اطلاعیه

Collapse
No announcement yet.

memory Dumping

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • memory Dumping

    در بسیاری از برنامه ها پسورد های خود را به صورت رمز نگاری شده و یا مخفی در داخل رجیستری ویندوز و یا هارد دیسک ذخیره می کنند . اما در بسیاری از مواقع پسورد ها در هنگامی که وارد می شود در داخل متغیری قرار می گیرد و متغیر هم که بخشی از حافظه می باشد یا اینکه برنامه ای که در خود یک پسورد به جهت ایجاد سطح دسترسی در برنامه ذخیره می کند و در هر بار ورود به سیستم پسورد زده شده توسط کاربر از طریقه پروسه ی برنامه به Database برده می شود و برای این کار باید پسورد را به داخل یک متغیر ذخیره کند و آن را به طرف دیتابیس ببرد حال فرد برنامه نویس می تواند وارد حافظه شود و پسورد داخل آن را بدست بیاورد . به این عمل اصلاحا دامپ کردن مموری می گویند .


    مثال جهت درک بهتر


    بدست آوردن پسورد برنامه ی proxifire


    عملیات دامپینگ معمولا به 2 طریق انجام می شود برای مثال شما از نرم افزاری مانند Winhex می توانید اطلاعات داخل مموری را ببینید به این گونه نرم افزار ها Memory viewers گفته می شود بعد از باز کردن Winhex کزینه ی open Ram را کلید کنید




    حال در پنجره ای که باز می شود می توانید که لیستی از پروسه ها و ... را ببینید که در Ram در حال فعالیت هستند .




    حالا برنامه نویس به 2 طریق می تواند پسورد ها را پیدا کند از طریق Offset مشخص یا از طریق گرفتن الگو یعنی یا اینکه برنامه نویس یک برنامه را نصب می کند و آن را انالیز می کند که پسورد در کدام Offset ذخیره می شود و آن را بدست می آورد و یا ...


    در برنامه ی proxifire پسورد ها داخل 2 offset ذخیره می شود


    کد:
    042FB610
    042FB620

    شمام ی توانید مستقیم به این offset بروید و پسورد ستاره ای رو ببینید .


    و اگه وقت شد آموزش نوشتن برنامه ای که با اون بشه پسورد هارو هم بدست بیارید رو میدم


    سوالی بود بپرسید همینجا


    دوستان اینو اضافه کنم شما خودتون پسورد رو سرچ کنید یوزر نیم رو سرچ کنید پسوورد هم میاره
    Last edited by l4tr0d3ctism; 10-23-2013, 03:03 AM.
    ...

  • #2
    به این روش که شما اشاره کردید دامپ کردن پسورد گفته میشه نه دامپ کردن مموری چون دامپ کردن مموری یعنی روگرفت از حافظه و برای هر کاری میتونه استفاده بشه و صرفا برای بدست آوردن پسورد نیست.
    ممنون از مطلبتون.

    انجام پروژه های نرم افزاری در کمترین زمان و نازلترین قیمت
    برای تماس به آیدی Arashjeyjey در یاهو مسنجر پیام بدید.

    http://www.jeyjey.blogfa.com

    Comment


    • #3
      خوب در اینجا پسوردها در مموری هستند حالا مهم نیست اسمش چی هست چون هدف رسیدن به مموری ادرس و دیتاهای داخل اون هست و چون از مموری به پسورد میرسه اسمشم درسته دوست جنگجو

      Comment


      • #4
        سلام

        خب ميشه اين كار رو از روش اسنيف (منظور هموني كه باهاش سريال رو ميزنن :d) هم انجام داد و كارش آسونتر هست تا بياييم و كل حافظه رو براي اين آناليز كنيم.
        تكنيك خوبي هست اما بعضا زمانبر هست و بعضا هم كلا غير ممكن !
        من باشم ميام و پسورد رو هش ميكنم و هش شده پسورد رو با هش شده پسورد وارد شده مقايسه ميكنم تا با اين كارا نشه كاريش كرد.



        موفق باشيد.

        Comment


        • #5
          البته یاهومسنجر هم همچین کاری انجام میده الگوریتم کد کردن قفط پسورد داراست حتی با هوک مستقیم در ورژن 11.5 نمیشه پسورد دامپ کرد
          Last edited by keylogger; 10-15-2013, 07:57 AM.

