebデバッグプロキシです。 Fiddlerを使用すると、すべてのHTTP(S)トラフィックを検査し、ブレークポイントを設定し、着信データまたは発信データを「いじる」ことができます。 Fiddlerには、強力なイベントベースのスクリプトサブシステムが含まれており、任意の.NET言語を使用して拡張できます。
キーロガーがメールを送信する場合は、一定期間キーを収集してからメールを送信します。つまり、これらのキーをどこかに保存する必要があります。そのキーロガーのトラッキングファイルの書き込みは、そのキャッシュを参照する可能性があり、おそらくキーファイルは、キーロガーがRunescapeまたはユーザーのどちらをターゲットにしているのかを示します。ファイルの書き込みを追跡する場合は Process Monitor をお勧めします。
宛先のメールアドレスを見つける別の方法は、キーロガーをデバッグすることです。メモリダンプと文字列の検索から始めることができます。最初に、キーを押した後に発生する書き込みを追跡してキーロガープロセスを識別し、次に Process Explorer を使用してプロセスのメモリダンプから文字列を検索します。
OllyDBG と少しの忍耐は、SMTP関数にブレークポイントを設定し、メモリの電子メールアドレスを検査することにより、キーロガーのコードをデバッグするのに役立ちます。