Здравствуйте , нашол на компе у приятеля троян , хочу изучить его внимательней, незнаю вот с чего начать, нифы с www.virustotal.com крайне мало но помоему он написан на делфи , как лучьше приступить к решению такой задачи ? Antivirus results AntiVir - 8.2.4.38 - 2010.08.19 - ADSPY/Keylogger.LD Authentium - 5.2.0.5 - 2010.08.20 - W32/SysVenFak.A.gen!Eldorado AVG - 9.0.0.851 - 2010.08.19 - Delf.RRI Comodo - 5789 - 2010.08.20 - Backdoor.Win32.Delf.~DD DrWeb - 5.0.2.03300 - 2010.08.20 - Trojan.Siggen1.55043 eSafe - 7.0.17.0 - 2010.08.19 - Win32.HEURCrypted F-Prot - 4.6.1.107 - 2010.08.19 - W32/SysVenFak.A.gen!Eldorado McAfee - 5.400.0.1158 - 2010.08.20 - Suspect-AK!2DA5157CDB5C Panda - 10.0.2.7 - 2010.08.19 - Suspicious file PCTools - 7.0.3.5 - 2010.08.20 - Spyware.Keylogger Prevx - 3.0 - 2010.08.20 - High Risk Spyware Rising - 22.61.03.04 - 2010.08.19 - Trojan.Win32.Generic.520981C7 Sunbelt - 6763 - 2010.08.20 - Trojan.Win32.Generic!BT Symantec - 20101.1.1.7 - 2010.08.20 - Spyware.Keylogger TrendMicro - 9.120.0.1004 - 2010.08.19 - TROJ_GEN.R21C3H4 TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.20 - TROJ_GEN.R21C3H4 File info: MD5: 2da5157cdb5c6902dc9dd229cdccbbd9 SHA1: 92dbfa381387822efc470028caaa3d07b57a13c5 SHA256: 91b550dc1869c38bc207e4cf2874cb6e77fb4d5520ceaf2b6e9494275f0aa208 File size: 378880 bytes Scan date: 2010-08-20 01:27:17 (UTC) [[ 8 section(s) ]] name, viradd, virsiz, rawdsiz, ntropy, md5 CODE, 0x1000, 0x4D1F8, 0x4D200, 6.53, 94d9d34c9d9cfc3b4e66090f61c1066e DATA, 0x4F000, 0x112C, 0x1200, 4.09, 90ef810155c01a026a2c669e873f41eb BSS, 0x51000, 0xBDD, 0x0, 0.0, d41d8cd98f00b204e9800998ecf8427e .idata, 0x52000, 0x1F62, 0x2000, 4.98, 772a91dade7c0b8ef150395d60c5a3fb .tls, 0x54000, 0x10, 0x0, 0.0, d41d8cd98f00b204e9800998ecf8427e .rdata, 0x55000, 0x18, 0x200, 0.21, 658b8ede6caf3f252cd2772f6340383e .reloc, 0x56000, 0x57C4, 0x5800, 6.67, 8871ddf611eb2d87ff91fe4f4a56e501 .rsrc, 0x5C000, 0x6600, 0x6600, 4.13, fa9e8369d59684c0e18d95a2f7b7fb99 [[ 8 import(s) ]] advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegCloseKey comctl32.dll: ImageList_SetIconSize... http://www.virustotal.com/file-scan...e77fb4d5520ceaf2b6e9494275f0aa208-1282267637# Делфи я не знаю но что функции из местных библиотек так пользуются апи ? их там просто мильон , нету ни какова желания капаца Идой в этом коде.
fragment Во-первых ты не спросил себя о самом главном: Что является результатом, чтобы я успокоился? Другим словами, что конкретно нужно для удовлетворения твоего любопытства? Цели могут быть разными, от понять что делает и суметь удалить, до разобрать по косточкам и написать самому или добавить в свой мини-проактив. Рекомендую: 1) VMware + Win32apioverride32 (или другой АПИ-шпион) 2) Возможно Warshark 3) Тулзы от Руссиныча - ProcessExp , ProcessMon пока хватит
Если этодействительно кейлогер как пишут авири хотелось бы узнать е-маил\ip на каторый отправлялись логи, если хаккер был в локальной сети то его можно будет найти ... я так прикинул и понял что ета программа типа блокератора виндовс.
