首页
论坛
课程
招聘

[分享&挑战]sekurlsa.dll逆向分析challenge(可能发现windows系统账号存储机制的小秘密)

2012-2-23 20:55 55601

[分享&挑战]sekurlsa.dll逆向分析challenge(可能发现windows系统账号存储机制的小秘密)

2012-2-23 20:55
55601
最新回复 (64)
曹无咎 1 2012-3-31 22:09
51
0
测试一下!!
kannon 2012-5-3 11:49
52
0
请教高人,特别是pcasa,对模块wdigest进行反汇编, 该模块并没有导出变量。那么,7EAC538A处应是wdigest引用的局部变量。这个局部变量应该是你说的l_LogSessList之类的变量。
问题一:IDA反汇编wdigest,7EAC538A处并没有出现你贴出的?l_LogSessList@@3U_LIST_ENTRY@@A ; _LIST_ENTRY l_LogSessList,图示如下。请问你用什么软件进行的反汇编。
问题二:如何得到变量l_LogSessList的值。也就是:变量l_LogSessList何时被赋值?我的调试环境下,变量l_LogSessList的地址为742ec29c,对该地址下内存写断点没有结果。逐步跟踪发现在执行完sekurlsa 10034bd3这条指令后,742ec29c地址处写上了值。但是sekurlsa 10034bd3这条指令并没有对742ec29c地址进行操作。
非常疑惑,希望各位过来人指点。
上传的附件:
  • 1.JPG (25.45kb,246次下载)
  • 2.JPG (21.71kb,247次下载)
KeDbg 2012-5-5 20:45
53
0
好强大、、哪有帮助文档、求
wlksl 2012-5-7 08:38
54
0
楼主辛苦了,赞一个!
zhuwg 11 2012-5-7 23:04
55
0
注意系统版本不同 地址是不一样的
用前面各位回复提到的api来定位比较好
或者ida里面看函数名
雪妖 2012-5-8 15:32
56
0
强帖 mark 留名
s朽木s 2012-5-8 19:30
57
0
斗胆请教一下pcasa,怎样得到l_LogSessList结构体变量地址的?我的理解是:作者是在sub_10002ba0这个函数中获得l_LogSessList,在该函数中从wdigest!SpInstanceInit地址处开始遍历,虽然最后跟到了l_LogSessList结构体变量地址,但是对遍历的过程理解的很乱,特别是对SpInstanceInit这个函数很不解,请不吝赐教!
风间仁 19 2012-6-1 15:50
58
0
作者开源了
http://@blog.gentilkiwi.com/downloads/mimikatz_trunk.src.zip
达文西 2012-10-1 12:00
59
0
清风刀客 2013-4-22 06:02
60
0
这个东西 确实很强大 那个法国人是C++出身的- -
猫子 2013-4-22 08:45
61
0
mark一下,以后再来看看
LuckyG 2013-4-22 11:44
62
0
扫雷那个是怎么弄得,我曾经试着用ce查找过内存不行找不到
黑夜熊 2013-8-31 16:14
63
0
靠,,很强大的样子。。
装逼兄 2013-8-31 20:08
64
0
不然而厉,虽然不知道是什么,但是感觉很厉害 mark
asdli 2013-9-1 23:27
65
0
mark  收藏了
游客
登录 | 注册 方可回帖
返回