Kann man den Quelltext sichbar machen?

[Muhviehstar]

Hallo,
nen Kumpel von mir hat nen UDP-Chat erstellt und nen paar nette Kommandos dort eingebaut. Ich möchte diese nun wissen (z. B. wie kommen ich in den Admin Mode, der mit Passwort ist?). Er wills mir nicht sagen und da hab ich mir gedacht: Frag ich hier mal nach.

Soweit ich weiß, hat er es in Basic programmiert, aber ich gebe da keine Garantie drauf. Nen anderer Freund sagte mir, dass man die Exe mit nem Hexedior auseinander nehmen könne. Ich hab da aber keine Ahnung von.

Wer kann mir weiterhelfen?
EDIT:
Hier ist die NEUE Chat-Datei

 

[Morgoth]

Vermutlich hat er die Befehle als Stringkonstanten da drin. Dann wäre das einfach: lade die Datei im Editor (ja, der ganz normale Editor/Notepad). Neben allerlei seltsamen und nichtsagenden Zeichen müssten die Befehle als Klartext drinstehen, eventuell auch die Passwörter, wenn er dumm genug war das so zu lösen.

Gruß
Morgoth

 

[Green Mamba]

viel spass beim suchen in 700kb daten!
nee, im ernst, vergiss es! wäre doch ein ziemlicher aufwand, und das lohnt sich nicht!

 

[pcw]

Also laut meinem ResXplore wurde das Prog mit Delphi erstellt. Jedenfalls sehen die genutzten komponenten so aus.

Warum ist da drin die URL von google gespeichert?

Wenn ich ein PW oder sowas find, schreib ich dir ne PM

 

[Muhviehstar]

Gar nicht mal so dumm die Idee mit dem Texteditor! Hab ich mal gemacht und bin vielleicht auf das Passwort gestoßen!!
Hab einfach den Text nach "admin" durchsucht! Nun weiß ich aber nicht, wo ich dieses Kennwort (59873) eingeben muss. Vielleicht hat ja noch wer ne Idee!

EDIT: Ja, Delphi kann der Typ auch, hab ich vergessen!

 

[pcw]

Soweit ich gesehen hab, kannst du im gleichen dir eine nickname.txt erstellen.
Der inhalt wird automatisch als dein Username eingetragen.

Bestimtm läuft das irgendwie darüber.


schau mal:

UDP-Broadcast-Chat
-----------------------------------------------------------------------------------------
Die neue Version hat ein paar neue Features:

/msg nickname text => Flüstern an "nickname" mit dem
Text "text"
/clear => Chattext löschen

Rechte Maustaste auf den Nickname am rechten Rand:
Datei senden => Schickt dem User eine Datei
Kicken => Nervige Leute kicken
Mute/Unmute => Stummschalten/Reden erlauben
Spicken => Auf den Bildschirm des Users
schauen
-----------------------------------------------------------------------------------------
-> Adminidentifizierung erfolgreich

*fg*

Such mal nach der Stelle in der Datei:

ÿÿÿÿ nickname.txt ÿÿÿÿ 50873 ÿÿÿÿ# -> Adminidentifizierung erfolgreich ÿÿÿÿ

Und dann erstell diese nickname.txt.
In die erste Zeile der nickname.txt schreibst du irgendeinen Namen und in die 2te Zeile die Nummer (hier 50873).
Dann sollte bei dir die Zeile -> Adminidentifizierung erfolgreich erscheinen, wenn du das Prog startest.

 

[7H3 N4C3R]

Hmm jo 50873 ist ne Stringressource in der exe. Kann aber genauso gut ein Port sein.
Das Prog ist mit 99% Sicherheit in Delphi geschrieben. Muss mal W32Dasm ausgraben - vielleicht kann ich dir dann mehr sagen.

Dass es aber eine Unit namens "SpickUnit" in dem Projekt gibt, und die Windows-Funktionen RegisterServiceProcess und SetWindowsHookEx benutzt werden, macht einen "zweiten" Sinn dieses Programms wahrscheinlich. Ich will nicht mutmaßen oder falsche Behauptungen aufstellen - aber es ist rein theoretisch möglich, dass ein Trojaner gleich integriert ist. Töte deinen Freund also bitte nicht gleich !!! Kann auch sein, dass ich falsch liege!

