“哈希信息窃取器”病毒技术细节
点击次数:22 次 发布日期:2008-11-25 17:52:33 作者:源代码网
|
该工具主要用来获取当前主机用户的LM/NTLM散列,使用者可以通过该散列对主机用户密码进行暴力破解. 支持用法:pwdump2 <pid of lsass.exe> 主程序行为: 1.若没有指定lsass.exe/pid参数,则执行如下操作: [1].加载ntdll.dll,获取导出函数 NtQuerySystemInformation RtlCompareUnicodeString [2].调用NtQuerySystemInformation,InformationClass=5,获取进程信息列表 [3].遍历列表查找LSASS.EXE,获取该进程ID 2.打开自身进程,添加SeDebugPrivilege权限,以允许当前进程对LSASS.EXE等进程进行内存操作和线程操作 3.打开查找到的进程LSASS.EXE,获取该进程句柄 4.创建一事件,用于与通信线程同步 5.创建通信线程,执行如下操作: [1]. 根据当前进程ID创建命名管道\.pipepwdump2-%ID% [2]. 设置事件为有状态,通知主线程管道创建成功 [3]. 连接到管道并从中读取数据直到关闭 6.在创建的事件上等待,与之前创建的管道通信线程同步 7.向LSASS.EXE进程空间中写入创建的管道名和辅助动态库SamDump.dll导出函数名(DumpSam)作为参数,创建远程线程. 在远程线程中,根据传递的API地址,加载DLL,获取DLL导出函数(DumpSam)并调用 8.等待远程线程返回,释放资源。 动态库SamDump.dll导出函数DumpSam(char *)执行如下操作: 1.根据传入参数打开通信管道 2.加载samsrv.dll,获取如下函数地址 SamIConnect SamrOpenDomain SamrOpenUser SamrQueryInformationUser SamrEnumerateUsersInDomain SamIFree_SAMPR_USER_INFO_BUFFER SamIFree_SAMPR_ENUMERATION_BUFFER SamrCloseHandle 3.依次调用如下函数 LsaOpenPolicy打开NT工作站 LsaQueryInformationPolicy获取工作站域SID SamIConnect连接到SAM数据库 SamrOpenDomain根据域SID打开域 SamrEnumerateUsersInDomain枚举域内用户 SamrOpenUser打开域内指定用户,获取句柄 SamrQueryInformationUser枚举域用户信息 SamIFree_SAMPR_USER_INFO_BUFFER SamrCloseHandle 4.将获取信息写入通信管道 安全建议: 1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。 2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。 3 不浏览不良网站,不随意下载安装可疑插件。 4 不接收QQ、MSN、Emial等传来的可疑文件。 5 上网时打开杀毒软件实时监控功能。 6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。 清除办法: 瑞星杀毒软件清除办法: 安装瑞星杀毒软件,升级到19.44.21版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。 源代码网供稿. |
