安全攻防实战：使用winlogonhack获取系统密码

（2）对WinlogonHack软件做免杀处理

由于WinlogonHack工具软件在网络入侵中扮演了一个重要的辅助角色，因此一些厉害的杀毒软件会自动查杀wminotify.dll文件，如图4所示，我在做试验时，我的avast!杀毒软件就能查出来，作为病毒处理。因此可以通过加花指令、修改特征码等方法修改wminotify.dll文件，使其能够绕过杀毒软件。

图4 杀毒软件会自动查杀wminotify.dll文件

（3）WinlogonHack在攻击中应用

WinlogonHack工具软件主要用于截取3389登录密码，因此在被入侵计算机上运行mstsc后，如果发现在mstsc的计算机地址栏目中出现有多个登录IP地址列表，如图5所示，那么在该计算机上就有安装WinlogonHack软件的必要，通过它来记录在服务器上管理员所登录的3389用户名和密码。

图5 获取3389登录地址列表

2.防范方法探讨

（1）在系统目录查找“wminotify.dll”文件，如果发现有这个文件，则说明系统中一定安装了Winlogonhack工具，可以通过登录一个3389终端来测试，系统目录下是否存在boot.dat文件，如果存在，则可以尝试使用“Uninstall.bat”批处理来卸载它，如果还不能卸载，可以重启后再次卸载。

（2）直接到注册表的键值“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywminotify”下进行查看，如果存在，则删除即可。

（3）对于定制的WinlogonHack比较难于根除，一个好的办法就是在系统安全状态下做一次文件名称列表备份，以后每次检测系统是通过比较系统目前状态下的文件列表的异同来查看。

（4）如果使用3389远程终端登录多台服务器进行管理，最好在管理完毕后，及时清除3389登录地址列表。

（5）定期杀毒，杀毒软件在一定程度上面能够防范一些已知的病毒，因此勤杀毒，勤看日志，在确认系统被入侵后，一定要仔细彻底的做一边系统的安全检测。