应用内存中的后渗透利用-远程工具密码读取

文章预览

文章作者：先知社区（释*e） 文章来源：https://xz.aliyun.com/t/15834 1 ► 思路 版本的todesk和向日葵已经无法从配置文件获取密码，而且常规的替换手法也已经失效通过学习yangliukk师傅分享的思路，搞了个CMD下从内存获取密码的工具。 首先获取对应进程的pid，选择为console的进程 tasklist | find /i "todesk" 然后对指定pid的内存进行dump出来，使用二进制工具进行分析，就可以找到相关的密码 但是dump出来的文件大小都在几百M或者1G以上，就想着实现自动化分析处理 2 ► 提取特征-todesk todesk 像ID、手机号、版本之类的信息可以通过读取配置文件来解决，不需要去内存中检索 获取pid的文件路径 execPath, err := getExecutablePath( int (*pid)) if err != nil { fmt.Printf( "无法获取PID %d的可执行文件路径: %v\n" , *pid, err) return } 获取配置文件信息 // 获取目录路径 dir := filepath.Dir(exe ………………………………