Хакерские инструменты
Итак, Keeper Classic лежит у нас в руках, а точнее жужжит жестким диском, устанавливая какие-то компоненты, но какие именно не говорит. Вот сука! А еще кто-то вирусов нехорошими словами называет! По одному из определений компьютерный вирус это такая штука, которая скрыто делает на вашем компьютере действия, о которых мы не знаем, а если бы знали— навряд ли бы дали свое согласие.
Чтение технической документации и заумных лицензионных соглашений не дает никакой полезной информации и трепанацией Keeper'а приходится заниматься самостоятельно. Как это можно осуществить? Самое простое – перехватить обмен Keeper'а с "базой", снифая трафик любым подходящим sniffer'ом, например, тем, что встроен в персональный брандмауэр SyGate Firewall, однако, если трафик зашифрован, его будет не так-то легко расшифровать!
Рисунок 5 перехват трафика при помощи пакетного фильтра, встроенного в персональный брандмауэр SyGate Personal Firewall
Гораздо проще воспользоваться файловым монитором и монитором реестра Марка Руссиновича (оба можно найти на www.sysinternals.com), а так же монитором шины Bus Hound от компании Perisoft (www.perisoft.netcom). Полезно так же снять дамп с работающей программы любой утилитой по вкусу (например, PE-TOOLS), и поковыряться в нем на предмет интересных текстовых строк, MAC-адресов и прочих приватных данных. Самые опытные исследователи могут прибегнуть к тяжелой артиллерии — дизассемблеру IDA Pro, который покажет чем на самом деле занимается Keeper при запуске и в процессе перевода денег. Естественно, полное дизассемблирование занимает слишком много времени, поэтому мы будем обращать внимание лишь на самые заметные, наименее замаскированные места, сразу же бросающиеся при анализе в глаза.
Рисунок 6 превосходный монитор шины от компании Perisoft