1. 项目概述从“freekatz/clawbars”看开源安全工具的实战价值最近在整理自己的安全工具箱时又翻出了“freekatz/clawbars”这个项目。这名字乍一看有点怪像是某种猫科动物的玩具但在内部安全测试和应急响应的圈子里它可是个低调但实用的“瑞士军刀”。简单来说Clawbars是一个用C语言编写的、用于从Windows系统内存中提取凭据信息的工具集你可以把它理解为Mimikatz这类经典工具的一个特定场景下的补充或替代方案。它的核心价值在于它不依赖于那些已经被安全产品盯得死死的公开API或标准库而是采用了一些更底层、更“手工”的方式去操作系统内存这在一定程度上能绕过某些基于行为特征或API调用的检测。为什么一个安全从业者会需要关注这样的工具原因很直接攻防对抗的本质是信息差和技巧的较量。当主流工具如Mimikatz的调用模式、字符串特征、甚至哈希值都被广泛录入各类EDR端点检测与响应和杀毒软件的规则库时一个能够实现相同目标但实现路径迥异的工具其生存能力就大大增强了。Clawbars不是为了取代谁而是提供了一个新的视角和一套备选方案。它特别适合那些需要进行深度安全评估、红队演练或是调查已失陷主机、需要在不惊动潜在监控的情况下获取关键信息的场景。对于蓝队成员而言理解它的原理和手法也能更好地构建防御策略知道攻击者可能从哪些意想不到的角度发起攻击。2. 核心功能与原理深度解析2.1 凭据提取的底层逻辑不止于LSASS提到Windows凭据提取大多数人第一时间想到的是LSASS进程。这没错LSASS作为本地安全认证子系统确实是凭据的“富矿”。Clawbars自然也包含针对LSASS内存挖掘的模块但其思路可能更为“迂回”或“精细”。传统的工具通常依赖于OpenProcess、ReadProcessMemory等标准API来访问LSASS进程内存然后在其内存空间中搜索特定的数据结构如_KIWI_MASTERKEY、_KIWI_CREDENTIAL等Mimikatz定义的结构。然而这些API调用本身就可能触发告警。Clawbars的实现可能会探索其他路径例如通过进程转储文件分析它可能先利用系统自带或未被监控的工具如taskkill /fi配合某些技巧或使用comsvcs.dll的MiniDump函数生成LSASS进程的转储文件.dmp然后离线分析这个文件。这种方式将“敏感的内存读取操作”转移到了对静态文件的分析上规避了实时内存扫描。搜索其他进程中的凭据残留用户登录后凭据不仅存在于LSASS也可能被缓存在svchost.exe用于网络认证、explorer.exe访问网络共享时甚至特定应用程序的内存空间中。Clawbars可能包含扫描这些非典型进程内存的模块寻找kerberos tickets、NTLM hashes甚至明文的密码片段。直接内核内存读取需要高权限在获得SYSTEM权限或等价权限后理论上可以直接读取物理内存或内核内存对象。这比用户态的进程内存访问更底层但也更复杂、更危险容易导致系统蓝屏。Clawbars如果包含此类功能其代码会非常注重稳定性和兼容性。注意任何从内存中提取凭据的行为在非授权环境中都是非法的。本文所有讨论均基于安全研究、授权渗透测试和系统防御加固的目的。2.2 项目结构解读“Clawbars”的组成“Clawbars”这个名字暗示了它可能不是一个单一工具而是一套“爪子”和“撬棍”Bars的组合。根据常见的开源安全工具设计模式我们可以推断其项目结构可能包含以下部分核心库lib包含所有底层内存操作、数据结构解析、加密解密如解密DPAPI blob、计算哈希的通用函数。这部分代码追求效率和隐蔽性可能会大量使用指针操作和直接系统调用syscall。独立可执行模块modules/tools每个独立的EXE文件对应一个特定的功能。例如claw-lsass.exe: 专门用于从LSASS进程提取密码哈希、票据。claw-dpapi.exe: 专门用于解密当前用户的DPAPI数据保护API加密的blob这可能用于获取浏览器密码、Wi-Fi密码等。claw-vault.exe: 针对Windows凭据管理器Credential Vault的提取工具。claw-kerberos.exe: 专注于从内存中查找和导出Kerberos票据TGT, Service Tickets。构建与混淆脚本build/scripts可能包含用于编译的CMake或Makefile以及用于生成免杀变种、代码混淆的脚本。这是实战中非常关键的一环直接关系到工具的可用性。这种模块化设计的好处是显而易见的攻击载荷可以很小只上传和运行需要的那个模块减少暴露面。防守方即使检测到其中一个模块也难以立即关联到整个工具集。2.3 关键技术点绕过检测的常见思路Clawbars作为后起之秀其技术亮点必然围绕“规避”展开。