实战技巧｜通过内存读取todesk连接密码

文章预览

作者：洋流 原文：https: //github.com/yangliukk/FindToDeskPass 测试版本：官网最新版4.7.4.8 首先查看ToDesk进程PID tasklist /svc   这里存在两个 ToDesk进程，我们选择非ToDesk_Service的PID procdump64 .exe -accepteula -ma 856 将Dump下来的文件使用编辑器打开， 直接搜索当前日期，今日是2024年9月7日，所以搜索20240907。找到一个长度为14位的字符串，该字符串规律：当前日期+重置密码次数（随机值累加）， 设备代码紧跟着这串长度14的字符串，图中也就是973656xxx， 连接密码在上方约224个字节位置。此处为k4zeus0z， 2024年9月9日补充 根据吐司论坛QAdmire师傅的反馈，4.7.4.3版本该位置对应不上（猜测该版本该位置为安装时间）， 不过还是可以搜索当前日期（黄色箭头指向），往上寻找发现密码， 不过我在 4.7.4.8版本依旧是原来位置，反倒是更下方位置为安装时间， 所以猜测是 ………………………………