.Net .exe - Code Auslesen und finden

DasLampe · 06/28/2013, 15:31

Hallo, Ich habe eine .exe welche mit .Net geschrieben wurde

In dieser .exe ist ein Virus der Daten zu einer bestimmten Stelle sendet.
Jetzt muss ich wissen wohin diese gesendet wurden.
Bzw. Ich brauche die e-mail
Wo finde ich diese im Code?

Ich benutze das Tool: .Net Reflector 8.1 (oder habt ihr ein besseres?)
Wo finde ich da die e-mail ?

Ist wirklich wichtig bitte sagt mir wie ich die e-mail herausfinde..

Geklärt
/close

Schlüsselbein · 06/28/2013, 15:42

Lad das File hoch. Falls du dich im Code nicht zurechtfindest, benutze ein Programm zum genauen analysieren deines Netzwerkverkehrs (z.B. Wireshark) und führ den Schädling in ner einer virtuellen Umgebung aus.

tolio · 06/28/2013, 15:44

source code anschauen dann stehts irgendwo drin. wenn du dir nicht mal die mühe machst einmal den kompletten code nach irgendwas was nach email aussieht zu durchsuchen dann kannst du es weder ernst meinen noch wichtig finden

DasLampe · 06/28/2013, 15:49

Quote:

Originally Posted by tolio

source code anschauen dann stehts irgendwo drin. wenn du dir nicht mal die mühe machst einmal den kompletten code nach irgendwas was nach email aussieht zu durchsuchen dann kannst du es weder ernst meinen noch wichtig finden

Habe alles durchgeguckt aber nichts gefunden.
Und manche lassen sich irgendwie nicht öffnen >_>

tolio · 06/28/2013, 15:50

dann lad die datei hoch und warte bis jemand kommt der zeit, lust und spaß am durchsuchen hat

DasLampe · 06/28/2013, 15:55

Ja, hab grade nen netten gefunden

Quote:

Originally Posted by tolio

dann lad die datei hoch und warte bis jemand kommt der zeit, lust und spaß am durchsuchen hat

Bei dem Virus wird dann noch eine .exe erstellt unter /AppData/Roaming
erstellt. Welche sollte ich durchsuchen?
Die mit der alles ausgelöst wird oder die welche danach nochmal erstellt wird? Bloß für die Zukunft..

Schlüsselbein · 06/28/2013, 16:03

In Zukunft schaltest du einfach besser dein Hirn ein öffnest nicht jeden Dreck, der dir unter den Nagel kommt.

dready · 06/28/2013, 17:10

In c# geschrieben

najut ^^

Zu allererst mal, warum will man so ein Ding auseinandernehmen ?

1. In ner Sandbox die Datei ohne sie auszuführen einmal auseinandernehmen und schauen ob sich die Maleware innerhalb einer VM umgebung anderst Verhält, nach anti Debugging Zeug schauen.

2. Sofern es nur ein "Installer" ist den Gefundenen Payload nehmen und das selbe spiel von Vorne.

Wenn man das Gefühl hat ein Verständnis für die Grundlegenden Abläufe des Programms zu haben, das Ganze in nem Debugger ausführen und intressante Stellen bei der Ausführung ansehn.

Wenn natürlich alles rein in C# geschrieben ist, einfach Decompilen, Deobfuscaten und den Code Zeile für Zeile durchgehn und Kommentieren bis man alles hat was man will.

Kleine Randbemerkung zu Maleware die in Sprachen geschrieben werden die in VM's laufen. Man sollte höllisch aufpassen das sie nicht doch irgendwo Nativen Code als Payload mitbringen.

YatoDev · 06/28/2013, 18:09

Dazu sagen kann man auch wenn es das vielleicht einfacher macht das man den c# code zu VB.Net übersetzen lassen kann . sollte mit Telerik sofort gehen

DasLampe · 06/28/2013, 20:51

Geklärt
Danke an alle.

/close

GodHacker · 06/28/2013, 21:12

Quote:

Originally Posted by »FlutterShy™

Dazu sagen kann man auch wenn es das vielleicht einfacher macht das man den c# code zu VB.Net übersetzen lassen kann . sollte mit Telerik sofort gehen

Ist doch egal, ob C# oder VB...
Kann man beides ohne weiteres lesen.

xxfabbelxx · 06/28/2013, 23:57

closed