记录远程3389登陆信息

2011-10-03 | pyinx | windows

记录本地、远程 mstsc.exe 登陆信息

功能：

1、主要功能便是键盘记录。通过镜像劫持，伴随 mstsc.exe 启动。参考以下的高级用法，进行其他启动方式

2、可以记录本地或远程或远程桌面中的远程桌面（理论上最大套嵌数量为无穷大）的 mstsc.exe (远程桌面连接、3389) 按键、鼠标信息。

3、从而根据远程桌面、远程桌面连接、虚拟终端、按键记录的键盘记录分析出目标服务器的IP、域名（自动获取远程服务器IP、域名放入日志中）、账号、密码。

4、记录的键盘、鼠标信息放在：C:\WINDOWS\MstscLog.txt，每隔十秒保存一次

5、一直记录到不存在进程 metsc.exe （为什不是 Mstsc.exe？请参考以下高级用法）为止，程序退出。

优点：

1、支持微软官方任意版本的远程桌面连接程序（mstsc.exe），据我所知除了Win7，应该有两个版本吧。

2、支持任意登录方式：命令行、带参数的命令行、快捷方式、普通双击运行等，支持任何窗口状态：全屏、窗口、最大化、最小化等……

3、支持套嵌的方式，支持在虚拟终端中记录，简单地说就是，既可以本地记录本地的mstsc.exe，也可以上传到服务器上，记录管理员登陆其他服务器的操作，理论上套嵌支持无穷多，渗透中应该经常用到。

4、不多说了，等你来发现……

缺点：

1、可能不支持各种山寨、DIY版的远程桌面连接程序。

2、不支持记录本地实现填写好的账号密码，注意，是事先填写好，不是运行 mstsc.exe 后再填写的账号密码，然后点连接那种。也就是说，运行 mstsc.exe 后的所有按键、鼠标信息都可以记录。

3、由于是一直记录到远程桌面连接程序退出为止，所以日志体积可能较大。

高级用法：

由于安装是采用镜像劫持伴随 mstsc.exe 启动，所以将 mstsc.exe 复制为 metsc.exe，不然会产生死循环。

如果你不想用镜像劫持的方法，想自己安装启动，你可以使用 ShellCode 感染的方式（以前写过这个程序，并发布了，自己找去），给 mstsc.exe 加一条指令，让其启动时运行我们的记录程序，或者注册表启动，之类的。