windows有通用密码吗?

　　去问比尔大叔吧。

　　先不管是不是真的有，我们可以自己实现一个这样的后门。

　　先简单介绍一下windows登陆过程中的一些过程。

　　winlogon进程用gina.dll获取用户名和密码，通过LPC传给lsass进程。

　　然后lsass进程调用默认认证包msv1_0.dll来验证密码的对错。

　　而msv1_0则从SAM中获得用户的信息，包括密码的哈希。

　　要实现这样一个后门，首先要找到登陆验证这一系列函数的最底层的一个，然后在那里做手脚。

　　很明显，这个最底层的函数在lsass进程的msv1_0.dll模块中。

　　lsass调用msv1_0.dll的是这个函数：

　　代码:

msv1_0!LsaApLogonUserEx2

　　LsaApLogonUserEx2 in MSDN

　　那我们就应该调试lsass进程然后在msv1_0!LsaApLogonUserEx2下断点。

　　这里我使用windbg和vmware并利用dbgsrv进行远程的用户态调试。

　　http://blogs.msdn.com/spatdsg/archiv…27/507265.aspx

　　上面Spat在blog中介绍了如何用dbgsrv调试(Debugging LSA via dbgsrv.exe)。

　　在虚拟机(被调试端)运行

　　代码:

dbgsrv.exe -t tcp:port=1234,password=spat

　　然后在调试端运行

　　代码:

windbg.exe -premote tcp:server=192.168.1.102,port=1234,password=spat

　　然后选择附加lsass进程。

　　但这里我们不能登陆之后再运行dbgsrv，那样dbgsrv就被关掉了，所以我利用windows的任务计划让dbgsrv开机就运行起来。

　　虚拟机启动后，dbgsrv也起来了，然后用windbg连上并附上lsass进程。

　　在下了断点msv1_0!LsaApLogonUserEx2后，让lsass继续运行。

　　然后登陆，果然windbg断下来了。

　　这个时候给大家介绍windbg的一个强劲的命令，那就是wt，它能所有的记录函数调用关系，一直记录到ret，具体用法请看windbg帮助。

　　我猜wt是单步运行，所以很慢。

　　但是wt输出的文本很多，太难看了，于是我写了个python脚本把wt的输出转成一个TreeCtrl，附图：

　　大家注意看我鼠标点上的那个函数：ntdll!RtlCompareMemory。

[1] [2] 下一页