前言
windows xp 中,惡意**可以使用微軟圖形識別和驗證介面(gina)攔截技術竊取登陸憑證,雖然是老系統,老技術了,可能有些過時,不過這種技術神似中間人攻擊,而且示例程式極其優秀所以還是值得分析的。
gina攔截**
渣渣圖又來了233
程式分析
首先執行這個程式沒什麼反應,所以直接可以ida開啟分析,main函式長這樣,開啟string介面,有點東西,有經驗的大佬會發現一些敏感關鍵字。
接著發現程式釋放了自身tgad的資源,儲存為msgina32.dll,這可能是為了防止分析而混淆視聽吧,然後修改了登錄檔,將msgina32.dll的路徑插入到登錄檔hklm\software\microsoft\windows nt\currentversion\winlogon\ginadll中,讓系統啟動時就會載入這個dll。
接下來分析msgina32.dll,這是dll的dllmain()函式,只是成功載入這個dll之後就會獲取msgina.dll的控制代碼,並將控制代碼儲存在乙個全域性變數中。因為msgina32.dll要想獲取憑證必須讓winlogon與msgina之間有通訊。
然後我們看到此dll匯出函式果然有wlxloggedonsas和wlxloggedoutsas等。
因為作為winlogon和msgina的中間攔截者,那麼一定會對匯出函式做手腳,所以我們先看這兩個登陸登出函式
明顯發現logon函式沒什麼問題,就是呼叫了乙個中間函式,將函式名作為引數傳入後呼叫,不過logout函式卻有乙個多出來的函式,進入之後可以看出來是乙個檔案操作,貌似是記錄某些資訊,至於是什麼我們不太清楚,所以我們只需要重啟看一看便知道了。
其中的file操作我們需要記住檔名,如下圖
當重啟系統時會發現本來系統不會載入登陸視窗,而登錄檔的自啟動使msgina32.dll自動載入,從而獲取msgina.dll的控制代碼,從而彈出登陸視窗。
而當多次重啟後會發現system32目錄下的msutil32.sys(這並不是核心檔案)檔案用記事本開啟,已經攔截下了登陸憑證,不過需要注意的是程式是在使用者登出的時候記錄的憑證。
雖然分析並不透徹,不過還是值得一學的
程式及內容源自《惡意**分析實戰》一書11-1。
事件攔截機制簡單分析
1 viewgroup來說,有三個重要的事件攔截和處理的方法 dispatchtouchevent motionevent e onintercepttouchevent motionevent e ontouchevent motionevent e 2 對於view來說,有兩個重要的事件攔截和處...
servlet servlet攔截分析
這裡有個頁面,此時,如果你使用下面這段servlet配置攔截,會發現攔截不到該頁面請求。這裡要注意下面配置中的servlet name的ex12 7和頁面中的action ex12 7 沒有關係,僅僅只是起名相同了而已,是可以不一樣的。請求結果會報404錯誤 原因是因為這個請求不符合攔截規則,沒有攔...
事件攔截機制分析
1.對於viewgroup來說,重寫三個方法 1 public boolean dispatchtouchevent motionevent ev 這個方法用來分發touchevent 2 public boolean onintercepttouchevent motionevent ev 這個方...