 

[pcw]

Original erstellt von 7H3 N4C3R
Ich will nicht mutmaßen oder falsche Behauptungen aufstellen - aber es ist rein theoretisch möglich, dass ein Trojaner gleich integriert ist.

Die Unit dient dazu, einen Blick auf den Screen der anderen angemeldeten User zu werfen, soweit ich das gesehen hab.

 

[7H3 N4C3R]

Wozu braucht er dann nen Hook oder RegisterServiceProcess? Letztere Funktion lädt er dynamisch aus der Kernel32.dll an - übliche Methode, da diese in Windows.pas von Borland "vergessen" wurde. Er benutzt sie also ganz bewußt und absichtlich.

 

[pcw]

kA.

Jedenfalls kann mit dieser exe-File nicht ausgewertet werden, wenn dann müsste dazu ein gegenstück existieren.

Die SpickForm besteht lediglich aus einem Standard-Formular, auf dem sich ein TImage mit AutoSize befindet.

Was ich mich eher frag ist, warum er mit TRichEdit arbeitet, wo er eh nur unformatierten Plain-Text ausgiebt...

Viel mehr würde mich folgendes interessieren:

1. Wie komme ich auf das Proxy-Formular und
2. Warum ist da drin eine Physikalische Adresse einer LAN-Karte gespeichert?

 

[7H3 N4C3R]

Keine Ahnung was auf diesen beiden Formularen getrieben wird. Finde das aber auch ehrlich gesagt nicht so wichtig. Was ich interessanter finde, sind wie gesagt oben erwähnte Funktionen. Diese sind normaler Weise in Büchern unter der Überschrift "wie verstecke ich ein Fenster vorm Taskmanager" zu finden. Wozu er den Hook braucht, ist mir auch schleierhaft. Da es aber anscheinend keine weitere DLL gibt, sollte er ihn nicht systemweit einsetzen können.

Eine Netzwerkanwendung mit offensichtlichem Zweck mit einer Hand voll Zusatzbefehlen auszustatten ist auch keine Kunst. Dazu braucht er halt eine spezielle Gegen-Version, die auf die Clients zugreifen kann.
Ich finde es zumindest stark suspekt. Auch dass es einen versteckten AdminMode gibt, scheint zu belegen, dass da mehr hinter den Kulissen abgeht....

 

[The Prophet]

Habs gerade mal über einen Disassembler laufen lassen und 50873 ist definitiv der Port der Anwendung. Sagt nicht nur W32Dasm sonder auch jeder Netzwerksniffer


Wenn jemand alle Strings interessieren ich kann sie gern Online stellen.

mfg

 

[Muhviehstar]

Also ich glaube echt nicht, dass da ein professioneller Trojaner drin steckt. Wenn du die Datei mal ausführst wirst du auch sehen, dass man dieses Spicken ausstellen kann, damit ein anderen keine Screenshots mehr machen kann.
Mich würde interessieren, wie ich in den Admin mode kommt und welche Befehle ich alle eingeben kann (/clearall usw.)

Es gibt schon wieder eine neue Version, kommt heute Nachmittag!!

 

[pcw]

sag ihm, dass er die *.pas beilegen soll!

 

[The Prophet]

am besten gleich noch die *.dpr

 

[Muhviehstar]

Leute! Das ist ne "geheime Mission" ;-) Dann kann ich dem doch gleich sagen, er soll mir den Quelltext geben!
Hier die neue Version!
Die Version hat nen IP-Blocker und ne Benutzernamenanzeige (mit welchem Namen man sich in Win angemeldet hat)!
Ich möchte gerne wissen, wie man hierbei in den Admin mode kommt!!

 

[pcw]

Warum willst du in den Admin-Mode?

Du hast dir schneller ein Tool selber geschrieben, das das gleiche und evtl noch mehr kann.

Welche Schnittstellen genutzt werden, dürfte ja inzwischen bekannt sein...

 

[Muhviehstar]

Ich frage hier, weil nicht Delphi oder sonst irgendeine gescheite Programmiersprache kann!

 

[Green Mamba]

vergiss es einfach!