idiotc4t's blog
搜索文档…
获取机器安装的软件

简介

通常在获取到入口点之后我们需要快速收集当前主机的凭证,如chrome和navicat内存放的密码,如果能快速取得主机上安装的软件我们就能针对该软件进行密码的提取,本篇文章旨在解决这个问题。

原理

也没什么原理,主要是windows在安装软件的时候会注册一些注册表项,这些表项会存放着软件的相关信息。
比如我们熟知的卸载功能:
具体定位到注册表则HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*
与之相似的还有WMI class。
注册表则是HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\*
我们可以通过读取注册表子项的键值对来进行快速的确认,投入实战的话需要对系统进行判断,如果是x64位系统则需要对32位程序也进行遍历。(x64系统存在注册表重定位)
当然这种方式仅对完整安装的软件有效,如果是绿色版的软件则只能通过手工或自动化搜索的方式查找。

代码

1
2
#include <stdio.h>
3
#include <Windows.h>
4
#include <tchar.h>
5
6
7
BOOL EnumInstalledSoft(TCHAR* subKey, TCHAR* subKeyName) {
8
9
HKEY hKey = NULL;
10
HKEY hSubKey = NULL;
11
DWORD dwIndexs = 0;
12
TCHAR keyName[MAX_PATH] = { 0 };
13
DWORD dwLength = 256;
14
TCHAR subKeyValue[MAX_PATH] = { 0 };
15
16
17
if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, subKey, 0, KEY_READ, &hKey) == ERROR_SUCCESS)
18
{
19
while (RegEnumKeyEx(hKey, dwIndexs, keyName, &dwLength, NULL, NULL, NULL, NULL) == ERROR_SUCCESS)
20
{
21
RegOpenKey(hKey, keyName, &hSubKey);
22
23
RegQueryValueEx(hSubKey,
24
subKeyName,
25
NULL,
26
NULL,
27
(LPBYTE)subKeyValue,
28
&dwLength);
29
30
printf("%s : %s \n", keyName, subKeyValue);
31
RegCloseKey(hSubKey);
32
hSubKey = 0;
33
++dwIndexs;
34
dwLength = 256;
35
}
36
}
37
else
38
{
39
return FALSE;
40
}
41
if (hKey != NULL)
42
{
43
RegCloseKey(hKey);
44
return TRUE;
45
}
46
}
47
48
int main()
49
{
50
51
52
EnumInstalledSoft((TCHAR*)"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall",(TCHAR*)"DisplayName");
53
EnumInstalledSoft((TCHAR*)"Software\\Classes\\Installer\\Products", (TCHAR*)"ProductName");
54
system("pause");
55
56
57
return 0;
58
}
59
Copied!

LINKS

开发人员工具、技术文档和代码示例
docsmsft
复制链接