我有兴趣使用像OllyDbg这样的东西来检查一个可能具有特洛伊木马特征的程序。
有没有人知道如何安全地执行此操作的好教程?
基本上该程序是视频游戏的“机器人”,但我怀疑它有后门和/或将收集的信息(如密码)上传到远程服务器。
我想找到它尝试连接的URL或IP,阻止它这样做,所以我想这比程序的典型“破解”更具体一些;我最感兴趣的是挖掘它可能正在做的基于网络的事情,要么阻止它们,要么欺骗它认为它是成功的。
另外,我很好奇如何窥探加密的网络流量。如何确定程序用于加密通过网络发送的内容的加密密钥和算法? (我问,因为我有兴趣创建第三方客户端来模拟与游戏服务器的通信,如果不知道如何发现正在使用的密钥,我就不能这样做了)
答案 0 :(得分:2)
您可以使用虚拟机(例如VirtualBox)安全地运行“恶意软件”。您可以使用Process Explorer来确切了解进程的作用(注册表/磁盘访问等)。
虚拟机还允许您创建安装在其中的操作系统的快照,因此您可以通过单击按钮轻松地将所有返回到已知状态(即在运行恶意软件之前)。
至于窥探网络,我不知道该怎么做。我想现有的网络嗅探工具可以在虚拟机本身内部使用,但我从来没有这样做过,所以我不知道该使用什么 - 其他人必须填写......
答案 1 :(得分:0)
疑似特洛伊木马的名称是什么?
swiftarchitect.com上有一篇文章介绍了一个特定木马的操作细节,该木马允许远程控制服务器: