.Net .exe - Code Auslesen und finden

06/28/2013 15:31 DasLampe#1

Hallo, Ich habe eine .exe welche mit .Net geschrieben wurde

In dieser .exe ist ein Virus der Daten zu einer bestimmten Stelle sendet.
Jetzt muss ich wissen wohin diese gesendet wurden.
Bzw. Ich brauche die e-mail
Wo finde ich diese im Code?

Ich benutze das Tool: .Net Reflector 8.1 (oder habt ihr ein besseres?)
Wo finde ich da die e-mail ?

Ist wirklich wichtig bitte sagt mir wie ich die e-mail herausfinde..

Gekl�rt
/close

06/28/2013 15:42 Schl�sselbein#2

Lad das File hoch. Falls du dich im Code nicht zurechtfindest, benutze ein Programm zum genauen analysieren deines Netzwerkverkehrs (z.B. Wireshark) und f�hr den Sch�dling in ner einer virtuellen Umgebung aus.

06/28/2013 15:44 tolio#3

source code anschauen dann stehts irgendwo drin. wenn du dir nicht mal die m�he machst einmal den kompletten code nach irgendwas was nach email aussieht zu durchsuchen dann kannst du es weder ernst meinen noch wichtig finden

06/28/2013 15:49 DasLampe#4

Quote:

Originally Posted by tolio

source code anschauen dann stehts irgendwo drin. wenn du dir nicht mal die m�he machst einmal den kompletten code nach irgendwas was nach email aussieht zu durchsuchen dann kannst du es weder ernst meinen noch wichtig finden

Habe alles durchgeguckt aber nichts gefunden.
Und manche lassen sich irgendwie nicht �ffnen >_>

06/28/2013 15:50 tolio#5

dann lad die datei hoch und warte bis jemand kommt der zeit, lust und spa� am durchsuchen hat

06/28/2013 15:55 DasLampe#6

Ja, hab grade nen netten gefunden :)

Quote:

Originally Posted by tolio

dann lad die datei hoch und warte bis jemand kommt der zeit, lust und spa� am durchsuchen hat

Bei dem Virus wird dann noch eine .exe erstellt unter /AppData/Roaming
erstellt. Welche sollte ich durchsuchen?
Die mit der alles ausgel�st wird oder die welche danach nochmal erstellt wird? Blo� f�r die Zukunft.. :)

06/28/2013 16:03 Schl�sselbein#7

In Zukunft schaltest du einfach besser dein Hirn ein �ffnest nicht jeden Dreck, der dir unter den Nagel kommt.

06/28/2013 17:10 dready#8

In c# geschrieben :o najut ^^

Zu allererst mal, warum will man so ein Ding auseinandernehmen ?

1. In ner Sandbox die Datei ohne sie auszuf�hren einmal auseinandernehmen und schauen ob sich die Maleware innerhalb einer VM umgebung anderst Verh�lt, nach anti Debugging Zeug schauen.

2. Sofern es nur ein "Installer" ist den Gefundenen Payload nehmen und das selbe spiel von Vorne.

Wenn man das Gef�hl hat ein Verst�ndnis f�r die Grundlegenden Abl�ufe des Programms zu haben, das Ganze in nem Debugger ausf�hren und intressante Stellen bei der Ausf�hrung ansehn.

Wenn nat�rlich alles rein in C# geschrieben ist, einfach Decompilen, Deobfuscaten und den Code Zeile f�r Zeile durchgehn und Kommentieren bis man alles hat was man will.

Kleine Randbemerkung zu Maleware die in Sprachen geschrieben werden die in VM's laufen. Man sollte h�llisch aufpassen das sie nicht doch irgendwo Nativen Code als Payload mitbringen.

06/28/2013 18:09 YatoDev#9

Dazu sagen kann man auch wenn es das vielleicht einfacher macht das man den c# code zu VB.Net �bersetzen lassen kann . sollte mit Telerik sofort gehen

06/28/2013 20:51 DasLampe#10

Gekl�rt
Danke an alle.

/close

06/28/2013 21:12 GodHacker#11

Quote:

Originally Posted by �FlutterShy�

Dazu sagen kann man auch wenn es das vielleicht einfacher macht das man den c# code zu VB.Net �bersetzen lassen kann . sollte mit Telerik sofort gehen

Ist doch egal, ob C# oder VB...
Kann man beides ohne weiteres lesen.

06/28/2013 23:57 xxfabbelxx#12

closed