首页
社区
课程
招聘
[原创][中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码]
发表于: 2012-9-30 17:51 97222

[原创][中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码]

2012-9-30 17:51
97222

法国人写的工具,据说有抓Win密码功能。参考讨论如下:
http://bbs.pediy.com/showthread.php?t=149236
http://bbs.pediy.com/showthread.php?t=146884

不过不知道大家对逆出来的SRC有没有兴趣。。。
不用注入,读lsass内存数据即可。以前说的失败什么的大多是注入方式时候安全软件
给拦截了。而读内存皆可。在我的Win 7,WinXP3,Win2K3(均 32位系统)均可正常显示。

只是不论注入还是读内存都要对lsass进程操作,需要一定权限。
Just for ShAre !
TaKe it home...

lasT:
中秋快乐! guys.....



附件说明:
1) SRC (VC 6.0 编译通过)
2) 逆向过程记录

Author: 0x710dddd


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 6
支持
分享
最新回复 (117)
雪    币: 859
活跃值: (309)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
2
may be it's UUUUUUUUUUUUUUUUU
sofa
2012-9-30 17:51
0
雪    币: 106
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
来顶你~
2012-9-30 17:55
0
雪    币: 4560
活跃值: (1002)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
擦,这个必须有
2012-9-30 17:57
0
雪    币: 221
活跃值: (2306)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
顶大牛!!!中秋快乐!!!
2012-9-30 17:58
0
雪    币: 602
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
中秋快乐,有节日真心好
2012-9-30 18:16
0
雪    币: 446
活跃值: (186)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
7
支持64位?
2012-9-30 18:20
0
雪    币: 859
活跃值: (309)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
8
oh,64位的我没测试过。不了解了。Sorry 我只测试了32位。
2012-9-30 18:21
0
雪    币: 589
活跃值: (119)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
9
都开源了,还逆他干吗...
精神上表示支持
2012-9-30 18:57
0
雪    币: 859
活跃值: (309)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
10
不知情。。。。7月逆的

算了, Take it easy。。放轻松
maybe useful to someone
2012-9-30 19:01
0
雪    币: 97697
活跃值: (200799)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
11
Thanks you.
2012-9-30 19:11
0
雪    币: 122
活跃值: (75)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
12
学习了,中秋快乐!
2012-9-30 20:16
0
雪    币: 20859
活跃值: (4065)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
13
Take a look.
Thanks for sharing.
2012-9-30 20:42
0
雪    币: 967
活跃值: (1138)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
14
MARK 一下,以后可能有用
2012-9-30 22:13
0
雪    币: 297
活跃值: (120)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
15
顶了在收藏,心里舒坦。
2012-9-30 22:46
0
雪    币: 18
活跃值: (430)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
16
那个法国人 我还跟他交流过....
2012-9-30 23:13
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
这个要慢慢看。。。
2012-10-1 10:18
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ygd
18
双节好礼哈
2012-10-1 11:09
0
雪    币: 35
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
请教一下,你调试跟踪GetWDigest的时候如何下断?如何跟踪dll文件?
水平比较菜,请指教一下
2012-10-1 11:26
0
雪    币: 859
活跃值: (309)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
20
在虚拟机里动态调试。首先附加lsass进程。然后运行mimikatz让dll先注入到lsass里面。然后在OD中直接在CTRL+G -->“getWdigest”就可在此函数入口处断下。
然后继续使用mimikatz开始调用getWdigest。即可断下。
这次逆向IDA静态是重点,只是动态跟踪的话太累了。
2012-10-1 11:53
0
雪    币: 279
活跃值: (33)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
21
强人,刚才试了下,成功读取密码
2012-10-1 12:21
0
雪    币: 389
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
不错啊,看看先
2012-10-1 14:16
0
雪    币: 2015
活跃值: (902)
能力值: ( LV12,RANK:1000 )
在线值:
发帖
回帖
粉丝
23
其实找这个源码还是要花点功夫的,反正我是费了点劲。中秋送好礼了,https://mimikatz.googlecode.com/svn/trunk/
2012-10-1 14:16
0
雪    币: 197
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
mimikatz 源码在哪,求下载地址,论坛给的地址不能用
2012-10-1 16:22
0
雪    币: 446
活跃值: (186)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
25
http://www.pudn.com/downloads452/sourcecode/windows/console/detail1905558.html
2012-10-1 17:33
0
游客
登录 | 注册 方可回帖
返回
//