今天是母亲节,我祝全天下的母亲们幸福安康!!!
《Dump进程内存镜像并查找字符串工具》一文引发了众多“号”友(公众号)的留言,给予了很高的评价,我非常开心,感谢你们的热情支持!
应广大号友的要求,我今天来介绍个“获取密码框中密码”的例子,这也是我开发这个工具软件的初衷原因;通过这个场景,希望你能举一反三,开拓出它的更多的用法。没看过此文(《Dump进程内存镜像并查找字符串工具》)的,请往前翻。
一、设计初衷
在一些程序的密码框中密码,我们怎么获取?
通常用“星号查看工具”来查看密码框中的密码,如下图:
从图中可以看到这个密码框中的密码是“123456”,圆满轻松地获取到了密码;但也有失灵的时候......
从上图看到,“星号查看工具”没有获取到正确的密码,只是随便给出了窗口的标题,这种情况下应该怎么获取到呢?
下面,轮到这个工具大发神威......
二、ProcessDump工具的使用
首先,我们在上图的登陆密码框中的密码的后面加上“iloveyou”这样的带特征性质的字符串(可以是你定义的任何特征串),
其次,运行程序获取这个登陆程序的进程PID,
第三,进程PID是10784,用“Dump进程内存镜像”获取此登陆程序的内存镜像,
出现此提示时意味着已成功将此进程的内存镜像写到以进程PID命名的文件10784.dmp中;
第四,在“查找内容”处输入我们设定的特征串“iloveyou”,因为是字符串,所以就找字符串;如果是16进制,就要勾选16进制格式及填写方式;按“多线程查找”在“10784.dmp”镜像中进行查找;
第五,结果出来了,找到了6处,我们要一一查看,以确定哪一处是密码;
这是选用“010editor”工具找开“10784.dmp”文件,查找出现字符特征串的地方,
最后,如图发现了password字样,后面跟着“123456iloveyou”,所以除去特征串,我们知道这个登陆程序的原始密码为“123456”;
通过这种方法,我们获取到了“星号查看工具”没办法获取到的密码!
至此,这个运用实例虽然讲完了,但值得仔细回味,这个实例具有很强的普遍性、实用性价值,在我们的实战中有很多地方会遇到密码框密码的场景,我们开创性地拓展了获取密码的方式,技巧性很强,实战价值很高;
还有些其他的技战法,我们还在挖掘整理中。
这个工具不提供免费使用,如果你需要它,请找我商谈。