安全攻防实战：使用winlogonhack获取系统密码

核心提示： （3）使用WinlogonHacK工具软件截取远程登录时所输入的正确密码，这也是本文要重点介绍的部分，安全攻防实战：使用winlogonhack获取系统密码(2)，当然除了以上三种外，还有一些其它的泄露途径，这个系统的Msgina.dll文件就被破坏了，从而导致用户无法远程登录3389终端

（3）使用WinlogonHacK工具软件截取远程登录时所输入的正确密码。这也是本文要重点介绍的部分。当然除了以上三种外，还有一些其它的泄露途径。

二、WinlogonHack工具软件截取密码原理

1.Gina.dll与Msgina.dll

Gina.dll在NT/2000中交互式的登陆支持是由WinLogon调用Gina.dll实现的，Gina.dll提供了一个交互式的界面为用户登陆提供认证请求。WinLogon会和Gina.dll进行交互，缺省是msgina.DLL(在System32目录下)。微软同时也为我们提供了接口，我们可以自己编写Gina.dll来代替Msgina.dll。

不知道什么原因，微软的Gina.dll在Windows XP以及后续版本中都不再出现，原来的Gina.dll改为Msgina.dll（加了ms表示是微软的，嘿嘿！）。Msgina.dll在WindowsXP系统中默认大小为967,680 字节（945K），在Windows 2003中其大小为1,180,672 字节（1153K），如果不是这个大小，估计就有问题了。

2.Msgina.dll文件被损坏和修改将导致严重错误

在DLL知识库（http://www.dofile.com/dlllibrary/msgina/）中是这样描述的：msgina.dll是Windows登陆认证策略相关模块，该模块用于完成所有用户登陆和验证功能，如果系统中的这个文件被修改或者破坏，将导致系统无法使用3389进行登录，如图1所示，这个系统的Msgina.dll文件就被破坏了，从而导致用户无法远程登录3389终端服务器。

图1 Msgina.dll被损坏或者被修改导致无法远程登录远程终端

3.WinlogonHack截取密码原理

WinlogonHack通过挂钩系统中的msgina.dll的WlxLoggedOutSAS函数，记录登录账户密码！WinLogon初始化时会创建3个桌面：