مرحبا ب الجميع في هده التدوينة المتواضعة التي سنناقش فيها طريقة استخراج كلمة سر برنامج TeamViewer من memory باستخدام Frida
TeamViewer الاتصال تلقائيا :
قبل بضعة ايام كنت اعمل على الوندوز و اردت الاتصال ب VPS عبر برنامج TeamViewer (و قمت بوضع كلمة مرور مخصصة ) و بعد انتهائي من العمل قطعت الاتصال و بعد مرور مدة من الوقت اردت ان اقوم ب اعادة الاتصال لاكمال عملي و لاحضت ان TeamViewer يقوم ب حفض كلمة المرور بشكل تلقائي .
و هنا سالت نفسي و قلت انه شيء مثير للاهتمام كيف يتم حفض كلمة المرور و اين يتم تخزينها على الجهاز !! ??
مكان تواجد كلمة السر :
سكربت للحصول على كلمة المرور:
لاستخراج كلمات السر من الذاكرة كتبنا اثنين من البرامج المصغرة، في لغة python و C ++.
شكر خاص ل فريدا فريق لأداة رائعة! يعلق برنامج python على عملية TeamViewer.exe، ويحصل على عنوان القاعدة وحجم الذاكرة من كل مكتبة في هذه العملية. بعد ذلك، تقوم بتفريغ منطقة ذاكرة واحدة تلو الأخرى، وتفحص أجزاء بايت [00 88] في البداية و [00 00 00] بايت في النهاية وتنسخها في المصفوفة. الخطوة التالية والأخيرة هي اختيار نهاية فك التشفير الخام وفقا لسياسة التعبير العادي وكلمة المرور.