Il keylogger sembra inviare l'email usando Gmail ma la comunicazione SMTP è crittografata con TLS (SSL).
Simple Mail Transfer Protocol
Command Line: STARTTLS\r\n
Command: STAR
Request parameter: TLS
Simple Mail Transfer Protocol
Response: 220 2.0.0 Ready to start TLS\r\n
Response code: <domain> Service ready (220)
Response parameter: 2.0.0 Ready to start TLS
Puoi utilizzare Fiddler sull'host che esegue il keylogger per intercettare i messaggi SMTP prima che vengano crittografati con TLS (SSL) . Fiddler intercetta le applicazioni basate su Windows WinINET in modo da non intercettare tutte le connessioni SSL.
Fiddler is a Web Debugging Proxy which
logs all HTTP(S) traffic between your
computer and the Internet. Fiddler
allows you to inspect all HTTP(S)
traffic, set breakpoints, and "fiddle"
with incoming or outgoing data.
Fiddler includes a powerful
event-based scripting subsystem, and
can be extended using any .NET
language.
Se il keylogger invia un'e-mail significa che raccoglierà le chiavi per un certo periodo di tempo e poi invierà l'e-mail. Il che significa che dovrà conservare quelle chiavi da qualche parte. Il monitoraggio delle scritture di file per quel keylogger può indirizzarti alla sua cache e forse il file chiave indicherà se il keylogger ha come target Runescape o l'utente. Raccomando Monitor processo per il tracciamento delle scritture di file.
Un modo diverso per trovare l'indirizzo email di destinazione è il debug del keylogger. Potresti iniziare con un dump della memoria e una ricerca di stringhe. Per prima cosa identifica il processo di keylogger rintracciando le scritture che si verificano dopo la pressione dei tasti, quindi utilizza Process Explorer per cercare le stringhe dal dump della memoria del processo.
OllyDBG e un po 'di pazienza può essere utile per eseguire il debug del codice del keylogger impostando i breakpoint sulle funzioni SMTP e quindi ispezionando la memoria per gli indirizzi email.