本文是学习RdpThief的结果。
首先介绍下Detours,该库是c++库,该库可以方便hook windows的api。
然后再介绍下Api Monitor,是一个api监控工具。
最后介绍下mstsc,远程桌面用的。
我们首先利用Api Monitor监控mstsc调用的api:
然后我们执行mstsc进行正常远程桌面,输入ip、账号、密码进行连接:
我们在Api Monitor搜索ip,发现IP会存放在CredReadW api中:
同理,可以获得连接的主机的账号
密码:
这里使用Api Monitor配合Detours进行相关api的数据hook。
主要分为以下几步:
1.AfterWith():避免重复HOOK
2.TransactionBegin():开始HOOK
3.UpdateThread():更新到当前线程
4.DetourAttch():你要HOOK的函数的函数的地址,以及你自定义的函数的函数地址.
5.TransactionCommit():提交HOOK 这一步才是最终进行HOOK.
我们拿hook 连接ip为例:
结果:
账号:
这里我是演示,所以我用MessageBoxW,项目中选择写入即可。
凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数