Dameware Mini Remote Control 本地储存密码分析

最新推荐文章于 2024-07-10 10:53:10 发布
最新推荐文章于 2024-07-10 10:53:10 发布
阅读量2.7k 收藏 2
点赞数 1
分类专栏: 逆向 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/r250414958/article/details/123761687
版权

Dameware Mini Remote Control地储存密码分析

前言

无意中看到一篇文章能恢复Dameware Mini Remote Control 连接记录,这就勾起了我的好奇心,于是分析了一下这个软件本地存储密码的方式

https://blog.51cto.com/u_10868195/2069715

环境

windows 7
Dameware Mini Remote Control

分析过程

首先查看软件结构,搜索关键字符串,如Decrpt和Encrypt

然后下断点尝试

最终在dwrcrss.dll找到导出的加密和解密函数
在这里插入图片描述
然后使用火绒剑分析软件储存密码的地方

1.开启火绒剑监控系统监控

2.尝试添加一个新host,并设置密码,点击保存

在这里插入图片描述
然后使用火绒剑过滤事件,一般储存本地信息的方式有存放在注册表和文件,所以我们采用过滤这两种动作来进行分析
在这里插入图片描述
然后指定过滤进程
在这里插入图片描述
过滤出来的数量不多,我们逐个分析,发现这两条可疑的,和上述恢复链接的文件所需要的两个文件对应的上,一个数据库.db文件,一项注册表
在这里插入图片描述

首先查看MRCCv2.db文件
在这里插入图片描述
这是一个SQLite 3 数据库文件 可能会包含有用的信息

使用Navicat查看数据库

在这里插入图片描述
发现只是有一些简单的信息,并没有保存密码
在这里插入图片描述
然后我们来查看注册表

HKEY_CURRENT_USER\Software\DameWare\Mini Remote Control\Data

发现两条REG_BINARY类型的信息,而且前面8个字节都是相同的,符合某些加密特征,恰恰我们的host也只有两个,所以这里极有可能是储存密码的地方
在这里插入图片描述
在这里插入图片描述
为了验证这就是密码数据,并获取解密流程,我们返回x64dbg

在PBE_InitKey和PBE_Decrypt下断点

先点击连接就会先断在PBE_InitKey
在这里插入图片描述

返回上一层设置断点查看参数
在这里插入图片描述
在Win64里面传递函数参数的方法类似fastcall调用约定。前四个参数通过RCX,RDX,R8和R9寄存器传参,其余参数通过栈进行传递。
在这里插入图片描述
分析它的参数有6个,如果看不太具体使用IDA应该能更加直观

在这里插入图片描述
在网上查询了一些关于PBE加密的资料

https://blog.csdn.net/qq_26816591/article/details/83104475

https://www.jianshu.com/p/55a29b701fa7

在这里插入图片描述
重复实了几次,6个参数基本都是固定的,参数2更像是图上所述的口令,参数3则是对应口令的长度
PBE_InitKey初始化完成后会返回一个指针,像是一个类
在这里插入图片描述
然后接着运行断到PBE_Decrypt
在这里插入图片描述
看参数有4个,第1个参数为PBE_InitKey返回的指针,第2参数个参数为注册表里REG_BINARY的加密数据,第3个参数应该为密文的大小,第4个参数多次尝试后确定应该是一个固定值
运行完PBE_Decrypt,我们可以发现传进去的加密数据已经被解密了一部分了,但还是没发现密码,被解密的数据里还是发现了一些类似密文的数据
在这里插入图片描述
很大可能是多次加密,我们继续运行
又断到了PBE_InitKey,除了口令和口令长度的参数不同其余参数一致
在这里插入图片描述
然后继续运行,又断在了PBE_Decrypt,第2个参数是第一层解密是里面的加加密数据,长度为0x10
在这里插入图片描述
继续运行完PBE_Decrypt,发现数据已经完成解密,看到了明文密码
在这里插入图片描述
结构体
在这里插入图片描述
而第一层解密的注册表里REG_BINARY的加密数据,更像是一个结构体,里面包含了hostname ,userid,password,Domain,Shared Secret这就是有用的数据。

总结:

1.HKEY_CURRENT_USER\Software\DameWare\Mini Remote Control\Data里的数据为每个host信息的加密数据

2.第1次解密的是注册表里REG_BINARY的加密数据,解密完成后包含hostname ,userid,password,Domain,Shared Secre等信息,但password和Shared Secre还是处于加密状态

3.第2次解密的是password,Shared Secre
所以分析到现在,相信后续的了解这个软件本地储存的密码已经很容易了。想要解密也很简单,我这里就不再写出来。

