看雪论坛
主题:186038  回帖:1211010  会员:739282  在线:1629

五级
注册:2011-2
帖子:255
精华:4

[调试逆向] 【原创】[中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码]

Vsbat 2012-9-30 81450
法国人写的工具,据说有抓Win密码功能。参考讨论如下:
http://bbs.pediy.com/showthread.php?t=149236
http://bbs.pediy.com/showthread.php?t=146884

不过不知道大家对逆出来的SRC有没有兴趣。。。
不用注入,读lsass内存数据即可。以前说的失败什么的大多是注入方式时候安全软件
给拦截了。而读内存皆可。在我的Win 7,WinXP3,Win2K3(均 32位系统)均可正常显示。

只是不论注入还是读内存都要对lsass进程操作,需要一定权限。
Just for ShAre !
TaKe it home...

lasT:
中秋快乐! guys.....

:D::D::D:

附件说明:
1) SRC (VC 6.0 编译通过)
2) 逆向过程记录

Author: 0x710dddd
最新回复 (114)
精华:4
五级 Vsbat 2012-9-30
1
may be it's UUUUUUUUUUUUUUUUU
sofa
二级 dEARMoON 2012-9-30
2
来顶你~:cool:
九级 b23526 2012-9-30
3
擦,这个必须有
精华:1
三级 lhglhg 2012-9-30
4
顶大牛!!!中秋快乐!!!
一级 kangcin 2012-9-30
5
中秋快乐,有节日真心好
精华:4
五级 heiheiabcd 2012-9-30
6
支持64位?
精华:4
五级 Vsbat 2012-9-30
7


oh,64位的我没测试过。不了解了。Sorry 我只测试了32位。:o:
精华:4
五级 promsied 2012-9-30
8
都开源了,还逆他干吗...
精神上表示支持:):
精华:4
五级 Vsbat 2012-9-30
9


不知情。:eek::eek:。。。7月逆的

算了, Take it easy。。放轻松
maybe useful to someone
超版 linhanshi 2012-9-30
10
Thanks you.
精华:2
三级 无常pl 2012-9-30
11
学习了,中秋快乐!
二级 atompure 2012-9-30
12
Take a look.
Thanks for sharing.
精华:1
三级 elianmeng 2012-9-30
13
MARK 一下,以后可能有用
三级 淡定疯着 2012-9-30
14
:cool:顶了在收藏,心里舒坦。
二级 zpsemo 2012-9-30
15
那个法国人 我还跟他交流过....
一级 cooseasy 2012-10-1
16
这个要慢慢看。。。
一级 ygd 2012-10-1
17
双节好礼哈:cool:
一级 arhatlohan 2012-10-1
18
请教一下,你调试跟踪GetWDigest的时候如何下断?如何跟踪dll文件?
水平比较菜,请指教一下
精华:4
五级 Vsbat 2012-10-1
19


在虚拟机里动态调试。首先附加lsass进程。然后运行mimikatz让dll先注入到lsass里面。然后在OD中直接在CTRL+G -->“getWdigest”就可在此函数入口处断下。
然后继续使用mimikatz开始调用getWdigest。即可断下。
这次逆向IDA静态:3:是重点,只是动态跟踪的话太累了。
二级 天外来客 2012-10-1
20
强人,刚才试了下,成功读取密码
一级 plgs 2012-10-1
21
不错啊,看看先
精华:18
九级 天易love 2012-10-1
22
其实找这个源码还是要花点功夫的,反正我是费了点劲。中秋送好礼了,https://mimikatz.googlecode.com/svn/trunk/
一级 demonking 2012-10-1
23

mimikatz 源码在哪,求下载地址,论坛给的地址不能用
精华:4
五级 heiheiabcd 2012-10-1
24


http://www.pudn.com/downloads452/sourcecode/windows/console/detail1905558.html
精华:10
七级 tzl 2012-10-1
25
学习一下,中秋国庆快乐
精华:1
三级 xdklzy 2012-10-1
26
刚才在本机运行了一把,果然能读取到开机密码
真心觉得这个工具好牛逼!!膜拜一下
精华:11
七级 zhuwg 2012-10-1
27
学习1下啦。作者公布的源码可以早google code上找到
一级 qqlinhai 2012-10-1
28
中秋送好礼啊,支持...
一级 booz 2012-10-2
29
很好, 感谢分享~~~
精华:15
八级 achillis 2012-10-2
30
支持楼主,不错的东西~
一级 dayang 2012-10-2
31
不错啊,弄成本地保存就好了
一级 meijingogo 2012-10-2
32
NB的人啊,好强悍,花了很多时间吧,谢谢分享。
一级 troops 2012-10-4
33
mark一下
精华:3
四级 ProgmBoy 2012-10-4
34
那位7月份开的源..
http://code.google.com/p/mimikatz/

