-
公开(公告)号:CN105893107A
公开(公告)日:2016-08-24
申请号:CN201610276405.7
申请日:2016-04-29
Applicant: 山东省计算中心(国家超级计算济南中心)
IPC: G06F9/45 , G06F12/10 , G06F12/0802 , G06F21/31 , H04L9/32
CPC classification number: G06F8/53 , G06F12/0802 , G06F12/10 , G06F21/31 , H04L9/3226
Abstract: 本发明的从64位Windows操作系统的内存镜像文件中获取已登录用户密码明文的方法,包括:a).获取系统版本信息;b).获取lsass.exe进程的CR3寄存器、进程环境块中PEB结构变量的值;c).将动态链接库lsasrv.dll和tspkg.dll的执行样本转储出来;d).获取密钥相关数据;e).从lsasrv.dll中获取用户信息;f).从tspkg.dll的转储文件中获取登录用户主凭证;g).获取密码明文。本发明的获取已登录用户密码明文的方法准确、高效,分析效果不受密码复杂度的影响,是从物理内存镜像文件中获取用户登录信息的重要手段,获取的已登录用户密码明文是计算机在线取证中的一种重要证据。
-
公开(公告)号:CN105893107B
公开(公告)日:2019-03-19
申请号:CN201610276405.7
申请日:2016-04-29
Applicant: 山东省计算中心(国家超级计算济南中心)
IPC: G06F8/53 , G06F12/10 , G06F12/0802 , G06F21/31 , H04L9/32
Abstract: 本发明的从64位Windows操作系统的内存镜像文件中获取已登录用户密码明文的方法,包括:a).获取系统版本信息;b).获取lsass.exe进程的CR3寄存器、进程环境块中PEB结构变量的值;c).将动态链接库lsasrv.dll和tspkg.dll的执行样本转储出来;d).获取密钥相关数据;e).从lsasrv.dll中获取用户信息;f).从tspkg.dll的转储文件中获取登录用户主凭证;g).获取密码明文。本发明的获取已登录用户密码明文的方法准确、高效,分析效果不受密码复杂度的影响,是从物理内存镜像文件中获取用户登录信息的重要手段,获取的已登录用户密码明文是计算机在线取证中的一种重要证据。
-
公开(公告)号:CN105786596B
公开(公告)日:2018-04-13
申请号:CN201610159574.2
申请日:2016-03-21
Applicant: 山东省计算中心(国家超级计算济南中心)
Abstract: 本发明的从64位Windows10操作系统的内存镜像文件中获取对象信息的方法,包括:a).查找非系统进程;b).获取对象句柄表的值;c).获取对象句柄表的位置;d).获取对象头指针的地址;e).获取对象类型;f).对于不是File和IoCompletion的对象,获取其nameInfo结构体;g).根据nameInfo结构体,遍历对象链表,获取链表中对象的名称及类型。本发明的方法中的对象类型的获取方式,与Windows 8.1以下版本的获取方式完全不同,是获取对象信息的重点与难点;对象类型索引表地址的确定,与以往各操作系统版本位置均不同,是成功获取对象信息的关键所在。
-
公开(公告)号:CN105786596A
公开(公告)日:2016-07-20
申请号:CN201610159574.2
申请日:2016-03-21
Applicant: 山东省计算中心(国家超级计算济南中心)
CPC classification number: G06F9/467 , G06F12/0292 , G06F2212/286
Abstract: 本发明的从64位Windows10操作系统的内存镜像文件中获取对象信息的方法,包括:a).查找非系统进程;b).获取对象句柄表的值;c).获取对象句柄表的位置;d).获取对象头指针的地址;e).获取对象类型;f).对于不是File和IoCompletion的对象,获取其nameInfo结构体;g).根据nameInfo结构体,遍历对象链表,获取链表中对象的名称及类型。本发明的方法中的对象类型的获取方式,与Windows 8.1以下版本的获取方式完全不同,是获取对象信息的重点与难点;对象类型索引表地址的确定,与以往各操作系统版本位置均不同,是成功获取对象信息的关键所在。
-
-
-
Search Results
4
records
(took 0.041 seconds)
