在所有NT系统中 , 都是有几种方法可以得到登陆用户的密码的 。我知道的三种方法可以达到目的 。1.hook了winlogon中几个函数 , 网上也有这类型的程序 , 叫winlogonhijack的项目在rootkit.com中有提供 , 不过那个项目只对本地登陆用户有效 , 远程登陆用户无效 。
2.使用Gina和winlogon进行套接 , 只要对某些函数执行自己的记录密码的代码 , 就可以将密码记录下来 , 稳定性高 , 而且对本地或远程登陆都有效 , 不过现存的gina后门程序在XP或2003中都有些函数没有被导出过 , 主要因为xp和2003等在winlogon中加入了新的函数 。
3.直接读取内存数据得到明文密码 。在NT 4.0/2K中 , 早就有程序findpass可以直接读到winlogon进程中的内存数据而直接得到登陆用户密码 , 因为在NT4.0和2K中 , 帐号的信息 , 包括域名 , 帐号和密码都是有规律地在winlogon内存中的特定地址中 , 所以可以很简单就得到 。但在XP和2003系统中 , 这样方法是无效的了 , 似乎我们是没有办法直接读出明文地址了 。下面我们就来谈谈如何象findpass在NT 4.0和2K在 , 在server 2003中得到登陆用户的密码 。
虽然XP和2003是不象以前的NT系统那样将登陆用户信息保存在winlogon进程的内存地址内 , 但是基Lsass进程对于要处理些信息时 , 需要得到明文的登陆用户密码 , 所以登陆用户的密码会在Lsass进程中出现(微软没有将密码在Lsass进程中进行加密 , 微软的说法是因为Lsass需要得到明文的密码 , 就算将密码加密 , 也都只能用可逆的方法加密 , 只要跟踪lsass的操作 , 一样可以得到明文密码 , 所以微软使用了比较懒惰的方法 , 可能也是为了加快响应速度 , 所以将明文密码更是放在lsass进程内存内) 。说到这里 , 大家心里都清楚了 , 登陆用户的密码是在lsass进程的内存中 。对 , 就是这么一回事 , 但是要得到这个明文密码 , 真是象使用NT 4.0和2K下的findpass那样容易吗?事实上并不是那么容易 , 因为以下几个原因:
A.密码存放在lsass进程中的内存地址是没有规律的
B.密码有可能被最后登陆的用户复盖(例如管理员abc从本地登陆 , 然后管理员bbb从远程登陆 , 然后管理员bbb注销终端 , 存放在lsass.exe进程内存中的密码 , 还是管理员bbb的密码) , 又或者用户登陆后 , 然后注销了 , 那么我们就算得到了密码 , 也不知道是哪个用户的密码 。
C.密码前后的数据也是没有规律的 , 如果有规律 , 例如密码前的数据 , 一定是有一段全是01字符的数据段 , 那么定位密码就简单 。
原因A和C都给我们带来定位密码的困难 , 原B就带来不能确定密码和帐号对应的问题.看来微软在新的系统还是做过点功夫 。不过我们是不会放弃的 , 就算是碰碰运气 , 也看能不能得到密码 , 反正就算失败 , 也没什么关系 。
最后的代码 , 是我写来测试是不是能在2003的系统中得到登际用户的密码 , 结果也正好象我们上面的分析一样(当然了 , 上面的结果是用这程序测测得到的) 。成功率当然不高 , 因为受太多原因所影响 , 定位密码上的困难或者无法定位 , 或者得到不是密码的信息等等的原因 , 都令失败率显得相当高 , 不过总还是一种方法 , 或者将来有人可以准确定位到 , 那就是令人高兴了 。虽然说失败率高 , 但在一种情况下 , 成功率却是很高的 , 那就是管理员只是在本地或终端中登陆了 , 以后再没有用户从本地或终端登陆过 , 而且管理员也没有锁上过系统 , 那么成功率就会是相当高的了 。
提高成功率的两种做法:
1.程序直接写成服务 , 定时检查本地或远程登陆(其实没什么分别) , 当检测到登陆后 , 去搜索lsass进程内存 , 尝试得到密码 。
推荐阅读
- 清除故障,让Windows 2003系统更加亲切
- 弓形虫病是如何传播的
- 极速狂飚 Windows 2003系统25招加速大法
- 在Windows 2003中实现网络共享还原
- Windows 2003中重置TCP/IP
- 如何让猫不乱撒尿
- Windows 2003常见故障解决方法
- 男方离婚如何不给抚养费
- 公司倒闭裁员如何补偿
- 如何改名字