首页
论坛
课程
招聘
[调试逆向] [原创][中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码]
2012-9-30 17:51 92471

[调试逆向] [原创][中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码]

2012-9-30 17:51
92471
法国人写的工具,据说有抓Win密码功能。参考讨论如下:
http://bbs.pediy.com/showthread.php?t=149236
http://bbs.pediy.com/showthread.php?t=146884

不过不知道大家对逆出来的SRC有没有兴趣。。。
不用注入,读lsass内存数据即可。以前说的失败什么的大多是注入方式时候安全软件
给拦截了。而读内存皆可。在我的Win 7,WinXP3,Win2K3(均 32位系统)均可正常显示。

只是不论注入还是读内存都要对lsass进程操作,需要一定权限。
Just for ShAre !
TaKe it home...

lasT:
中秋快乐! guys.....



附件说明:
1) SRC (VC 6.0 编译通过)
2) 逆向过程记录

Author: 0x710dddd

第五届安全开发者峰会(SDC 2021)议题征集正式开启!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (117)
雪    币: 859
活跃值: 活跃值 (28)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
Vsbat 活跃值 4 2012-9-30 17:51
2
0
may be it's UUUUUUUUUUUUUUUUU
sofa
雪    币: 99
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
dEARMoON 活跃值 2012-9-30 17:55
3
0
来顶你~
雪    币: 4281
活跃值: 活跃值 (330)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
b23526 活跃值 2012-9-30 17:57
4
0
擦,这个必须有
雪    币: 215
活跃值: 活跃值 (138)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
lhglhg 活跃值 1 2012-9-30 17:58
5
0
顶大牛!!!中秋快乐!!!
雪    币: 499
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
kangcin 活跃值 2012-9-30 18:16
6
0
中秋快乐,有节日真心好
雪    币: 413
活跃值: 活跃值 (11)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
heiheiabcd 活跃值 4 2012-9-30 18:20
7
0
支持64位?
雪    币: 859
活跃值: 活跃值 (28)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
Vsbat 活跃值 4 2012-9-30 18:21
8
0
oh,64位的我没测试过。不了解了。Sorry 我只测试了32位。
雪    币: 562
活跃值: 活跃值 (26)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
promsied 活跃值 4 2012-9-30 18:57
9
0
都开源了,还逆他干吗...
精神上表示支持
雪    币: 859
活跃值: 活跃值 (28)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
Vsbat 活跃值 4 2012-9-30 19:01
10
0
不知情。。。。7月逆的

算了, Take it easy。。放轻松
maybe useful to someone
雪    币: 34375
活跃值: 活跃值 (150890)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
linhanshi 活跃值 2012-9-30 19:11
11
0
Thanks you.
雪    币: 109
活跃值: 活跃值 (10)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
无常pl 活跃值 2 2012-9-30 20:16
12
0
学习了,中秋快乐!
雪    币: 14131
活跃值: 活跃值 (342)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
atompure 活跃值 2012-9-30 20:42
13
0
Take a look.
Thanks for sharing.
雪    币: 939
活跃值: 活跃值 (258)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
elianmeng 活跃值 1 2012-9-30 22:13
14
0
MARK 一下,以后可能有用
雪    币: 276
活跃值: 活跃值 (15)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
淡定疯着 活跃值 2012-9-30 22:46
15
0
顶了在收藏,心里舒坦。
雪    币: 8
活跃值: 活跃值 (19)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
zpsemo 活跃值 2012-9-30 23:13
16
0
那个法国人 我还跟他交流过....
雪    币: 4
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cooseasy 活跃值 2012-10-1 10:18
17
0
这个要慢慢看。。。
雪    币: 4
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ygd 活跃值 2012-10-1 11:09
18
0
双节好礼哈
雪    币: 35
活跃值: 活跃值 (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
arhatlohan 活跃值 2012-10-1 11:26
19
0
请教一下,你调试跟踪GetWDigest的时候如何下断?如何跟踪dll文件?
水平比较菜,请指教一下
雪    币: 859
活跃值: 活跃值 (28)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
Vsbat 活跃值 4 2012-10-1 11:53
20
0
在虚拟机里动态调试。首先附加lsass进程。然后运行mimikatz让dll先注入到lsass里面。然后在OD中直接在CTRL+G -->“getWdigest”就可在此函数入口处断下。
然后继续使用mimikatz开始调用getWdigest。即可断下。
这次逆向IDA静态是重点,只是动态跟踪的话太累了。
雪    币: 273
活跃值: 活跃值 (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
天外来客 活跃值 2012-10-1 12:21
21
0
强人,刚才试了下,成功读取密码
雪    币: 389
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
plgs 活跃值 2012-10-1 14:16
22
0
不错啊,看看先
雪    币: 1650
活跃值: 活跃值 (105)
能力值: ( LV12,RANK:1000 )
在线值:
发帖
回帖
粉丝
天易love 活跃值 18 2012-10-1 14:16
23
0
其实找这个源码还是要花点功夫的,反正我是费了点劲。中秋送好礼了,https://mimikatz.googlecode.com/svn/trunk/
雪    币: 197
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
demonking 活跃值 2012-10-1 16:22
24
0
mimikatz 源码在哪,求下载地址,论坛给的地址不能用
雪    币: 413
活跃值: 活跃值 (11)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
heiheiabcd 活跃值 4 2012-10-1 17:33
25
0
http://www.pudn.com/downloads452/sourcecode/windows/console/detail1905558.html
游客
登录 | 注册 方可回帖
返回