[TOC]

注意:本文分享给安全从业人员,网站开发人员和运维人员在日常工作中使用和防范恶意攻击,请勿恶意使用下面描述技术进行非法操作。

在内网系统信息收集的时候与电子取证有着相似的方法和手段;

(1) 浏览器信息

  1. WebBrowserPassView:读取浏览器里存储的密码的工具支持IE4.0~11.0,火狐全版本、Chrome、Safari和Opera浏览器里的密码。
    下载地址:http://www.nirsoft.net/toolsdownload/webbrowserpassview.zip

(2) 邮箱信息

  1. Mail PassView:从邮件客户端读取密码支持客户端有Gmail / Microsoft Outlook 2002/2003/2007/2010/2013 (POP3, IMAP, HTTP 和 SMTP 账户)
    http://www.nirsoft.net/toolsdownload/mailpv.zip

(3) 应用信息

  1. MessenPASS :读取一些社交软件客户端里存储的密码如Windows Live Messenger (仅支持ndows XP/Vista/7)
    http://www.nirsoft.net/toolsdownload/mspass.zip

(4) 系统连接信息

  1. 远程桌面登陆密码:读取保存在.rdp文件中的远程桌面密码
    http://www.nirsoft.net/toolsdownload/rdpv.zip

  2. 代理信息获取

    1
    2
    3
    4
    5
    reg query "HKEY_USERSS-1-5-21-1563011143-1171140764-1273336227-500SoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v ProxyServer

    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings"
    #通过PCA文件查看执行如下语句 (查看浏览器的pac的代理脚本)
    reg query "HKEY_USERSS-1-5-21-1563011143-1171140764-1273336227-500SoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v AutoConfigURL