Крадём чужие логи пинча
Не будем углубляться в то, что всем хочется халявных отчётов. Их хотят все.
Сначала (для теории) рассмотрим некриптованный пинч.
Сбилдим ехе'шник с какими-нибудь значениями в поле host и gate, откроем его с помощью WinHex'a. Нам необходимо найти хост, на который трой отсылает отчёты - а так, как сам адрес хоста закодирован двойным base64, его просто так мы не найдём. Нам придётся искать гейт, на который отчёты отправляются. Что ж, хрюкая, жмём crtl+f и ищем фразу
Цитата:
.php
Чуть выше от ссылки на гейт будет закодированный хост.
Скопируем сий хэш, и, чтобы не мучаться с PHP, быстренько расшифруем его Decoder'ом. Вуаля - мы узнали, на какой хост пинч шлёт отчёт.
- Ну хорошо, хост мы узнали, а как же халявные логи? Дай мне логов!
- Самое главное - не ссать. Попытаемся просканировать наш хост программой IntelliTamper ([a href="http://www.xakep.ru/post/18705/intellitamper_v207.rar"]скачать[/a]).
К примеру, я вот в нашёл линк http://srtjksktrtk.freehostia.com/gate/gate.php. Копирую в адресную строку темпера URL без последнего /gate.php и получаю список папок.
Вы скажете, а что, можно было бы сразу дописывать в конце в адресу /reps/, и мы получаем отчёты. А что, если умный пинчевод в скрипте указал другую папку для сохранения? Не вручную же будете перебирать названия всех папок, верно?
Ы. Ну что теперь, заходим в папку с отчётами и потихонечку их качаем себе на хард.
-------------------------
А вот вариант чуть попроще. Заходим на гугл и пишем в адресной строке один из запросов:
inurl:"/gate.php" intitle:ret_ok
А ещё можно сначала один, а потом второй написать) Для нас сейчас самое главное - найти гейт. Дальше сканим сайт темпером и кушаем отчёты.
С криптованным пинчем идея абсолютно такая же. Только открывать пинч надо не сразу через винхекс, а сначала запустить его (эй, не забыл сесть под виртуалку и отключиться от инета?). Теперь открываем WinHex и заходим в Инструменты -> Открыть RAM -> [процесс пинча] ->Primary Memory. Ну вот, открылся первоисходный код. Как и в случае с обычным пинчём, жмём Ctrl+F, вводим ".php" и декодируем хост.
PS / Программы, упомянутые в статье:
WinHex http://rapidshare.com/files/106190911/winhex.zip.html
Decoder http://rapidshare.com/files/106191290/Decoder.rar.html
mega respect) Tr3x0r