[原创][中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创][中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码]

发表于: 2012-9-30 17:51 97223

[原创][中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码]

Vsbat

2012-9-30 17:51

97223

法国人写的工具，据说有抓Win密码功能。参考讨论如下：
http://bbs.pediy.com/showthread.php?t=149236
http://bbs.pediy.com/showthread.php?t=146884

不过不知道大家对逆出来的SRC有没有兴趣。。。
不用注入，读lsass内存数据即可。以前说的失败什么的大多是注入方式时候安全软件
给拦截了。而读内存皆可。在我的Win 7，WinXP3，Win2K3(均 32位系统)均可正常显示。

只是不论注入还是读内存都要对lsass进程操作，需要一定权限。
Just for ShAre !
TaKe it home...

lasT:
中秋快乐！ guys.....

附件说明：
1) SRC (VC 6.0 编译通过)
2) 逆向过程记录

Author: 0x710dddd

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

ReadPSW.rar （4.03kb，2640次下载）
逆向sekurlsa.dll_实现读内存获得开机密码.pdf （143.21kb，2631次下载）

收藏・163

免费・6

支持

最新回复 (117) 1 2 3 4 5 ▶
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 2 楼 may be it's UUUUUUUUUUUUUUUUU sofa 2012-9-30 17:51 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 3 楼来顶你~ 2012-9-30 17:55 0
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 4 楼擦，这个必须有 2012-9-30 17:57 0
lhglhg 雪币： 221 活跃值： (2306) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 434 粉丝 3 关注私信	lhglhg 1 5 楼顶大牛！！！中秋快乐！！！ 2012-9-30 17:58 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 6 楼中秋快乐,有节日真心好 2012-9-30 18:16 0
heiheiabcd 雪币： 446 活跃值： (186) 能力值： ( LV12，RANK：230 ) 在线值：发帖 21 回帖 129 粉丝 2 关注私信	heiheiabcd 4 7 楼支持64位？ 2012-9-30 18:20 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 8 楼 oh,64位的我没测试过。不了解了。Sorry 我只测试了32位。 2012-9-30 18:21 0
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 94 粉丝 3 关注私信	promsied 4 9 楼都开源了，还逆他干吗... 精神上表示支持 2012-9-30 18:57 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 10 楼不知情。。。。7月逆的算了， Take it easy。。放轻松 maybe useful to someone 2012-9-30 19:01 0
linhanshi 雪币： 97697 活跃值： (200799) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27943 粉丝 451 关注私信	linhanshi 11 楼 Thanks you. 2012-9-30 19:11 0
无常pl 雪币： 122 活跃值： (75) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 28 粉丝 1 关注私信	无常pl 2 12 楼学习了，中秋快乐！ 2012-9-30 20:16 0
atompure 雪币： 20859 活跃值： (4065) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 261 粉丝 0 关注私信	atompure 13 楼 Take a look. Thanks for sharing. 2012-9-30 20:42 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 14 楼 MARK 一下，以后可能有用 2012-9-30 22:13 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 15 楼顶了在收藏，心里舒坦。 2012-9-30 22:46 0
zpsemo 雪币： 18 活跃值： (430) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 167 粉丝 2 关注私信	zpsemo 16 楼那个法国人我还跟他交流过.... 2012-9-30 23:13 0
cooseasy 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 130 粉丝 0 关注私信	cooseasy 17 楼这个要慢慢看。。。 2012-10-1 10:18 0
ygd 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	ygd 18 楼双节好礼哈 2012-10-1 11:09 0
arhatlohan 雪币： 35 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 58 粉丝 1 关注私信	arhatlohan 19 楼请教一下，你调试跟踪GetWDigest的时候如何下断？如何跟踪dll文件？水平比较菜，请指教一下 2012-10-1 11:26 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 20 楼在虚拟机里动态调试。首先附加lsass进程。然后运行mimikatz让dll先注入到lsass里面。然后在OD中直接在CTRL+G -->“getWdigest”就可在此函数入口处断下。然后继续使用mimikatz开始调用getWdigest。即可断下。这次逆向IDA静态是重点，只是动态跟踪的话太累了。 2012-10-1 11:53 0
天外来客雪币： 279 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 45 粉丝 0 关注私信	天外来客 21 楼强人，刚才试了下，成功读取密码 2012-10-1 12:21 0
plgs 雪币： 389 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	plgs 22 楼不错啊，看看先 2012-10-1 14:16 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 23 楼其实找这个源码还是要花点功夫的，反正我是费了点劲。中秋送好礼了，https://mimikatz.googlecode.com/svn/trunk/ 2012-10-1 14:16 0
demonking 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	demonking 24 楼 mimikatz 源码在哪，求下载地址，论坛给的地址不能用 2012-10-1 16:22 0
heiheiabcd 雪币： 446 活跃值： (186) 能力值： ( LV12，RANK：230 ) 在线值：发帖 21 回帖 129 粉丝 2 关注私信	heiheiabcd 4 25 楼 http://www.pudn.com/downloads452/sourcecode/windows/console/detail1905558.html 2012-10-1 17:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Vsbat

