MircoPest為中國數位鑑識大師他的名言:
攻防本身就是雙向,想做好防,不曉得攻,那就是做得不到位;攻,不知道核心手法,那也是做得不全面。難矣。
OSSLab已獲得MircoPest同意轉載
《Dump進程內存鏡像並查找字符串工具》的舉例應用
原創 MicroPest MicroPest 5月10日
今天是母親節,我祝全天下的母親們幸福安康!!!
《Dump進程內存鏡像並查找字符串工具》一文引發了眾多“號”友(公眾號)的留言,給予了很高的評價,我非常開心,感謝你們的熱情支持!
應廣大號友的要求,我今天來介紹個“獲取密碼框中密碼”的例子,這也是我開發這個工具軟件的初衷原因;通過這個場景,希望你能舉一反三,開拓出它的更多的用法。沒看過此文(《Dump進程內存鏡像並查找字符串工具》)的,請往前翻。
一、設計初衷
在一些程序的密碼框中密碼,我們怎麼獲取?
通常用“星號查看工具”來查看密碼框中的密碼,如下圖:
從圖中可以看到這個密碼框中的密碼是“123456”,圓滿輕鬆地獲取到了密碼;但也有失靈的時候……
從上圖看到,“星號查看工具”沒有獲取到正確的密碼,只是隨便給出了窗口的標題,這種情況下應該怎麼獲取到呢?
下面,輪到這個工具大發神威……
二、ProcessDump工具的使用
首先,我們在上圖的登陸密碼框中的密碼的後面加上“iloveyou”這樣的帶特徵性質的字符串(可以是你定義的任何特徵串),
其次,運行程序獲取這個登陸程序的進程PID,
第三,進程PID是10784,用“Dump進程內存鏡像”獲取此登陸程序的內存鏡像,
出現此提示時意味著已成功將此進程的內存鏡像寫到以進程PID命名的文件10784.dmp 中;
第四,在“查找內容”處輸入我們設定的特徵串“iloveyou”,因為是字符串,所以就找字符串;如果是16進制,就要勾選16進制格式及填寫方式;按“多線程查找”在“10784.dmp”鏡像中進行查找;
第五,結果出來了,找到了6處,我們要一一查看,以確定哪一處是密碼;
這是選用“010editor”工具找開“10784.dmp”文件,查找出現字符特徵串的地方,
最後,如圖發現了password字樣,後面跟著“123456iloveyou”,所以除去特徵串,我們知道這個登陸程序的原始密碼為“123456”;
通過這種方法,我們獲取到了“星號查看工具”沒辦法獲取到的密碼!
至此,這個運用實例雖然講完了,但值得仔細回味,這個實例具有很強的普遍性、實用性價值,在我們的實戰中有很多地方會遇到密碼框密碼的場景,我們開創性地拓展了獲取密碼的方式,技巧性很強,實戰價值很高;
還有些其他的技戰法,我們還在挖掘整理中。
這個工具不提供免費使用,如果你需要它,請找我商談。
文章已於2020-05-11修改
微信掃一掃
可關注MicroPest公眾號
