?? Мы же создавать копию будем на x32 процессе, собственно и удалять тоже придется на x32 процессе. В чем проблема то?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Разработка стилера, обсуждение.
- Автор темы Jeffs
- Дата начала
А инжект в SearchIndexer кто нибудь пробовал? Эта штука вроде как только тем и занимается, шерстит по диску пока юзер ушел бутеры точить. Вообще это сервис, но собственно какая разница если стартануть его с юзермода. Он по логике должен быть в вайт листе ав на предмет открытия не "своих" файлов. ЗЫ: Это просто теория которую я обязательно проверю позже, руки просто не дошли.
Вообще говоря, эта штука еще и сохраняет свои данные в базе, доступной через COM. Для примера можно посмотреть реализацию в Seatbelt'е (по-моему, могу попутать), но вы не поверите, сколько интересной информации можно в этой базе найти.
ADD: ога, в ситбелте https://github.com/GhostPack/Seatbe.../Seatbelt/Commands/Misc/SearchIndexCommand.cs
Последнее редактирование:
Надо пробовать, ничего не скажу. Мой опыт с VSS ограничен сугубо белыми программами.
Да, интересная идея.
Очень круто! Пытался такое реализовать в своём Lumma, но идеи разбились на этапе расшифровки паролей из Mozilla, где есть cryptoapi вызов CryptUnprotectData по-моему, и расшифровывать нужно только на пк холдера, плюс некоторые библиотеки типа mozglue.dll и nss3.dll которые непонятно как линковать на сервере, разве что бекенд тоже на C писать.
Ну и хотелось бы скрины панели увидеть
Вытаскиваешь структуру приват кея и хэш из key4.db - дешифруешь на сервере пароли по ним. Настолько просто, что неочевидно. Подсказка: metadata nssprivate
А вообще декрипт через вызов библиотек лисы, это провал.
в мозилле нет DPAPI, оно в хроме. По мозилле см. здесь https://xss.pro/threads/38575/post-465161 , там ничего сложного, абсолютно. тупо скопировал либы в 1 папку и раздешил.
Предлагаешь парсить вручную, ASN.1 это все? вариант, но сложный (относительно), и алгосы менялись уже раза 3.
Почему провал? Недавно пробовал этот вариант, на серв поставил новые dll лисы и эти новые dll дешифруют пропифи 68+ версии Firefox, ниже уже не, думаю на такой случай поставить ещё более старые dll
Алгосы ведь не так часто меняются, раз в 5 лет и переписать можно, или я все пропустил (я просто делал когда key4.db уже был давно, а это года 3 назад).
У меня вообще никаких длл нет, все парсится на сервере, из key4.db дергается хэш и структура, пароли дергаются из logins.json и декриптятся через ASN.1. PHP как бэкенд в 2022 уже устарел, если вы линкуете в него nss.
Последнее редактирование:
Хз как они меняются, у себя я реализовал key4.db , AES / 3DES , т.е. два варианта; более старые мб иначе, не знаю. Перечитай эту тему, сообщения Haunt - вопрос в реализации. Т.е. на библиотеках ты сделал и забыл (скорее всего), и не надо погружаться в ASN и так далее. Проблема в том, что 99% делают по мудацки - качают библиотеки на комп юзера, а надо дешить на сервере.
Check dll path again and if you compile the stealer in x86 so make sure the nss3 is also x86 u can copy it from Mozilla firefox
подскажите, пожалуйста, какими знаниями (помимо хорошего знания с++) надо обладать, чтобы написать хороший стиллак под винду?
Столько раз уже обсуждалась эта тема, на форуме очень много статей, например вот.
Подскажите, кто осведомлен, какие изменения внесены в Firefox. Пробую меетоды, описанные выше, но результат нулевой. Буду премного благодарен.