Fakelogonscreen可以伪造Windows登录屏幕以此来欺骗用户密码。
如动图演示:
But 实战过程中必然有杀软,而且它还是个英文界面,得免杀和改造。
如图所示:被某绒判定为木马。
下面进行改造免杀的过程。
1.用Visualstudio 打开,打开LogonScreen.cs类,shift+F7打开设计器。
更改 llblResetPassword和 llbSigninOptions控件的Text值为空。(因为我对比了几台win10,发现都没有重置密码和登录选项这两个东西。)
还是LogonScreen.cs类,右键查看代码。找到这个变量把它的值改为:“密码不正确!请重试。”
当然这里也可以根据不同的环境来定制。
ok,接下来生成exe文件,右键解决方案,然后生成。
2.然后就是免杀了,这里我用的方法是使用.net程序加壳利器DOTFUSCATOR,这个免杀方法其实也可用于C#后门的静态免杀。
下载DOTFUSCATOR(文末有提供),根据说明安装好后。
打开DOTFUSCATOR,然后Settings->GlobalOptions选项将图中的,DisableString Encryption,DisableControl flow、DsiableRenaming 选项都设置为NO(确保打开了混淆功能),其它默认就好。
打开 Input 选择要混淆加密的fakelogonscreen.exe,注意不要选中Library,有可能会影响某些类,属性的混淆。
Rename —>options 里选中:
“use enhanced overload induction”(使用增强模式),
注意:不要选中下面的“Do not suppress on serializable types”(序列化类型的变量不加密)
“Renaming Scheme”选择“Unprintable”(不可打印字符)。
String Encryption 选项include中的都选中。
Settings->Build Settings 选项中设置输出目标文件夹
某绒来一遍。没查到。
目前可过:某绒,某数字,某管家,某毒霸。
windows defender用作者提供的版本经过DOTFUSCATOR的混淆后也可过(我刚编译的就不行,大家多试一试)。
在CS中:执行execute-assembly fakelogonscreen.exe
得到用户aaa密码:123456
资源:
Fakelogonscreen
DOTFUSCATOR6.0.1
关注公众号
公众号长期更新安全类文章,关注公众号,以便下次轻松查阅
原文始发于微信公众号(moonsec):钓鱼佬永不空军-fakelogonscreen免杀&改造
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论