利用IAT hook实现windows通用密码后门

windows有通用密码吗？
去问比尔大叔吧。

先不管是不是真的有，我们可以自己实现一个这样的后门。

先简单介绍一下windows登陆过程中的一些过程。
winlogon进程用gina.dll获取用户名和密码，通过LPC传给lsass进程。
然后lsass进程调用默认认证包msv1_0.dll来验证密码的对错。
而msv1_0则从SAM中获得用户的信息，包括密码的哈希。

要实现这样一个后门，首先要找到登陆验证这一系列函数的最底层的一个，然后在那里做手脚。
很明显，这个最底层的函数在lsass进程的msv1_0.dll模块中。

lsass调用msv1_0.dll的是这个函数：

msv1_0!LsaApLogonUserEx2

LsaApLogonUserEx2 in MSDN

那我们就应该调试lsass进程然后在msv1_0!LsaApLogonUserEx2下断点。
这里我使用windbg和vmware并利用dbgsrv进行远程的用户态调试。
http://blogs.msdn.com/spatdsg/archiv…27/507265.aspx
上面Spat在blog中介绍了如何用dbgsrv调试（Debugging LSA via dbgsrv.exe）。
在虚拟机（被调试端）运行

dbgsrv.exe -t tcp:port=1234,password=spat

然后在调试端运行

windbg.exe -premote tcp:server=192.168.1.102,port=1234,password=spat

然后选择附加lsass进程。
但这里我们不能登陆之后再运行dbgsrv，那样dbgsrv就被关掉了，所以我利用windows的任务计划让dbgsrv开机就运行起来。

虚拟机启动后，dbgsrv也起来了，然后用windbg连上并附上lsass进程。
在下了断点msv1_0!LsaApLogonUserEx2后，让lsass继续运行。
然后登陆，果然windbg断下来了。

这个时候给大家介绍windbg的一个强劲的命令，那就是wt，它能所有的记录函数调用关系，一直记录到ret，具体用法请看windbg帮助。
我猜wt是单步运行，所以很慢。
但是wt输出的文本很多，太难看了，于是我写了个python脚本把wt的输出转成一个TreeCtrl，附图：

[1] [2] 下一页