آموزش های تخصصی شبکه و امنیت و ضد امنیت

یک مدل *** و ناشناخته دزدیدن کلمات عبور ! 




Graphical Identification and Authorization یا به عبارت ساده تر GINA میدانید چه هست ؟؟ در واقع این واسطه ای بین کاربر و سیستم تعیین هویت ویندوز است ، خوب حالا اگر به جای نسخه اصلی آن ما یک نسخه سمی و دستکاری شده قرار بدهیم چگونه است !! بله درست فهمیدید به همین راحتی هر کاربری که به سیستم وارد شود ما به کلمه عبور آن پی میبریم . 




به این منظور من به شما یک نوع Fake GINA را معرفی میکنم ، قبل از هر چیز به Ntsecurity.nu بروید و FakeGina.dll را که Arne Vidstrom نوشته را دریافت کنید ، خوب ما فکر میکنیم شما به سیستم دسترسی دارید و امتیاز شما در حد یک مدیر است ، در این هنگام با استفاده از دستور زیر FakeGina.dll را در پوشه %SystemRoot%\system32 کپی میکنید (روی قربانی!!) . 

• C:\>copy fakegina.dll \\ 10.1.1.3\admin$\system32

خوب حالا یک نگاهی به Resource Kit های بیلی می اندازیم و ابزار reg.exe را پیدا میکنیم و با سوءاستفاده از آن مقدار زیر را به Registry قربانی وارد میکنیم . (به مقدار توجه کنید) 

• C:\>reg add "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL=fakegina.dll" REG_SZ \\10.1.1.3

خوب حالا نگاهی دوباره به Resource Kit های بیلی می اندازیم و ابزار shutdown را پیدا میکنیم و با سوء استفاده از آن سیستم را دوباره راه اندازی میکنیم . 

• C:\>shutdown \\10.1.1.3 /R /T:1 /Y /C

خوب عملیات دزدی به پایان رسید حالا منتظر میشویم یک کاربر به سیستم وارد شود ، وقتی وارد شد کافی است که شما یک نگاهی به فایل%SystemRoot%\system32\passlist.txt بیندازید . 




راه دفاع : 




قبل از هر چیز fakegina.dll و passlist.txt را جستجو کنید اگر آنها را یافتید که آنها را نابود کنید ، حال بهتر است یک نسخه GINA سالم را دوباره نصب کنید !! و کلید Registry را به حالت اول باز گردانید . ( البته من توصیه میکنم یک بار دیگه بیلی را روی سیستم خود نصب کنید . ) 



+ موفق پیروز باشید