Chrome işini hallettim ama firefoxun datayı nerede sakladığını hala bulamadım biraz daha yardımcı olsan çok iyi olurdu .dEhe ehe eğlenceli konu... Ama sen araştır.. Ben sadece ipucu vereceğim. İkimiz de bire bir aynı kodlarla çekersek ikimizinki birden yakalanır değil mi?
İlk adımımız google amca bunları nerede saklıyor onu bulmak. Saklamıyorlar. %localappdata%\Google\Chrome\User Data\Default içine bakalım. Süper! Cookies, history, her halt için birer dosya var burada değil mi?
Bunlar sqlite veritabanları. Hemen hemen hiç biri şifreli değil göreceğin gibi. Sadece "Login Data" adındaki, şifrelerin saklandığı hariç. E bunu nasıl çözeceğiz?
İçinde logins adındaki tabloyu okuyacaksın. action_url kolonu hangi siteye ait olduğu, username_value kullanıcı adı, password_value ise şifrelenmiş olarak şifre. Şifreleme yöntemi? Standart win32 protect işlemi yapılmış sadece. Aradığın çözme fonksiyonunu crypt32.dll içinde bulacaksın, cryptunprotectdata...
Son ipucu da, chrome hiç bir extra salt, key, IV kullanmıyor. Deneme için kendin rastgele bir şifre kaydedebilirsin.
Şimdi sırada firefox var. Firefox'u bulursan, çok kullanılan bir mail client olan Thunderbird'ü de bulmuş olursun böyle bir artısı var. Onu da sen bul.
Edit: Orada cookies'i gördün değil mi.. Keylogger'ın çalışması için onu truncate edeceksin. Tam hatırlamıyorum şimdi ama sanırım direkt dosyayı silsen bile sorun olmuyordu, Chrome yeniden oluşturuyordu.
Ehe ehe eğlenceli konu... Ama sen araştır.. Ben sadece ipucu vereceğim. İkimiz de bire bir aynı kodlarla çekersek ikimizinki birden yakalanır değil mi?
İlk adımımız google amca bunları nerede saklıyor onu bulmak. Saklamıyorlar. %localappdata%\Google\Chrome\User Data\Default içine bakalım. Süper! Cookies, history, her halt için birer dosya var burada değil mi?
Bunlar sqlite veritabanları. Hemen hemen hiç biri şifreli değil göreceğin gibi. Sadece "Login Data" adındaki, şifrelerin saklandığı hariç. E bunu nasıl çözeceğiz?
İçinde logins adındaki tabloyu okuyacaksın. action_url kolonu hangi siteye ait olduğu, username_value kullanıcı adı, password_value ise şifrelenmiş olarak şifre. Şifreleme yöntemi? Standart win32 protect işlemi yapılmış sadece. Aradığın çözme fonksiyonunu crypt32.dll içinde bulacaksın, cryptunprotectdata...
Son ipucu da, chrome hiç bir extra salt, key, IV kullanmıyor. Deneme için kendin rastgele bir şifre kaydedebilirsin.
Şimdi sırada firefox var. Firefox'u bulursan, çok kullanılan bir mail client olan Thunderbird'ü de bulmuş olursun böyle bir artısı var. Onu da sen bul.
Edit: Orada cookies'i gördün değil mi.. Keylogger'ın çalışması için onu truncate edeceksin. Tam hatırlamıyorum şimdi ama sanırım direkt dosyayı silsen bile sorun olmuyordu, Chrome yeniden oluşturuyordu.
Yorumun için çok teşekkürler chrome işini hallettim ama firefoxun datayı nerede sakladığını hala bulamadım biraz daha yardımcı olsan çok iyi olurdu .d
Bana da yardımcı olur musun?Bu sefer %appdata% içinde.. %appdata%\mozilla\firefox\profiles\<firefox'un garip profil adı>\
Burada zaten login.json veya logins.json'ı bulacaksın. Burada zaten her site, ftp ve kurulu ise thunderbird mail hesabı için encrypt edilmiş şekilde kullanıcı adı ve şifreleri göreceksin. Gördüğün gibi decrypt etmek için bir anahtar lazım. O da key3.db içinde. Json içinde bulduğun unique identifier hangi anahtar hangi login'e ait onu gösteriyor.
Gerisi kolay zaten.
Şimdi internet explorer veya edge için isteme, vallahi ben kendim de bilmiyorum. Kim kullanıyor ki onları bu devirde?
Login data yı emailime aktarabilecegim bir sistem yapabilirim fakat o dosya ile daha sonra neler yapabilecegimi anlamadım. Biraz daha açar mısın?
Bana da yardımcı olur musun?
Olurum tabii ki. İşim bu.. (Aslında işimin yarısı bu, kalan yarısı trollemek)
Trojan yaparken nerede takıldığını anlatırsan elimden geldiğince anlatırım. Özellikle bu aralar. Siber alemde hintlilerin bir numaralı trojan yapımcıları olarak anılmasından bıktım. Bizim neyimiz eksik?
Olurum tabii ki. İşim bu.. (Aslında işimin yarısı bu, kalan yarısı trollemek)
Trojan yaparken nerede takıldığını anlatırsan elimden geldiğince anlatırım. Özellikle bu aralar. Siber alemde hintlilerin bir numaralı trojan yapımcıları olarak anılmasından bıktım. Bizim neyimiz eksik?
Yazdığım trojanın kendi sitemden kod satırı alıp dinamik olarak gönderdiğim kodları hedef bilgisayarda çalışması nasıl sağlanabilir?
Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.