钓鱼佬永不空军-fakelogonscreen免杀&改造

luozhenni

钓鱼佬永不空军-fakelogonscreen免杀&改造
原文链接：钓鱼佬永不空军-fakelogonscreen免杀&改造
原创 雾 moonsec 2022-04-16 11:54

钓鱼佬永不空军-fakelogonscreen免杀&改造
Fakelogonscreen可以伪造Windows登录屏幕以此来欺骗用户密码。
如动图演示：

​

But 实战过程中必然有杀软，而且它还是个英文界面，得免杀和改造。
如图所示：被某绒判定为木马。

​

下面进行改造免杀的过程。
1.用Visualstudio 打开，打开LogonScreen.cs类，shift+F7打开设计器。

​

更改 llblResetPassword和 llbSigninOptions控件的Text值为空。（因为我对比了几台win10，发现都没有重置密码和登录选项这两个东西。）
还是LogonScreen.cs类，右键查看代码。找到这个变量把它的值改为：“密码不正确!请重试。”
当然这里也可以根据不同的环境来定制。

​

ok,接下来生成exe文件，右键解决方案，然后生成。

2.然后就是免杀了，这里我用的方法是使用.net程序加壳利器DOTFUSCATOR，这个免杀方法其实也可用于C#后门的静态免杀。
下载DOTFUSCATOR（文末有提供），根据说明安装好后。
打开DOTFUSCATOR，然后Settings->GlobalOptions选项将图中的，DisableString Encryption，DisableControl flow、DsiableRenaming 选项都设置为NO（确保打开了混淆功能），其它默认就好。

​

打开 Input 选择要混淆加密的fakelogonscreen.exe,注意不要选中Library，有可能会影响某些类，属性的混淆。

​

Rename —>options 里选中：
“use enhanced overload induction”（使用增强模式），
注意：不要选中下面的“Do not suppress on serializable types”（序列化类型的变量不加密）
“Renaming Scheme”选择“Unprintable”（不可打印字符）。

​

String Encryption 选项include中的都选中。

​

Settings->Build Settings 选项中设置输出目标文件夹

​

某绒来一遍。没查到。

​

目前可过：某绒，某数字，某管家，某毒霸。
windows defender用作者提供的版本经过DOTFUSCATOR的混淆后也可过（我刚编译的就不行,大家多试一试）。
在CS中：执行execute-assembly fakelogonscreen.exe

​

得到用户aaa密码：123456
资源：
Fakelogonscreen
DOTFUSCATOR6.0.1

​