[原创][中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创][中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码]

发表于: 2012-9-30 17:51 97224

[原创][中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码]

Vsbat

2012-9-30 17:51

97224

查看主题内容

收藏・163

免费・6

支持

最新回复 (117) ◀ 1 2 3 4 5 ▶
tzl 雪币： 234 活跃值： (1659) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 26 楼学习一下，中秋国庆快乐 2012-10-1 18:16 0
xdklzy 雪币： 208 活跃值： (148) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 143 粉丝 0 关注私信	xdklzy 1 27 楼刚才在本机运行了一把，果然能读取到开机密码真心觉得这个工具好牛逼！！膜拜一下 2012-10-1 22:33 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 28 楼学习1下啦。作者公布的源码可以早google code上找到 2012-10-1 22:46 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 29 楼中秋送好礼啊，支持... 2012-10-1 23:06 0
booz 雪币： 104 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	booz 30 楼很好, 感谢分享~~~ 2012-10-2 10:32 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 31 楼支持楼主，不错的东西~ 2012-10-2 10:54 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 32 楼不错啊，弄成本地保存就好了 2012-10-2 20:29 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 33 楼 NB的人啊，好强悍，花了很多时间吧，谢谢分享。 2012-10-2 21:20 0
troops 雪币： 38 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	troops 34 楼 mark一下 2012-10-4 04:30 0
ProgmBoy 雪币： 382 活跃值： (352) 能力值： ( LV2，RANK：140 ) 在线值：发帖 9 回帖 157 粉丝 5 关注私信	ProgmBoy 3 35 楼那位7月份开的源.. http://code.google.com/p/mimikatz/ 貌似源码下下来还没看.. 2012-10-4 08:26 0
zhujian 雪币： 1254 活跃值： (740) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 255 粉丝 1 关注私信	zhujian 2 36 楼谢谢分享，先收藏再学习。 2012-10-4 10:29 0
lubuqing 雪币： 539 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 50 粉丝 0 关注私信	lubuqing 37 楼研究中，别打扰我：） 2012-10-4 11:43 0
qduliyang 雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	qduliyang 38 楼那个mimikatz 软件以前论坛里也有很精彩的分析 2012-10-4 18:48 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 39 楼我觉得还是这个精彩。那个“原理上我们只需要把密文数据读出来就可以了”有点不妥，解密密钥也是要读的，也就是你所说的“全局变量”。非常不错的文章，帖子都要达到这个水平才能算得上精华。 7448fe3c 50 push eax 7448fe3d ff7510 push dword ptr [ebp+10h] 7448fe40 ff35a00c5274 push dword ptr [LSASRV!LsaICryptUnprotectData+0x1457f (74520ca0)] //pDESXKEY 7448fe46 56 push esi 7448fe47 56 push esi 7448fe48 6a08 push 8 7448fe4a 68c3004974 push offset LSASRV!LsarOpenPolicy+0xa6c (744900c3) //加解密 7448fe4f e89f010000 call LSASRV!LsarOpenPolicy+0x99c (7448fff3) int __stdcall sub_744900C3(int a1, int a2, int a3, int a4) //desx { int v4; // edx@3 int v5; // eax@3 int v6; // edx@2 int v7; // eax@2 int result; // eax@2 if ( a4 ) //加密还是解密 { v6 = (_DWORD )(a3 + 4) ^ (_DWORD )(a2 + 4); (_DWORD )a1 = (_DWORD )a3 ^ (_DWORD )a2; (_DWORD )(a1 + 4) = v6; sub_74490118(a1, a1, a3 + 16, 1); //des v7 = (_DWORD )(a1 + 4); (_DWORD )a1 ^= (_DWORD )(a3 + 8); result = (_DWORD )(a3 + 12) ^ v7; (_DWORD )(a1 + 4) = result; } else { v4 = (_DWORD )(a2 + 4) ^ (_DWORD )(a3 + 12); (_DWORD )a1 = (_DWORD )a2 ^ (_DWORD )(a3 + 8); (_DWORD )(a1 + 4) = v4; sub_74490118(a1, a1, a3 + 16, 0); //des v5 = (_DWORD )(a1 + 4); (_DWORD )a1 ^= (_DWORD )a3; result = (_DWORD )(a3 + 4) ^ v5; (_DWORD )(a1 + 4) = result; } return result; } 2012-10-5 10:37 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 40 楼哈哈~~感谢天易牛来支持~~~ 2012-10-5 10:58 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 41 楼学习收藏 2012-10-5 11:21 0
zhongzhong 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 35 粉丝 0 关注私信	zhongzhong 42 楼学习ing！ 2012-10-6 11:15 0
zgyknight 雪币： 2 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 43 楼 mark下～～～～～～～～～ 2012-10-8 02:41 0
yaneng 雪币： 76 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 135 粉丝 0 关注私信	yaneng 44 楼好贴留名，果断收藏 2012-10-8 09:12 0
junzou 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	junzou 45 楼学习了... 2012-10-8 10:30 0
tntaiyu 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	tntaiyu 46 楼顶一下。64位应该还不支持 2012-10-8 18:48 0
叁毛雪币： 7 活跃值： (333) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 47 楼读这个lsass.exe进程的内存数据普通用户做不到吧？既然要管理员权限，那不是有点矛盾了吗？ 2012-10-8 20:23 0
Lesbonsami 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	Lesbonsami 48 楼 Mark下下次回来下 2012-10-10 18:04 0
学gg 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 1 关注私信	学gg 49 楼来了就支持一下，学习学习 2012-10-10 22:49 0
tysan 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	tysan 50 楼 32bit xp测试成功，不知道64bit咋解决 2012-10-14 17:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Vsbat

