我是一個具有非常基本功能的程序員,我在朋友的計算機上找到了一個可疑的文件。我發郵件給自己,並用.NET反射器打開它,只是爲了獲得它的工作機會。它的確如此,代碼看起來像是最初用C#/ VB編寫的。該程序將我的未經訓練的眼睛看作一個非常基本的竊取者,從他們的標準目錄中獲取各種密碼。我終於找到了我正在尋找的東西;所有這些數據都通過電子郵件發送到。我知道我可以禁用這個電子郵件地址,並通過與他們聯繫來幫助那些失去了重要數據的人。但是,電子郵件地址及其密碼存儲爲變量; Me.Information。我真正需要的是找到這個變量,Me.Information。該程序本身非常龐大,充滿了我很少在上下文中理解的代碼。據我所知,它完全解讀。沒有混淆。我一直在空閒時間搜尋了很長一段時間,任何能夠伸出援助之手的專業人士都會非常感激! 謝謝。查找編譯變量的值
將其導出到一個項目,並在一些IDE(如visual studio)中打開它。爲了解決您對意外運行程序的擔憂,實際上可以在項目設置中禁用這些運行配置,以免運行/構建它。
希望這會有所幫助!
如果你有任何可能通過獲取這個.exe文件到我的Visual Studio(我現在試圖沒有任何效果),我會喜歡它。我知道這有點多,現在我有點迷路了。我感覺如此接近,但迄今爲止:P 我試圖將它導出到Reflector中的一個項目中,並且遇到了麻煩。 – Alex 2013-02-28 20:27:42
我建議使用JetBrains的反編譯器。如果你可以得到resharper,也可以反編譯成一個visual studio項目 - 看看這兩個!通過jetbrains,你應該可以得到某種形式的免費試用版或者其他什麼 – 2013-02-28 20:29:06
啊!我知道了。這真是令人興奮。我將它放到了一個.vbproj中,並將其粘貼在Visual Basic中。我知道你看不到實際的代碼...但是...它看起來像是一個aray或什麼,me.information。 我想把代碼放在適當的標籤,但我不知道如何... message.From =新的MailAddress(我。信息(1)) – Alex 2013-02-28 20:36:12
,如果你找到的代碼部分,其發送電子郵件時,你可以只用一個顯示的地址,而不是送點東西給它一個消息替換它。但要小心,不要犯錯,並放棄您的密碼。
此外,您可以打開記事本中的一些.net文件,並看到字符串。很多時候,他們會很容易地讀取...是這樣的:
address = "[email protected]"
(代碼)
可能是在記事本中可見,儘管它可能看起來像這樣:
m e @ s o m e w h e r e . n e t
(IM不知道他們實際上是「空間」,但他們往往顯示看起來像空格)
它可能需要一段時間來尋找的,雖然「@」所有實例,它不會工作,除非他們分配編輯它像我的例子一樣簡單...他們可能已經構建它使其不那麼可見
啊,是的。我忘記提及的問題是程序本身作爲一個進程運行(... virus.exe,真的嗎?),並且從未真正打開。我沒有足夠的複雜度來解決這個問題。 – Alex 2013-02-28 20:26:05
messagebox的建議是假設你將它加載到visual studio中......雖然最好是搜索源代碼並找到它,而不是運行它,除非它們將其混淆,在這種情況下它可能更容易運行它。第二個建議只需要您使用「打開方式」並選擇記事本,然後搜索「@」的所有實例...但這可能需要一段時間,但不能保證可以正常工作。雖然您已經可以使用折射器,但您最好在源代碼中搜索@符號,而不是.exe文件本身 – Allen 2013-02-28 20:30:07
有這麼多文件。我怎麼能得到它*全部*在一個文本文件? – Alex 2013-02-28 20:45:50
你不能加載到Visual Studio中,並搜索該變量? – 2013-02-28 20:05:26
我會給你一個鏡頭。我希望將它保持在一個更安全的環境中,意外的f5可能會令人討厭。但我會給它一個鏡頭......我如何從反射鏡做到這一點? – Alex 2013-02-28 20:08:41
只是一個想法,嘗試導出爲項目。即使它不起作用,您現在可以使用Notepad ++在目錄的所有文件中進行搜索。祝你好運:) – Belial09 2013-02-28 20:14:54