Necesito saber si alguien tiene alguna otra idea de como solucionar este tema de modo local, Baje de Internet una aplicación que estaba infectada con un keylogger (Ardamax) me puse sniffear, y encontré que establecía una conexión al smtp de gmail, por el puerto 465 (SSL).
Como la conexion estaba cifrada el sniffer no me servia.
Lo que se me ocurrio fue infectar una maquina virtual con windows xp, y desde otra maquina virtual con Backtrack, utilizando el Ettercap junto a su función "Man the Middle", lo pude lograr.
Acá dejo el video del modo en que lo realice.
http://vimeo.com/22362014
Tambien pense si hay alguna tool que simule ser un servidor de smtp con ssl, y modificar el archivo hosts y ponerle el dominio de gmail apuntando al localhost, pero no logre encontrar esa aplicacion (si alguien sabe si existe) tipo un honeypot
Hola. no se si te servirá, pero yo uso dsniff (sniffer) junto con sslstrip (destripador de ssl) , el conjunto me funciona perfectamente.
Pero si establece la conexión automática no se si servirá, porque creo que tiene que haber alguien que acepte el certificado copiado por sslstrip.
Se me ocurrió esta otra manera de modo local
[youtube=425,350]http://www.youtube.com/watch?v=y38Ts_k-vGU[/youtube]
Me parece mejor ya que veo todo el trafico de esa conexion
::)
Con dsniff también ves todo el tráfico, incluso lo ves tal cual viaja con tcpdump, y luego le puedes aplicar filtros. Eso si, olvídate de usar Windows.