发帖

273

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (117) ◀ 1 2 3 4 5 ▶
tzl 雪币： 234 活跃值： (1659) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 26 楼学习一下，中秋国庆快乐 2012-10-1 18:16 0
xdklzy 雪币： 208 活跃值： (148) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 143 粉丝 0 关注私信	xdklzy 1 27 楼刚才在本机运行了一把，果然能读取到开机密码真心觉得这个工具好牛逼！！膜拜一下 2012-10-1 22:33 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 28 楼学习1下啦。作者公布的源码可以早google code上找到 2012-10-1 22:46 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 29 楼中秋送好礼啊，支持... 2012-10-1 23:06 0
booz 雪币： 104 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	booz 30 楼很好, 感谢分享~~~ 2012-10-2 10:32 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 31 楼支持楼主，不错的东西~ 2012-10-2 10:54 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 32 楼不错啊，弄成本地保存就好了 2012-10-2 20:29 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 33 楼 NB的人啊，好强悍，花了很多时间吧，谢谢分享。 2012-10-2 21:20 0
troops 雪币： 38 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	troops 34 楼 mark一下 2012-10-4 04:30 0
ProgmBoy 雪币： 382 活跃值： (352) 能力值： ( LV2，RANK：140 ) 在线值：发帖 9 回帖 157 粉丝 5 关注私信	ProgmBoy 3 35 楼那位7月份开的源.. http://code.google.com/p/mimikatz/ 貌似源码下下来还没看.. 2012-10-4 08:26 0
zhujian 雪币： 1254 活跃值： (740) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 255 粉丝 1 关注私信	zhujian 2 36 楼谢谢分享，先收藏再学习。 2012-10-4 10:29 0
lubuqing 雪币： 539 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 50 粉丝 0 关注私信	lubuqing 37 楼研究中，别打扰我：） 2012-10-4 11:43 0
qduliyang 雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	qduliyang 38 楼那个mimikatz 软件以前论坛里也有很精彩的分析 2012-10-4 18:48 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 39 楼我觉得还是这个精彩。那个“原理上我们只需要把密文数据读出来就可以了”有点不妥，解密密钥也是要读的，也就是你所说的“全局变量”。非常不错的文章，帖子都要达到这个水平才能算得上精华。 7448fe3c 50 push eax 7448fe3d ff7510 push dword ptr [ebp+10h] 7448fe40 ff35a00c5274 push dword ptr [LSASRV!LsaICryptUnprotectData+0x1457f (74520ca0)] //pDESXKEY 7448fe46 56 push esi 7448fe47 56 push esi 7448fe48 6a08 push 8 7448fe4a 68c3004974 push offset LSASRV!LsarOpenPolicy+0xa6c (744900c3) //加解密 7448fe4f e89f010000 call LSASRV!LsarOpenPolicy+0x99c (7448fff3) int __stdcall sub_744900C3(int a1, int a2, int a3, int a4) //desx { int v4; // edx@3 int v5; // eax@3 int v6; // edx@2 int v7; // eax@2 int result; // eax@2 if ( a4 ) //加密还是解密 { v6 = (_DWORD )(a3 + 4) ^ (_DWORD )(a2 + 4); (_DWORD )a1 = (_DWORD )a3 ^ (_DWORD )a2; (_DWORD )(a1 + 4) = v6; sub_74490118(a1, a1, a3 + 16, 1); //des v7 = (_DWORD )(a1 + 4); (_DWORD )a1 ^= (_DWORD )(a3 + 8); result = (_DWORD )(a3 + 12) ^ v7; (_DWORD )(a1 + 4) = result; } else { v4 = (_DWORD )(a2 + 4) ^ (_DWORD )(a3 + 12); (_DWORD )a1 = (_DWORD )a2 ^ (_DWORD )(a3 + 8); (_DWORD )(a1 + 4) = v4; sub_74490118(a1, a1, a3 + 16, 0); //des v5 = (_DWORD )(a1 + 4); (_DWORD )a1 ^= (_DWORD )a3; result = (_DWORD )(a3 + 4) ^ v5; (_DWORD )(a1 + 4) = result; } return result; } 2012-10-5 10:37 0
Vsbat 雪币： 859 活跃值： (309) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 40 楼哈哈~~感谢天易牛来支持~~~ 2012-10-5 10:58 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 41 楼学习收藏 2012-10-5 11:21 0
zhongzhong 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 35 粉丝 0 关注私信	zhongzhong 42 楼学习ing！ 2012-10-6 11:15 0
zgyknight 雪币： 2 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 43 楼 mark下～～～～～～～～～ 2012-10-8 02:41 0
yaneng 雪币： 76 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 135 粉丝 0 关注私信	yaneng 44 楼好贴留名，果断收藏 2012-10-8 09:12 0
junzou 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	junzou 45 楼学习了... 2012-10-8 10:30 0
tntaiyu 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	tntaiyu 46 楼顶一下。64位应该还不支持 2012-10-8 18:48 0
叁毛雪币： 7 活跃值： (333) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 47 楼读这个lsass.exe进程的内存数据普通用户做不到吧？既然要管理员权限，那不是有点矛盾了吗？ 2012-10-8 20:23 0
Lesbonsami 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	Lesbonsami 48 楼 Mark下下次回来下 2012-10-10 18:04 0
学gg 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 1 关注私信	学gg 49 楼来了就支持一下，学习学习 2012-10-10 22:49 0
tysan 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	tysan 50 楼 32bit xp测试成功，不知道64bit咋解决 2012-10-14 17:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复