          Comment


          • #6
            تو این روش پسورد ها overwrite میشه ؟ مثلا تو یاهو مسنجر اگه ی یوزر پسوردش سیو بشه بعد یوزر بعد بیاد پسوردش رو سیو کنه

            پسورد دوم overwrite میشه رو اولی ؟

            Comment


            • #7
              تو یاهو مسنجر هیچ پسوردی توی حافظه سیو نمیشه بلکه توی رجیستری به صورت کد شده قرار میگیره و با همون پسورد کد شده تو دیتابیس سرور یاهو مقایسه میشه
              از ورژن 7.5 بتا به بعد دیگه پسورد یاهو مسنجر توی حافظه دیده نمیشه تنها چیزی که پشت فیلد پسورد قرار میگره واژه ی "password" هست.

              روشی که ایشون انجام میدن دامپ کردن پسورد هست البته مموری دامپ یه اسم کلی برای این روشه ولی در واقع ایشون فقط دارن پسورد رو دامپ میکنن
              تا جایی که یادم میاد اولین بار مجیک خدابیامرز زمان هخامنشیان از این روش واسه بدست آوردن پسورد یاهو مسنجر تو تروجانش استفاده میکرد.

              انجام پروژه های نرم افزاری در کمترین زمان و نازلترین قیمت
              برای تماس به آیدی Arashjeyjey در یاهو مسنجر پیام بدید.

              http://www.jeyjey.blogfa.com

              Comment


              • #8
                نوشته اصلی توسط Warden نمایش پست ها
                تو این روش پسورد ها overwrite میشه ؟ مثلا تو یاهو مسنجر اگه ی یوزر پسوردش سیو بشه بعد یوزر بعد بیاد پسوردش رو سیو کنه

                پسورد دوم overwrite میشه رو اولی ؟
                سلام

                تا جايي كه آخرين بار ديدم (يه چند سال پيش و حالا نميدونم) ياهو داشت پسورد رو تو رجيستري ذخيره ميكرد چون اهل چت كردن نيستم نميدونم الان چطوره وضعيتش.


                موفق باشيد.

                Comment


                • #9
                  اگر برنامه نویس هستید : راه های زیادی برای جلوگیری از این کار وجود داره

                  این ها رو هم ببینید
                  http://cwe.mitre.org/data/definitions/14.html
                  https://www.securecoding.cert.org/co...able+resources
                  R00tkit :|

                  Comment


                  • #10
                    نوشته اصلی توسط Warden نمایش پست ها
                    تو این روش پسورد ها overwrite میشه ؟ مثلا تو یاهو مسنجر اگه ی یوزر پسوردش سیو بشه بعد یوزر بعد بیاد پسوردش رو سیو کنه

                    پسورد دوم overwrite میشه رو اولی ؟
                    این سورس کد یکی از پسوردسندرهایی یاهو هست که از رجیستری برمیداشت
                    فایل های پیوست شده

                    Comment


                    • #11
                      نوشته اصلی توسط h4sh3m نمایش پست ها
                      سلام

                      تا جايي كه آخرين بار ديدم (يه چند سال پيش و حالا نميدونم) ياهو داشت پسورد رو تو رجيستري ذخيره ميكرد چون اهل چت كردن نيستم نميدونم الان چطوره وضعيتش.


                      موفق باشيد.
                      هنوز هم همونجا ذخیره میکنه!

                      نوشته اصلی توسط geek1982 نمایش پست ها
                      اگر برنامه نویس هستید : راه های زیادی برای جلوگیری از این کار وجود داره

                      این ها رو هم ببینید
                      http://cwe.mitre.org/data/definitions/14.html
                      https://www.securecoding.cert.org/co...able+resources
                      R00tkit :|
                      راه های زیادی هست ولی ساده ترین حالتش تغییر کلاس یاهو مسنجر هست که چند سال پیش استفاده کردم و خیلی هم خوب جواب داد البته برای جلوگیری از دامپ شدن نبود ولی جلوی خوندن فیلد یوزر و پسورد رو میگرفت
                      Last edited by JeyJey; 10-15-2013, 03:11 PM.

