文章预览
文章作者:先知社区(释*e) 文章来源:https://xz.aliyun.com/t/15834 1 ► 思路 版本的todesk和向日葵已经无法从配置文件获取密码,而且常规的替换手法也已经失效通过学习yangliukk师傅分享的思路,搞了个CMD下从内存获取密码的工具。 首先获取对应进程的pid,选择为console的进程 tasklist | find /i "todesk" 然后对指定pid的内存进行dump出来,使用二进制工具进行分析,就可以找到相关的密码 但是dump出来的文件大小都在几百M或者1G以上,就想着实现自动化分析处理 2 ► 提取特征-todesk todesk 像ID、手机号、版本之类的信息可以通过读取配置文件来解决,不需要去内存中检索 获取pid的文件路径 execPath, err := getExecutablePath( int (*pid)) if err != nil { fmt.Printf( "无法获取PID %d的可执行文件路径: %v\n" , *pid, err) return } 获取配置文件信息 // 获取目录路径 dir := filepath.Dir(exe
………………………………