Hey Leute,

vorweg, ich hoffe ich bin hier richtig / im richtigen Unterforum.
Folgendes Problem: Ich habe ein Programm heruntergeladen, von dem ich vermute, dass es es ein Fake ist / nur leeren Datenmüll enthält. Nur sicher bin ich mir dessen nicht und würde das gerne überpüfen.

Ich hoffe ist ok, dass ich Namen des Programmes und Seite von der selbiges stammt nenne? Ich gehe davon aus, dass dies keinen Nutzer hier dazu einlädt es mir gleich zu tun? (Sollte dem nicht so sein, bitte einfach Namen löschen oder mich darauf hinweisen, dass ich das tuen soll, danke.)

Name des "Programms": Splittracks 2.7.
Urheber: raresoftware.org
Downloadmirror: cleanfiles.net
Programm besteht aus einer einzelnen .exe Datei (1413 kb) und einer .dll Datei (280 kb).


Bei der Urheberseite handelt es sich, wie ich jetzt vermute, um eine fishing Seite, die nicht funktionsfähige Programme über cleanfiles anbietet. Sinn besteht wohl darin, dass man auf cleanfiles "surveys" (d.h. Abos) abschliessen muss, um etwas herunterzuladen. Dementsprechend bekommt der Uploader dann eine Kommission. Klassischer Scam also. Ein Abo habe ich nicht abgeschlossen, keine Sorge. Trashmail und Proxy sei Dank.

Im Netz findet sich weder zu der Seite noch zum Programm Informationen, was ich sehr erstaunlich finde. Es sei erwähnt, dass der ganze Scam erstaunlich clever aufgebaut ist. Viele glaubhafte Fakekommentare, Fake Nutzer in den Youtube Comments, die wirklich wie echte Accounts aussehen Ein so elaborierter Scam ist mir im Internet wahrlich noch nicht untergekommen.

Ich vermute demnach zwar, dass es sich nur um Datenmüll handelt (eine Virus verbreiten über eine pay2download Seite würde ja wenig Sinn ergeben?), ich würde aber gerne sicher gehen. Ich habe Malwarebytes und Security Essentials das Programm scannen lassen. Beide konnten keine Bedrohung feststellen. Das bedeutet aber nicht, dass ich zwangsweise auf der sicheren Seite bin oder?
Daher würde ich gerne irgendwie in den Quellcode schauen und evtl. diesen hier posten, damit User die Ahnung von der Materie haben drüber schauen können? Könnte man so sicher erkennen um was für eine Art Programm es sich handelt?
Leider reicht mein technisches Knowhow hier nicht mehr aus. Wie komme ich an den Quellcode hinter der Exe und der Dll?

Vielen Dank schon mal im Voraus.

Gruß
MKDub

An den Quellcode kommst du NICHT ran, außer er wird extra veröffentlicht (in diesem Fall spricht man dann von "open source").

Damit haben noch ganz andere Leute als du Probleme. Linux-Programmierer müssen weithin beim Schreiben von Treibern ein Ratespiel ("reverse engineering" genannt) betreiben, weil die Gerätehersteller die genauen Spezifikationen ihres Gerätes nicht herausgeben und man den Quellcode der vorhandenen Treiber für Windows nicht aus den Programmdateien rekonstruieren kann.

An den ursprünglichen Quellcode einer Nativen Exe oder DLL wirst du nicht kommen, das beste was du bekommst ist in dem Fall Asm Code. Anders sieht es aus, wenn eine .Net Assembly vorliegt. Da .Net Assemblies zu IL(Intermediate Language) Code kompiliert werden ,bevor sie dann tatsächlich durch die CLR(Common Language Runtime) in Nativen Byte Code übersetzt werden, ist es möglich die Assemblies zu Rekompilieren und einen Code zu erhalten, der ähnlich wie der Ursprungs Quellcode ist. Ein Tool,dass das recht vernünftig macht ist IL Spy. So kannst du auch prüfen ob die Exe und die DLL .Net Assemblies sind oder nicht.

@MkDub,
dein Posting enthält nichts substantielles.
Warum hast Du den Download getätigt?
Man läd doch nichts zum Selbstzweck runter.
Was sollte die exe tun?
Niemand produziert eine ausführbare Datei aus "Datenmüll".
Hast Du den Code ausgeführt?
Möglicherweise ist es ein Loader, der die Library einschleust.
Dass die Scanner nichts finden, bedeutet garnichts.
Was erhoffst du dir vom Quellcode?

Lasse doch mal beide Dateien bei Virustotal prüfen oder schicke sie ins Nirvana.

Gruß Undertaker

Profis verwenden Sandboxen, Virtuelle Maschinen oder spezielle "beobachtbare" Windows Installationen zur Schadprogrammanalyse. Aber das ist aufwändig.

"Mal kurz" würde ich das Ding vielleicht mal auf "Threatexpert" hochladen. Hier wird das erklärt:

ThreatExpert - Introduction