gsecdump是Windows环境下获取密码的主要工具之一,其功能强于gethashes,它目前已经被定义为病毒,例如HackTool.FFC (AVG),HackTool.Win32.Agent.ym (Kaspersky), HTool-GSECDump (McAfee),W32/Hacktool.AY (Norman),Trojan.Moo (Symantec),HKTL_AGENT (Trend Micro),其主要特点是在某些情况下能够获取域控密码,是不可多得的密码获取工具软件之一。
1.2.1下载和使用gsecdump
gsecdump目前版本为v2.0b5,由于其使用的广泛性,因此被google浏览器以及杀毒软件定义为病毒,官方网站已经不提供下载地址,可以给官方(info@truesec.co)发邮件索取地址http://www.truesec.com/Tools/Tool/gsecdump_v2.0b5。
1.2.2gsecdump参数
直接运行gsecdump,如图1-5所示,默认显示帮助信息,也可以使用“gsecdump -h”获取帮助信息,其参数信息如下。
-h /显示帮助信息
-a /获取所有密码信息
-s /从sam和域控中获取哈希值
-l /获取LSA信息,基本没啥用
-u /获取活动的登录哈希值,也即当前登录用户的哈希值
-w /获取无线密码
-S /强制评估版本为系统版本
1.2.3使用gsecdump获取系统密码
一般使用“gsecdump -a”命令获取所有用户的密码哈希值,如图1-6所示,也可以使用“gsecdump
-u”获取当前登录用户的哈希值。