看雪论坛
发新帖
4

[调试逆向] [原创][中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码]

Vsbat 2012-9-30 17:51 82438
法国人写的工具,据说有抓Win密码功能。参考讨论如下:
http://bbs.pediy.com/showthread.php?t=149236
http://bbs.pediy.com/showthread.php?t=146884

不过不知道大家对逆出来的SRC有没有兴趣。。。
不用注入,读lsass内存数据即可。以前说的失败什么的大多是注入方式时候安全软件
给拦截了。而读内存皆可。在我的Win 7,WinXP3,Win2K3(均 32位系统)均可正常显示。

只是不论注入还是读内存都要对lsass进程操作,需要一定权限。
Just for ShAre !
TaKe it home...

lasT:
中秋快乐! guys.....



附件说明:
1) SRC (VC 6.0 编译通过)
2) 逆向过程记录

Author: 0x710dddd
上传的附件:
本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (114)
4
Vsbat 2012-9-30 17:51
2
may be it's UUUUUUUUUUUUUUUUU
sofa
dEARMoON 2012-9-30 17:55
3
来顶你~
b23526 2012-9-30 17:57
4
擦,这个必须有
1
lhglhg 2012-9-30 17:58
5
顶大牛!!!中秋快乐!!!
kangcin 2012-9-30 18:16
6
中秋快乐,有节日真心好
4
heiheiabcd 2012-9-30 18:20
7
支持64位?
4
Vsbat 2012-9-30 18:21
8
oh,64位的我没测试过。不了解了。Sorry 我只测试了32位。
4
promsied 2012-9-30 18:57
9
都开源了,还逆他干吗...
精神上表示支持
4
Vsbat 2012-9-30 19:01
10
不知情。。。。7月逆的

算了, Take it easy。。放轻松
maybe useful to someone
linhanshi 2012-9-30 19:11
11
Thanks you.
2
无常pl 2012-9-30 20:16
12
学习了,中秋快乐!
atompure 2012-9-30 20:42
13
Take a look.
Thanks for sharing.
1
elianmeng 2012-9-30 22:13
14
MARK 一下,以后可能有用
淡定疯着 2012-9-30 22:46
15
顶了在收藏,心里舒坦。
zpsemo 2012-9-30 23:13
16
那个法国人 我还跟他交流过....
cooseasy 2012-10-1 10:18
17
这个要慢慢看。。。
ygd 2012-10-1 11:09
18
双节好礼哈
arhatlohan 2012-10-1 11:26
19
请教一下,你调试跟踪GetWDigest的时候如何下断?如何跟踪dll文件?
水平比较菜,请指教一下
4
Vsbat 2012-10-1 11:53
20
在虚拟机里动态调试。首先附加lsass进程。然后运行mimikatz让dll先注入到lsass里面。然后在OD中直接在CTRL+G -->“getWdigest”就可在此函数入口处断下。
然后继续使用mimikatz开始调用getWdigest。即可断下。
这次逆向IDA静态是重点,只是动态跟踪的话太累了。
天外来客 2012-10-1 12:21
21
强人,刚才试了下,成功读取密码
plgs 2012-10-1 14:16
22
不错啊,看看先
18
天易love 2012-10-1 14:16
23
其实找这个源码还是要花点功夫的,反正我是费了点劲。中秋送好礼了,https://mimikatz.googlecode.com/svn/trunk/
demonking 2012-10-1 16:22
24
mimikatz 源码在哪,求下载地址,论坛给的地址不能用
4
heiheiabcd 2012-10-1 17:33
25
http://www.pudn.com/downloads452/sourcecode/windows/console/detail1905558.html
10
tzl 2012-10-1 18:16
26
学习一下,中秋国庆快乐
1
xdklzy 2012-10-1 22:33
27
刚才在本机运行了一把,果然能读取到开机密码
真心觉得这个工具好牛逼!!膜拜一下
11
zhuwg 2012-10-1 22:46
28
学习1下啦。作者公布的源码可以早google code上找到
qqlinhai 2012-10-1 23:06
29
中秋送好礼啊,支持...
booz 2012-10-2 10:32
30
很好, 感谢分享~~~
15
achillis 2012-10-2 10:54
31
支持楼主,不错的东西~
dayang 2012-10-2 20:29
32
不错啊,弄成本地保存就好了
meijingogo 2012-10-2 21:20
33
NB的人啊,好强悍,花了很多时间吧,谢谢分享。
troops 2012-10-4 04:30
34
mark一下
3
ProgmBoy 2012-10-4 08:26
35
那位7月份开的源..
http://code.google.com/p/mimikatz/

