logo

K8哥哥

没有绝对安全的系统

持久化后门之加密工具TrueCrypt DLL劫持

简介

TrueCrypt,是一款免费开源的加密软件,同时支持Windows Vista,7/XP, Mac OS X, Linux 等操作系统。TrueCrypt不需要生成任何文件即可在硬盘上建立虚拟磁盘,用户可以按照盘符进行访问,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。TrueCrypt 提供多种加密算法,包括:AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish,其他特性还有支持FAT32和NTFS分区、隐藏卷标、热键启动等。

软件荣誉

FBI在经过一年的尝试后,还是未能破译被巴西执法机构指控金融犯罪的巴西银行家的加密文件。巴西一家葡萄牙语报纸报道(葡萄牙语),巴西联邦警察在2008年7月展开的Satyagraha行动中,在银行家Daniel Dantas位于里约热内卢的公寓内收缴了5个硬盘。文章提到硬盘使用了两种加密程序,一种是TrueCrypt,另一种是不知名的256位AES加密软件。在专家未能破解密码后,巴西政府在2009年初请求美国提供帮助,然而美国联邦警察在一年不成功的尝试后,退还了硬盘。巴西现有的法律中不存在强制要求Dantas交出密码的规定。

TC劫持

将K8测试专用DLL劫持工具里的DLL改名成RichEd20.dll后放入TC目录
运行TrueCrypt目录下的3个EXE均会被劫持,成功弹出被劫持相关信息
image

POC

https://github.com/k8gege/K8tools/raw/master/K8dllhijack.rar

利用

如CobalStrike生成DLL改名为RichEd20.dll,用户打开TC时即可上线

PS: 2016年在网易有发过,发现网上已搜不到,重新发一下,除了让别人知道,
也防止自己未来老年痴呆,被刚入门的利用TC持久化就蛋疼了,因为我喜欢用。
他搞你后还来一句,你看这SB这么简单的东西,他天天用都不知道我加了后门

Notepad++ DLL劫持
image

参考

Notepad++ 修复被 CIA 利用的 DLL 劫持
https://www.sohu.com/a/129080133_466846
[提权]Notepad++ DLL劫持漏洞
https://bbs.mayidui.net/t219-e.html

扫码加入K8小密圈