Página 1 de 1

[Request] IE 10,11 Stealer en Delphi

Publicado: 22 Ago 2014, 10:27
por broly7
Hola compañeros.

Como sabrán hay mucha información de VB.Net, y códigos fuente y tal en internet, pero en cuanto a Delphi no encuentro ninguna Unit con el método de desencriptación de contraseñas del Internet Explorer.

Si alguien fuese tan amable de postear su Unit o mandarla por privado, (escrita en Delphi) por favor se lo pido.

Se lo agradecería mucho y ante todo quiero aprender.

Un saludo.

Re: [Request] IE 10,11 Stealer en Delphi

Publicado: 24 Ago 2014, 02:12
por joselin
mira voy a intentar crear una herramienta a base de estos 2 links

[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]

ya tenes los datos para empezar despues es cosa de leer mucho y razonar
(o tener la suerte de que la busqueda en ggoogle te tire una unit salvadora)
es complicado hay que hacer comprobaciones por las distintas versiones
o quedarse solo con las ultimas ,
si logro hacerlo, publico la herramienta no el source y estaria en condicion de ayudarte para que puedas crear tu stealer.
saludos y en los proximos dias publico la tool.

Re: [Request] IE 10,11 Stealer en Delphi

Publicado: 25 Ago 2014, 17:16
por joselin
como solo tengo internet explorer 8
te expongo lo que encontre en la web

valido solo desde ie7 hasta ie9

las contraseñas de autocompletar
se decifran desde el registro
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
¿como trabaja?
se encripta sacando el hash de la url y encriptando user y password
entonces cuando se visita la url se compara el hash y si es correcto
se desencripta user y pass y se autocompleta el formulario de login

de esta manera si no se conoce la url original no se puede desencriptar
pero podemos saber las url mas usadas y crear una herramienta
ejemplo
comparar el hash de
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

con hash de esta direccion

[Enlace externo eliminado para invitados]
y si son iguales
entonces desencriptar

generalmente las aplicaciones que encontre recoren el historial comparando hash
con el del registro
pero este programa:
[Enlace externo eliminado para invitados]
parece que lo tiene predefinido
ya que aunque borremos el historial sige desencriptando el pass.

Re: [Request] IE 10,11 Stealer en Delphi

Publicado: 27 Ago 2014, 17:24
por broly7
Te agradezco Mogollón que te hallas interestad/preocupado por esto. Y es verdad encontré lo mismo que tu, sobre analizar todo el historial para buscar un match en el HASH de la password. Pero me parece una manera fea, por posibles fallos.

Gracias de todo corazón, el de Securityxploded se guardará el secreto a la tumba me parece :D