Прежде всего убедитесь что билд не упакован пакерами:
Если же он упакован (обычно это UPX или MPRESS), то распакуйте анпакерами (к примеру Packer Breaker).
Далее открываем билд в любом редакторе ресурсов, и смотрим ресурс в RC_DATA под названием "DCDATA":
Внутри видим шифрованную строку через RC4. Теперь нужно его просто расшифровать.
Идём сюда:
Вводим данные которые мы нашли и ключ для расшифровки (комета использует ключ "#KCMDDC51#-890" для шифровки всех своих пакетов).
В итоге мы получаем расшифрованный текст:
Скачиваем его как бинарный файл и открываем в блокноте, ну и вот что мы видим в итоге:
Если же он упакован (обычно это UPX или MPRESS), то распакуйте анпакерами (к примеру Packer Breaker).
Далее открываем билд в любом редакторе ресурсов, и смотрим ресурс в RC_DATA под названием "DCDATA":
Внутри видим шифрованную строку через RC4. Теперь нужно его просто расшифровать.
Идём сюда:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Вводим данные которые мы нашли и ключ для расшифровки (комета использует ключ "#KCMDDC51#-890" для шифровки всех своих пакетов).
В итоге мы получаем расшифрованный текст:
Скачиваем его как бинарный файл и открываем в блокноте, ну и вот что мы видим в итоге:
Код:
#BEGIN DARKCOMET DATA --
MUTEX={DC_MUTEX-9QBE2AZ}
SID={Test} //UserID
FWB={0}
NETDATA={127.0.0.1:1604} //IP и порт подключения.
GENCODE={2PEYRLKdlsU5}
INSTALL={1}
COMBOPATH={7}
EDTPATH={MSDCSC\msdcsc.exe} //Папка для самокопирования
KEYNAME={Windows Security} // Имя в автозагрузке
EDTDATE={16/04/2007}
PERSINST={1}
MELT={1}
CHANGEDATE={0}
DIRATTRIB={6}
FILEATTRIB={6}
SH1={1}
SH5={1}
SH6={1}
SH7={1}
CHIDEF={1}
CHIDED={1}
PERS={1}
OFFLINEK={1}
#EOF DARKCOMET DATA --