天高云淡

危险等级：★★★病毒名称：Hack.Win32.HashDump.a截获时间：2007-10-09入库版本：19.44.21类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：中
破坏手段：暴力破解
这是一个C/C 编写的黑客工具。
该工具主要用来获取当前主机用户的LM/NTLM散列,使用者可以通过该散列对主机用户密码进行暴力破解.
支持用法：pwdump2 <pid of lsass.exe> 主程序行为: 1.若没有指定lsass.exe/pid参数，则执行如下操作： [1].加载ntdll.dll,获取导出函数 NtQuerySystemInformation RtlCompareUnicodeString [2].调用NtQuerySystemInformation，InformationClass=5,获取进程信息列表 [3].遍历列表查找LSASS.EXE,获取该进程ID 2.打开自身进程，添加SeDebugPrivilege权限,以答应当前进程对LSASS.EXE等进程进行内存操作和线程操作
3.打开查找到的进程LSASS.EXE，获取该进程句柄
[…]

[Read more →]