                      انجام پروژه های نرم افزاری در کمترین زمان و نازلترین قیمت
                      برای تماس به آیدی Arashjeyjey در یاهو مسنجر پیام بدید.

                      http://www.jeyjey.blogfa.com

                      Comment


                      • #12
                        با تشکر از دوستان گل

                        ===============================================

                        در مورد یاهو مسنجر یک چیزی بگم

                        فایل ها داخل مقداری با نام ETS ذخیره میشه امکان دیکد کردنش وجود نداره ولی می تونید اون رو ذخیره کنید رو سیستم و ببرید رو سیستم خودتون و اضافه کنید بخ رجیستری

                        و روش بهتری هم که وجود داره برای بدست آورد یاهو گرفتن handle فایل text مربوط به پسورد هست که می تونید پسورد رو دربیارید تو ورژن های یاهو 11.5 هم جواب میده

                        اتفاقا تو شبگرد قبلا بحث شده بود در مورد این موضوع

                        نمی دونم اینی که میلاد گذاشته میاد هندل رو می خونه یا نه

                        فقط یک سوال این از رجیستری بر میداره باید برای ورژن های 6 به پایین بوده باشه یا نهایتا 7

                        آین برنامه می تونه پسورد داخل Text مربوط به پسورد رو بخونه

                        http://www.nirsoft.net/utils/astlog.html

                        ------------------------

                        اما بگم بیخیال دیکد کردن ETS*بشید نمیشه کلا

                        مسیر این مقدار تو زیر کلیده زیر

                        HKCU\Software\Yahoo\pager

                        البته ریسرچ جالبی رو هم انجام دادن از قبل برای ورژن 11.5

                        که همونی هست که گفتم می تونید \پسورد رو بدزدید و به سیستم خودتون ببرید اما اینکه بخوایید اون رو بدست بیارید تنها راه خوندن هندل Text*پسورد هست ( میگم کلمه ی TEXT به فارسی چی میشه ؟؟**)


                        فایل ETS از نوع REG_SZ می باشد و محتویات آن به شکی زیر می باشد به عنوان مثال
                        کد:
                        eJxjZGBguNAz9z6j6EXBniqGA/6Hpr9mBIqlvFW4wuuo5LnXrufc8iJDI6AQAxOIYBBIAxJAJQpAqt3n4zrzwo/LxE2a9pX8TNjcYZael21km7l1/s1jlk/Oq4LU8zVAtILU88XezAwQudPVfy1P/r1FypqtN/oZjjfkrEr2Dt4go3bbJACoxufPXjuV1Gz35NADpQV87efXr7t6TPl95tsHShIdstfSJSb/2Bz1O+pSWpMyz/Hs5R6GW0MU7WpniOkmpF3J/MnCptywIatU+jDb/TkbBfQMTmrcdQCaaVXeN1HVdanVs3XnLsk+uT6PKbDt9JM7Zsf27hScoR1YP8dybrLuZv211aExOY6Fy1muR5t/KqpdUX95+aZJjHN2LhYAAGc1dZ8=
                        اینجارو نگاه کنید

                        http://insecurety.net/?p=175

                        هرچند بحث خارج شد از موضوع تاپیک
                        ...

                        Comment


                        • #13
                          این کار در صورتی انجام میشه که تیک remember password رو بزنیم ؟ یا بدون زدن اون تیک این کار انجام میشه ؟

                          Comment


                          • #14
                            نوشته اصلی توسط l4tr0d3ctism نمایش پست ها
                            ( میگم کلمه ی text به فارسی چی میشه ؟؟**)


                            تکست

                            :d
                            آنکس که بداند و بداند که بداند باید برود غاز به کنجی بچراند
                            آنکس که بداند و نداند که بداند بهتر که رود خویش به گوری بتپاند
                            آنکس که نداند و بداند که نداند با پارتی و پولش خرک خویش براند
                            آنکس که نداند ونداند که نداند در پست ریاست ابد الدهر بماند !!!

                            Hacking is the art of creative problem solving - Jon Erickson
                            sigpic

                            MY BLOG

                            twitter

                            Comment


                            • #15
                              نوشته اصلی توسط Warden نمایش پست ها
                              این کار در صورتی انجام میشه که تیک remember password رو بزنیم ؟ یا بدون زدن اون تیک این کار انجام میشه ؟
                              آره حتما باید اون تیک رو بزنیم

                              ==============================

                              decoder حیف تو که تو ایران موندی )
                              ...

                              Comment

                              Working...
                              X