QQQqQqqqqrrrr
关注
专栏目录
dameware mini remote control(最简单远程控制)
07-18
Dameware 是一款很不错的远程控制软件, 但是在控制远程没有加入域的VISTA或WIN7的操作系统时会遇到一些问题, 那个因为VISTA和WIN7的增强安全性不允许使用本地帐户提升UAC权限. 不过我们可以通过修改注册表的方式开启权限, 但是这将降低系统的安全性. 将以下代码保存为"EnableUAC.reg", 双击导入注册表即可. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "LocalAccountTokenFilterPolicy"=dword:00000001 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "LocalAccountTokenFilterPolicy"=dword:00000001 dameware如何远程控制Windows 7 RTM有一段时间了,我也把家里的windows vista升级到windows 7终极版。 又遇到了dameware远程控制Windows 7,dameware连接不上的问题,由于之前解决过”dameware如何远程控制windows vista business 64 bits技巧“,所以知道Windows 7共享的问题,还是出在 LocalAccountTokenFilterPolicy上。LocalAccountTokenFilterPolicy这是个注册表键值,您在远程机器(需要连接的那台计算机)上的注册表中,添加这个键值,并设置为1,那么远程管理员共享(比如admin$、c$等)就没有问题了,当然使用dameware远程连接也就没有问题了。 这个注册表键值在如下地址:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System添加类型为DWORD ,键名为 LocalAccountTokenFilterPolicy ,键值设置为1:一旦将windows 7加入域,LocalAccountTokenFilterPolicy 自动添加并开启,也就是说domain admins是可以直接连接,而无须修改的dameware远程连接windows 7 64位如果您不愿意修改注册表,有个方法也可以远程控制windows 7。就是将dameware安装到自己的机器上(最好是最新版本),然后使用DameWare Mini Remote Control Client Agent MSI Builder ,生成一个DWRCSVista32.MSI ,然后把这个文件拿到需要连接的那台计算机上运行一下,dameware就可以远程控制这台机器了。 别看 DWRCSVista32.MSI名字是vista32,但同样可以安装到windows 7 64位上,这需要感谢windows 7改进的UAC机制,使得兼容性有了不小的改进。
DameWare Mini Remote Control V4.9.2.6 汉化破解版
06-11
一个很好的远程控制操作软件 不占用资源  无须安装客户端
DamewarMinRemote Control 连接记录恢复
weixin_34117211的博客
02-07 822
简介:DamewareMiniRemoteControl是一款不错的局域网远程控制管理软件。如果重做了系统或其他情况下,需要重装此程序,那么原来的连接记录都要重建,下面详细介绍怎么解决这个问题。本文使用的是DamewareMiniRemoteControlv7.5版,64位win7系统。 一.原始数据备份1、连接数据如图这个位置的这个MRCCv2.db文件就是连接的数据(I...
Dameware Remote Support 使用方法
最新发布
chchping的博客
07-10 178
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Lanmanserver/Parameters/ 修 改。添加:AutoShareServer,双字节值为 1,AutoShareWks,双字节值为 1,重启客户端,就可以了。打开防火墙设置〉例外〉添加端口 名称:Dameware 端口号:6129 勾选 TCP。3:建议关闭客户端防火墙或者放通 6129 端口。打开防火墙设置〉例外〉勾选文件和打印共享。4:有一个对方超级管理员的账号和密码
Dameware Mini Remote Control 远程控制软件
qq_36306519的博客
12-19 4537
Dameware Mini Remote Control 远程控制软件
远程桌面/远控Dameware Mini Remote Control/IPC$ 常问题
半条虫 免费软件发布博客
07-05 744
指定的网络名不再可用。
dameware(dameware mini remote control)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-25 728
如何清除远程控制软件DameWare Mini Remote Control 在XP下可以使用 SC这个命令 开始菜单 运行输入CMD sc delete dwmrcs这个可能是 别的网段用户 他关闭了那个 远程 所以你 进不了的吧 如何使用DameWare远程控制WinXP的电脑? DameWare N...
DameWare Mini Remote Control 10.0 x64
12-26
DameWare Mini Remote Control 10.0 x64:强大的内网管理工具》 DameWare Mini Remote Control 10.0 x64是一款专为Windows 7 64位操作系统设计的远程控制软件,它在IT行业内被广泛用于进行高效的系统管理和故障...