发帖

273

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (117) 1 2 3 4 5 ▶
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 2 楼 may be it's UUUUUUUUUUUUUUUUU sofa 2012-9-30 17:51 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 3 楼来顶你~ 2012-9-30 17:55 0
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 4 楼擦，这个必须有 2012-9-30 17:57 0
lhglhg 雪币： 221 活跃值： (2306) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 434 粉丝 3 关注私信	lhglhg 1 5 楼顶大牛！！！中秋快乐！！！ 2012-9-30 17:58 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 6 楼中秋快乐,有节日真心好 2012-9-30 18:16 0
heiheiabcd 雪币： 446 活跃值： (186) 能力值： ( LV12，RANK：230 ) 在线值：发帖 21 回帖 129 粉丝 2 关注私信	heiheiabcd 4 7 楼支持64位？ 2012-9-30 18:20 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 8 楼 oh,64位的我没测试过。不了解了。Sorry 我只测试了32位。 2012-9-30 18:21 0
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 94 粉丝 3 关注私信	promsied 4 9 楼都开源了，还逆他干吗... 精神上表示支持 2012-9-30 18:57 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 10 楼不知情。。。。7月逆的算了， Take it easy。。放轻松 maybe useful to someone 2012-9-30 19:01 0
linhanshi 雪币： 97697 活跃值： (200799) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27943 粉丝 451 关注私信	linhanshi 11 楼 Thanks you. 2012-9-30 19:11 0
无常pl 雪币： 122 活跃值： (75) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 28 粉丝 1 关注私信	无常pl 2 12 楼学习了，中秋快乐！ 2012-9-30 20:16 0
atompure 雪币： 20859 活跃值： (4065) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 261 粉丝 0 关注私信	atompure 13 楼 Take a look. Thanks for sharing. 2012-9-30 20:42 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 14 楼 MARK 一下，以后可能有用 2012-9-30 22:13 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 15 楼顶了在收藏，心里舒坦。 2012-9-30 22:46 0
zpsemo 雪币： 18 活跃值： (430) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 167 粉丝 2 关注私信	zpsemo 16 楼那个法国人我还跟他交流过.... 2012-9-30 23:13 0
cooseasy 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 130 粉丝 0 关注私信	cooseasy 17 楼这个要慢慢看。。。 2012-10-1 10:18 0
ygd 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	ygd 18 楼双节好礼哈 2012-10-1 11:09 0
arhatlohan 雪币： 35 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 58 粉丝 1 关注私信	arhatlohan 19 楼请教一下，你调试跟踪GetWDigest的时候如何下断？如何跟踪dll文件？水平比较菜，请指教一下 2012-10-1 11:26 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 20 楼在虚拟机里动态调试。首先附加lsass进程。然后运行mimikatz让dll先注入到lsass里面。然后在OD中直接在CTRL+G -->“getWdigest”就可在此函数入口处断下。然后继续使用mimikatz开始调用getWdigest。即可断下。这次逆向IDA静态是重点，只是动态跟踪的话太累了。 2012-10-1 11:53 0
天外来客雪币： 279 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 45 粉丝 0 关注私信	天外来客 21 楼强人，刚才试了下，成功读取密码 2012-10-1 12:21 0
plgs 雪币： 389 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	plgs 22 楼不错啊，看看先 2012-10-1 14:16 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 23 楼其实找这个源码还是要花点功夫的，反正我是费了点劲。中秋送好礼了，https://mimikatz.googlecode.com/svn/trunk/ 2012-10-1 14:16 0
demonking 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	demonking 24 楼 mimikatz 源码在哪，求下载地址，论坛给的地址不能用 2012-10-1 16:22 0
heiheiabcd 雪币： 446 活跃值： (186) 能力值： ( LV12，RANK：230 ) 在线值：发帖 21 回帖 129 粉丝 2 关注私信	heiheiabcd 4 25 楼 http://www.pudn.com/downloads452/sourcecode/windows/console/detail1905558.html 2012-10-1 17:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复