Process Monitor是微软官方出的进程监控软件,用于显示实时文件系统、注册表和进程活动,附下载地址。在之前的wegame dll劫持中也用到了它。
这个东西和渗透有什么关系了?应用场景:当控下某机器后发现管理员用某远程控制软件连接其他服务器,通过屏幕监控发现其保存了服务器ip/用户名/密码,这个时候我们就需要找到该软件的配置文件信息来找出密码(虽然找到了密码,也不一定能够破解或者直接使用,但是我们可以尝试本机安装相同软件然后覆盖配置文件来进行登陆)
测试过程:
假想环境:由于IP地址已经保存,keylogger只记录了mstsc的密码,我们需要找出mstsc保存的IP地址。
首先本地先保存两个地址,以便定位,如图image1。
image1
然后设置监控的进程名为mstsc.exe,再打开mstsc.
再想一想,通常情况下应用程序保存配置信息的方式就三种
1.sqlite等数据库方式
2.txt等文本文件格式
3.注册表
反之读取配置信息也是从这三种地方,所以我们设置filter为Operation "include ReadFile"和"include RegOpenKey",Resukt "include success"来减少我们的工作量,然后一步步的核实,最后找到保存位置。
image.png
再注册表中核实一下确实是保存在这个位置。
image.png
附mstsc连接记录地址:
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default
某些操作系统在
HKEY_USERS\S-xxxxxxxxxxxxxx\Software\Microsoft\Terminal Server Client\Default
网友评论