首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[原创]Hook LsaApLogonUserEx2 记录密码
发表于: 2019-6-11 16:07 8952

[原创]Hook LsaApLogonUserEx2 记录密码

BlackINT3 活跃值
4
2019-6-11 16:07
8952

分享一段以前写的代码,inline hook LsaApLogonUserEx2, 不是新东西,记录Windows(32/64)登陆密码。

编译了32位、64位程序,在XP、(Win7 、10 32位、64位)测试了下能用。

Github:https://github.com/BlackINT3/OpenArk/

QQ Qun: 836208099

喜欢研究Windows技术的老新人们,来吧...


试了下,在最新的Win10 x64上还能跑。:)

2019.7.5更新:
今天群里也有反馈说用不了,我把工程配置重新调整了一下(都用的Release),附件更新了。

编译了32位、64位程序,在XP、(Win7 、10 32位、64位)测试了下能用。

LsaRecorder-new.zip 

------------------------------------------------------------------------------------------------------------
最后,,,搞了个开源项目:

Github:https://github.com/BlackINT3/OpenArk/

QQ Qun: 836208099

喜欢研究Windows技术的老新人们,来吧...

试了下,在最新的Win10 x64上还能跑。:)

2019.7.5更新:
今天群里也有反馈说用不了,我把工程配置重新调整了一下(都用的Release),附件更新了。

编译了32位、64位程序,在XP、(Win7 、10 32位、64位)测试了下能用。

LsaRecorder-new.zip 

------------------------------------------------------------------------------------------------------------
最后,,,搞了个开源项目:

Github:https://github.com/BlackINT3/OpenArk/

QQ Qun: 836208099

喜欢研究Windows技术的老新人们,来吧...


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2019-7-5 17:43 被BlackINT3编辑 ,原因:
上传的附件:
收藏
免费 4
支持
分享
最新回复 (12)
纯情小生
雪    币: 736
活跃值: (101)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
楼主大拿,前排占座,支持!!!
2019-6-11 16:43
0
Dstlemoner
雪    币: 292
活跃值: (153)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
3
你是作者吗? 。。。现在这些软件不更新了都,挺好的我觉的。 再加个清理垃圾的选项。。。。杀毒软件都不用装了。。。轻装上阵
2019-6-11 19:46
0
BlackINT3
雪    币: 1725
活跃值: (2829)
能力值: ( LV13,RANK:327 )
在线值:
发帖
回帖
粉丝
私信
4
Dstlemoner 你是作者吗? 。。。现在这些软件不更新了都,挺好的我觉的。 再加个清理垃圾的选项。。。。杀毒软件都不用装了。。。轻装上阵
是的。功能会持续更新。
2019-6-12 00:04
0
appview
雪    币: 745
活跃值: (3823)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
5
请教下我用VS2017编译,CodeSize 为什么是负数?
DWORD CodeSize = (ULONG_PTR)RECORD_PSW_END - (ULONG_PTR)RECORD_PSW_START;

2019-6-14 10:42
0
BlackINT3
雪    币: 1725
活跃值: (2829)
能力值: ( LV13,RANK:327 )
在线值:
发帖
回帖
粉丝
私信
6
appview 请教下我用VS2017编译,CodeSize 为什么是负数? DWORD CodeSize = (ULONG_PTR)RECORD_PSW_END - (ULONG_PTR)RECORD_PSW_S ...
编译器优化了代码布局,在VS反汇编看下就知道了。
—————————
改几处地方试试。
int RECORD_PSW_END(){return 1;}
int RECORD_PSW_START(){return 2;}

CodeSize = RECORD_PSW_END - RecordPswDataAddress;
if (InlineRemoteHook(LsaProcess, RemotePtrLsaApLogonUserEx2, RecordPswDataAddress, CodeSize, PswFilePath, RecordType))
2019-6-14 16:31
0
XzyyzX
雪    币: 210
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
D:\code\OpenArk-master\LsaRecorder\x64\Release>LsaRecorder.exe -r password
[+] msv1_0.dll of lsass.exe base: 7ffb4a690000.
[+] Local LsaApLogonUserEx2 7ffb4a6a02e0
[+] Remote LsaApLogonUserEx2 7ffb4a6a02e0
[+] VirtualAllocEx RemoteAllData 263731b0000
[-] Can't found address flag
[-] Install Password Logger failed.

windows 10 出错了
2019-6-16 02:54
0
appview
雪    币: 745
活跃值: (3823)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
8
按照大神说的修改代码编译后在windows 2008 R2 上运行,会重启电脑 。
最后于 2019-6-19 10:58 被appview编辑 ,原因:
2019-6-19 10:57
0
BlackINT3
雪    币: 1725
活跃值: (2829)
能力值: ( LV13,RANK:327 )
在线值:
发帖
回帖
粉丝
私信
9
上面两个问题都是编译器生成代码布局的问题,越高版本的VS优化越多,不按套路出牌。把原理弄清楚,也可以把函数的指令块获取出来,我之前那么写是为了方便。
2019-7-5 09:37
0
BlackINT3
雪    币: 1725
活跃值: (2829)
能力值: ( LV13,RANK:327 )
在线值:
发帖
回帖
粉丝
私信
10
appview 按照大神说的修改代码编译后在windows 2008 R2 上运行,会重启电脑 。
今天群里也有反馈说用不了,我把工程配置重新调整了一下,附件更新了,你们可以再试试。
 我也编译了32位、64位程序,在XP、(Win7 、10 32位、64位)测试了下能用。
2019-7-5 17:42
0
BlackINT3
雪    币: 1725
活跃值: (2829)
能力值: ( LV13,RANK:327 )
在线值:
发帖
回帖
粉丝
私信
11
XzyyzX D:\code\OpenArk-master\LsaRecorder\x64\Release>LsaRecorder.exe -r password [+] msv1_0.dll of lsa ...
试一下新的附件。
2019-7-5 17:45
0
xie风腾
雪    币: 12352
活跃值: (5118)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12

多谢楼主分享哟
2019-7-5 18:40
0
joker陈
雪    币: 10962
活跃值: (2925)
能力值: ( LV5,RANK:71 )
在线值:
发帖
回帖
粉丝
私信
13
感谢分享,很是牛逼
2019-7-9 16:32
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//