貌似源码下下来还没看..
2
zhujian 2012-10-4 10:29
36
谢谢分享,先收藏再学习。
lubuqing 2012-10-4 11:43
37
研究中,别打扰我  :)
qduliyang 2012-10-4 18:48
38
那个mimikatz 软件  以前论坛里也有很精彩的分析
18
天易love 2012-10-5 10:37
39
我觉得还是这个精彩。
那个“原理上我们只需要把密文数据读出来就可以了”有点不妥,解密密钥也是要读的,也就是你所说的“全局变量”。 非常不错的文章,帖子都要达到这个水平才能算得上精华。
7448fe3c 50              push    eax
7448fe3d ff7510          push    dword ptr [ebp+10h]
7448fe40 ff35a00c5274    push    dword ptr [LSASRV!LsaICryptUnprotectData+0x1457f (74520ca0)]  //pDESXKEY
7448fe46 56              push    esi
7448fe47 56              push    esi
7448fe48 6a08            push    8
7448fe4a 68c3004974      push    offset LSASRV!LsarOpenPolicy+0xa6c (744900c3) //加解密
7448fe4f e89f010000      call    LSASRV!LsarOpenPolicy+0x99c (7448fff3)

int __stdcall sub_744900C3(int a1, int a2, int a3, int a4)  //desx
{
  int v4; // edx@3
  int v5; // eax@3
  int v6; // edx@2
  int v7; // eax@2
  int result; // eax@2

  if ( a4 )  //加密还是解密
  {
    v6 = *(_DWORD *)(a3 + 4) ^ *(_DWORD *)(a2 + 4);
    *(_DWORD *)a1 = *(_DWORD *)a3 ^ *(_DWORD *)a2;
    *(_DWORD *)(a1 + 4) = v6;
    sub_74490118(a1, a1, a3 + 16, 1); //des
    v7 = *(_DWORD *)(a1 + 4);
    *(_DWORD *)a1 ^= *(_DWORD *)(a3 + 8);
    result = *(_DWORD *)(a3 + 12) ^ v7;
    *(_DWORD *)(a1 + 4) = result;
  }
  else
  {
    v4 = *(_DWORD *)(a2 + 4) ^ *(_DWORD *)(a3 + 12);
    *(_DWORD *)a1 = *(_DWORD *)a2 ^ *(_DWORD *)(a3 + 8);
    *(_DWORD *)(a1 + 4) = v4;
    sub_74490118(a1, a1, a3 + 16, 0);  //des
    v5 = *(_DWORD *)(a1 + 4);
    *(_DWORD *)a1 ^= *(_DWORD *)a3;
    result = *(_DWORD *)(a3 + 4) ^ v5;
    *(_DWORD *)(a1 + 4) = result;
  }
  return result;
}
4
Vsbat 2012-10-5 10:58
40
哈哈~~感谢天易牛来支持~~~
8
HSQ 2012-10-5 11:21
41
学习收藏
zhongzhong 2012-10-6 11:15
42
学习ing!
zgyknight 2012-10-8 02:41
43
mark下~~~~~~~~~
yaneng 2012-10-8 09:12
44
好贴留名,果断收藏
junzou 2012-10-8 10:30
45
学习了...
tntaiyu 2012-10-8 18:48
46
顶一下。64位应该还不支持
1
叁毛 2012-10-8 20:23
47
读这个lsass.exe进程的内存数据普通用户做不到吧?既然要管理员权限,那不是有点矛盾了吗?
Lesbonsami 2012-10-10 18:04
48
Mark下  下次回来下
学gg 2012-10-10 22:49
49
来了就支持一下,学习学习
tysan 2012-10-14 17:32
50
32bit xp测试成功,不知道64bit咋解决
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 知道创宇带宽支持 | 微信公众号:ikanxue
Time: 0.014, SQL: 11 / 京ICP备10040895号-17