| 发明名称 | 一种从64位Windows操作系统的内存镜像文件中获取已登录用户密码明文的方法 | ||
| 摘要 | 本发明的从64位Windows操作系统的内存镜像文件中获取已登录用户密码明文的方法,包括:a).获取系统版本信息;b).获取lsass.exe进程的CR3寄存器、进程环境块中PEB结构变量的值;c).将动态链接库lsasrv.dll和tspkg.dll的执行样本转储出来;d).获取密钥相关数据;e).从lsasrv.dll中获取用户信息;f).从tspkg.dll的转储文件中获取登录用户主凭证;g).获取密码明文。本发明的获取已登录用户密码明文的方法准确、高效,分析效果不受密码复杂度的影响,是从物理内存镜像文件中获取用户登录信息的重要手段,获取的已登录用户密码明文是计算机在线取证中的一种重要证据。 | ||
| 申请公布号 | CN105893107A | 申请公布日期 | 2016.08.24 |
| 申请号 | CN201610276405.7 | 申请日期 | 2016.04.29 |
| 申请人 | 山东省计算中心(国家超级计算济南中心) | 发明人 | 徐丽娟;王连海;葛亮;赵大伟;周洋;徐淑奖 |
| 分类号 | G06F9/45(2006.01)I;G06F12/10(2016.01)I;G06F12/0802(2016.01)I;G06F21/31(2013.01)I;H04L9/32(2006.01)I | 主分类号 | G06F9/45(2006.01)I |
| 代理机构 | 济南泉城专利商标事务所 37218 | 代理人 | 褚庆森 |
| 主权项 | 一种从64位Windows操作系统的内存镜像文件中获取已登录用户密码明文的方法,其特征在于,通过以下步骤来实现:a).获取系统版本信息,采用基于KPCR结构的物理内存分析方法,从当前内存镜像文件中获取包括主版本号、次版本号、内部版本号在内的操作系统版本信息;b).获取lsass.exe进程的CR3寄存器内容,进程环境块中PEB结构变量的值;c).转储执行样本,获取lsass.exe加载的动态链接库链表,将动态链接库lsasrv.dll和tspkg.dll在内存镜像文件中的执行样本转储出来;d).获取密钥相关数据,从lsasrv.dll的转储文件中获取包括InitialzationVector值、hAesKey值、h3DesKey值在内的密钥相关数据;e).获取登录数量和信息,从lsasrv.dll中获取登录会话列表的数量和登录会话列表中用户信息;f).获取主凭证,从tspkg.dll的转储文件中,获取当前登录用户主凭证;g).获取密码明文,加载动态链接库nCryt.dll,借助步骤d)中获取的密钥相关数据,对步骤f)中所获取的主凭证中密文进行解密,获取登录用户密码明文。 | ||
| 地址 | 250014 山东省济南市历下区科院路19号山东省计算中心 | ||