Схемы | Статьи Узнаём автора билда DarkComet RAT (IP,Port...)

Тема в разделе "Полезные темы для читеров геймеров хакеров", создана пользователем Touz, 12 фев 2016.

  1. Touz

    Обратите внимание, если Вы хотите провести сделку с данным пользователем, на то, что он заблокирован.

    Приветствую всех. Сегодня расскажу как узнать данные о билде DarkComet, для того что бы узнать IP и порт подключения, а так же дополнительную информацию о настройке билда.

    Прежде всего убедитесь что билд не упакован пакерами:
    [​IMG]
    Если же он упакован (обычно это UPX или MPRESS), то распакуйте анпакерами (к примеру Packer Breaker).

    Далее открываем билд в любом редакторе ресурсов, и смотрим ресурс в RC_DATA под названием "DCDATA":
    [​IMG]

    Внутри видим шифрованную строку через RC4. Теперь нужно её просто расшифровать.

    Идём сюда: http://rc4.online-domain-tools.com/
    [​IMG]
    Вводим данные которые мы нашли и ключ для расшифровки (комета использует ключ "#KCMDDC51#-890" для шифровки всех своих пакетов).

    В итоге мы получаем расшифрованный текст:
    [​IMG]
    Скачиваем его как бинарный файл и открываем в блокноте, ну и вот что мы видим в итоге:
    Код:
    #BEGIN DARKCOMET DATA --
    MUTEX={DC_MUTEX-9QBE2AZ}
    SID={Test} //UserID
    FWB={0}
    NETDATA={127.0.0.1:1604} //IP и порт подключения.
    GENCODE={2PEYRLKdlsU5}
    INSTALL={1}
    COMBOPATH={7}
    EDTPATH={MSDCSC\msdcsc.exe} //Папка для самокопирования
    KEYNAME={Windows Security} // Имя в автозагрузке
    EDTDATE={16/04/2007}
    PERSINST={1}
    MELT={1}
    CHANGEDATE={0}
    DIRATTRIB={6}
    FILEATTRIB={6}
    SH1={1}
    SH5={1}
    SH6={1}
    SH7={1}
    CHIDEF={1}
    CHIDED={1}
    PERS={1}
    OFFLINEK={1}
    #EOF DARKCOMET DATA --