貌似源码下下来还没看..
精华:2
三级 zhujian 2012-10-4
35
谢谢分享,先收藏再学习。
一级 lubuqing 2012-10-4
36
研究中,别打扰我  :)
一级 qduliyang 2012-10-4
37
那个mimikatz 软件  以前论坛里也有很精彩的分析
精华:18
九级 天易love 2012-10-5
38
我觉得还是这个精彩。
那个“原理上我们只需要把密文数据读出来就可以了”有点不妥,解密密钥也是要读的,也就是你所说的“全局变量”。 非常不错的文章,帖子都要达到这个水平才能算得上精华。
7448fe3c 50              push    eax
7448fe3d ff7510          push    dword ptr [ebp+10h]
7448fe40 ff35a00c5274    push    dword ptr [LSASRV!LsaICryptUnprotectData+0x1457f (74520ca0)]  //pDESXKEY
7448fe46 56              push    esi
7448fe47 56              push    esi
7448fe48 6a08            push    8
7448fe4a 68c3004974      push    offset LSASRV!LsarOpenPolicy+0xa6c (744900c3) //加解密
7448fe4f e89f010000      call    LSASRV!LsarOpenPolicy+0x99c (7448fff3)

int __stdcall sub_744900C3(int a1, int a2, int a3, int a4)  //desx
{
  int v4; // edx@3
  int v5; // eax@3
  int v6; // edx@2
  int v7; // eax@2
  int result; // eax@2

  if ( a4 )  //加密还是解密
  {
    v6 = *(_DWORD *)(a3 + 4) ^ *(_DWORD *)(a2 + 4);
    *(_DWORD *)a1 = *(_DWORD *)a3 ^ *(_DWORD *)a2;
    *(_DWORD *)(a1 + 4) = v6;
    sub_74490118(a1, a1, a3 + 16, 1); //des
    v7 = *(_DWORD *)(a1 + 4);
    *(_DWORD *)a1 ^= *(_DWORD *)(a3 + 8);
    result = *(_DWORD *)(a3 + 12) ^ v7;
    *(_DWORD *)(a1 + 4) = result;
  }
  else
  {
    v4 = *(_DWORD *)(a2 + 4) ^ *(_DWORD *)(a3 + 12);
    *(_DWORD *)a1 = *(_DWORD *)a2 ^ *(_DWORD *)(a3 + 8);
    *(_DWORD *)(a1 + 4) = v4;
    sub_74490118(a1, a1, a3 + 16, 0);  //des
    v5 = *(_DWORD *)(a1 + 4);
    *(_DWORD *)a1 ^= *(_DWORD *)a3;
    result = *(_DWORD *)(a3 + 4) ^ v5;
    *(_DWORD *)(a1 + 4) = result;
  }
  return result;
}
精华:4
五级 Vsbat 2012-10-5
39


:D::D::D:哈哈~~感谢天易牛来支持~~~
精华:7
六级 HSQ 2012-10-5
40
学习收藏:):
一级 zhongzhong 2012-10-6
41
:)::):学习ing!
一级 zgyknight 2012-10-8
42
mark下~~~~~~~~~
一级 yaneng 2012-10-8
43
好贴留名,果断收藏
一级 junzou 2012-10-8
44
学习了...
一级 tntaiyu 2012-10-8
45
顶一下。64位应该还不支持
精华:1
三级 叁毛 2012-10-8
46


读这个lsass.exe进程的内存数据普通用户做不到吧?既然要管理员权限,那不是有点矛盾了吗?
一级 Lesbonsami 2012-10-10
47
Mark下  下次回来下
一级 学gg 2012-10-10
48
来了就支持一下,学习学习
一级 tysan 2012-10-14
49
32bit xp测试成功,不知道64bit咋解决
返回