DameWare Mini Remote Control 10.0.0.372 x64位 绿色版
06-19
7. **绿色版软件**:作为绿色版软件,DameWare Mini Remote Control 不需要安装,解压即用,不留下冗余文件,方便携带和存储。 8. **集成工具**:软件集成了多种实用工具,如进程管理器、注册表编辑器等,为系统...
DameWare Mini Remote Control 12.0.3.4010注册机
07-27
DameWare Remote Support、DameWare Mini Remote Control新版12.0.3.4010注册机,亲测有效。
DameWare Mini Remote Control 远程控制专家使用方法
12-21
除了远程控制功能外,DameWare Mini Remote Control 还支持文件传输和剪贴板共享,使用户能够在本地计算机与远程计算机之间轻松传输文件和数据。 - **文件传输:** 直接拖拽文件至远程控制窗口或使用工具栏中的文件...
DameWare.Mini.Remote.Control.10.0.0.372(64位)
12-11
DameWare NT Utilities是一款优秀的局域网管理软件,功能强大,简单易用,是网络管理的必备软件。
DameWare Mini Remote contro V12.0.0.514官方64位版最新注册版
10-16
DameWare Mini Remote contro V12.0.0.514官方64位版最新注册版 易于使用的远程控制   采取远程计算机的完整命令,是否在同一座楼里,穿过市区,或在世界各地。DameWare MRC使远程桌面共享令人难以置信的快和提供所需的工具快速轻松地解决远程用户的问题。   访问电脑与英特尔®AMT使用KVM   通过远程连接电脑键盘、视频和鼠标(KVM)内置英特尔积极管理技术(AMT)的支持。使用此功能,您可以远程控制计算机无论其操作系统的状态。   与终端用户&捕获远程聊天截图   DameWare MRC的聊天功能,你可以上网聊天和你的远程用户进行故障排除或配置远程计算机。远程用户的屏幕上熟悉的聊天窗口,你可以很容易地解决问题,你把他们的桌面。   管理远程访问权限   DameWare MRC可以灵活地设置权限访问远程计算机基于组织中的角色。   自动部署远程控制代理   DameWare MSI构建器包含在每一个购买MRC,允许您创建MSI包安装的MRC客户机代理服务,包括任何自定义设置。
DameWare Mini Remote Control 是一款功能强大的基于 NT 核心服务的远程控制软件。在 NT 核心操作系统中无须安装服务端,是 网络管理员进行网络维护管理的好帮手,功能超强!有了它 Admin 就不 用再为了设置调试服务器而东奔西走,通过远程控制轻松完成。对于 9X 系统该工具提供了服务端安装包分发打包程序,分发部署服务端极其方便。 【汉化说明】 部分窗口中的英文属于注册表项及数据库中的单词,为保证程序的稳定性 及与英文版数据库的一致性,未作汉化。还有部分字符串汉化会导
03-11
DameWare Mini Remote Control 是一款功能强大的基于 NT 核心服务的远程控制软件。在 NT 核心操作系统中无须安装服务端,是 网络管理员进行网络维护管理的好帮手,功能超强!有了它 Admin 就不 用再为了设置调试服务器而东奔西走,通过远程控制轻松完成。对于 9X 系统该工具提供了服务端安装包分发打包程序,分发部署服务端极其方便。 【汉化说明】 部分窗口中的英文属于注册表项及数据库中的单词,为保证程序的稳定性 及与英文版数据库的一致性,未作汉化。还有部分字符串汉化会导致程序 出错,也未作更改。总体已经不影响使用了。 因时间及精力有限,如果尚有其他未汉化之处,敬请谅解! 软件虽然声明支持9X系统,但是不建议您在9x系统中使用。
DameWare详细使用图文教程
03-09
DameWare详细使用图文教程,DameWare详细使用图文教程
Dameware 迷你破解版
09-28
目前最好用的远程桌面工具,亲测可用,希望帮到网络管理员们。
Dameware NT Utilities Mini Remote Control远程控制教程
weixin_30737433的博客
05-20 759
Dameware NT Utilities Mini Remote Control远程控制教程 Dameware NT Utilities Mini Remote Control远程控制教程:记得我以前写过一个Dameware NT Utilities Mini Remote Control操作手册, 后来又跟踪过它的最新加速连接协议 Mirror Driver,而且也写过一个在实战中使用它的...
免费远程控制/局网远控软件
半条虫 免费软件发布博客
07-05 459
二、Solarwinds Dameware Mini Remote Control 收费。亲测可用,永久免费。一、Quasar 免费开源。
查看dbeaver上已经连接保存的数据库密码
热门推荐
qq_30467221的博客
08-08 1万+
步骤四:密码就是存放在这个加密文件里,需要用到openssl 对此文件解码:(linux系统基本都有此命令)步骤三:进入路径找到credentials-config.json文件。步骤二:常规下的 “工作空间”界面找到 工作空间路径。步骤一:DBeaver的“窗口”-“首选项”界面。
DameWare Mini Remote Control:Windows Vista下的远程控制解决方案
1. 启动服务器端:在需要被控制的计算机上(例如客厅的HTPC)安装并配置好DameWare Mini Remote Control 客户端,确保设置了允许远程访问的账户和密码。 2. 连接控制:在需要控制其他计算机的设备(例如卧室的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值