以下是它可能采用或启发我们的一些思路直接系统调用Syscall这是绕过用户态Hook挂钩的经典方法。安全软件常常在NtOpenProcess、NtReadVirtualMemory等API的用户态入口处安装Hook来监控行为。直接通过汇编指令触发系统调用可以绕过这些用户态的监控层直接进入内核。实现这一点需要精确的syscall号随Windows版本变化并处理好参数传递。反射式DLL注入与内存执行不将DLL文件落地到磁盘而是将其内容直接加载到目标进程的内存中并执行。更进一步的是PE可执行文件的内存加载执行即整个EXE都不需要文件实体。Clawbars的模块可能被设计成可以以这种形式被加载极大增加了基于文件扫描的检测难度。代码混淆与动态API解析字符串如函数名ReadProcessMemory和代码模式是静态检测的重点。Clawbars可能会在编译时对字符串进行加密在运行时解密或者动态通过GetProcAddress和GetModuleHandle来解析所需的API地址而不是直接导入。甚至可能自己实现部分关键函数减少对敏感API的依赖。利用合法的系统进程或组件如前所述利用comsvcs.dll的MiniDump功能来转储LSASS就是一个“借刀杀人”的典范。这类操作看起来像是合法系统组件的行为异常性较低。3. 实战环境搭建与编译指南3.1 开发环境准备要深入研究或编译Clawbars这类项目你需要一个合适的Windows开发环境。我强烈建议使用虚拟机如VMware Workstation或Hyper-V来搭建并与主机做好网络隔离。操作系统准备一个Windows 10/11的开发用虚拟机。最好使用专业版或企业版因为某些调试和系统功能在家庭版上可能受限。开发工具Visual Studio 2019/2022这是最主要的编译环境。安装时务必勾选“使用C的桌面开发”工作负载确保包含MSVC编译器、Windows SDK和CMake支持。Git用于克隆源代码。CMake如果项目使用CMake构建需要单独安装最新版本并确保其路径已添加到系统环境变量。调试器熟悉WinDbg或x64dbg将对你分析工具行为和排查编译问题有巨大帮助。必要的运行时和库有些项目可能需要额外的库如openssl用于加密操作、pthreads用于跨平台线程等。需要根据项目的README或CMakeLists.txt文件来安装。3.2 源代码获取与初步审查在授权和合规的前提下从代码仓库获取源码是第一步。git clone https://github.com/freekatz/clawbars.git cd clawbars拿到代码后别急着编译。先花时间阅读项目结构README.md这是最重要的文件通常包含了项目简介、编译方法、基本用法和免责声明。CMakeLists.txt或Makefile定义了构建规则。查看它了解项目生成哪些目标exe, dll依赖哪些库。src/目录核心源代码所在地。浏览主要.c和.h文件理解模块划分。libs/或third_party/目录存放第三方依赖库。这个阶段你可以用VS Code或Visual Studio打开项目文件夹利用代码索引功能快速浏览对整体架构有个印象。3.3 编译过程与常见问题解决编译是第一个实战关卡。这类项目编译失败很常见原因多是环境差异或依赖缺失。使用Visual Studio开发者命令行从开始菜单找到“Developer Command Prompt for VS 20XX”或“x64 Native Tools Command Prompt”并在此命令行中导航到项目目录。这确保了正确的编译环境变量。CMake生成工程文件# 在项目根目录创建一个构建目录并进入 mkdir build cd build # 使用CMake生成Visual Studio解决方案文件指定64位 cmake .. -G Visual Studio 16 2019 -A x64如果提示找不到Windows SDK或MSVC编译器请检查VS安装是否完整。-G后面的生成器名称根据你的VS版本调整如“Visual Studio 17 2022”。编译项目# 使用CMake编译Release版本 cmake --build . --config Release或者你也可以直接用Visual Studio打开生成的.sln解决方案文件在IDE里选择“Release”配置然后点击“生成解决方案”。编译踩坑实录错误无法打开包括文件: “windows.h”这通常是Windows SDK路径问题。在VS安装器中修改安装确保安装了对应版本的Windows SDK。错误无法解析的外部符号__imp_xxx这是链接错误说明缺少对应的库文件.lib。你需要找到这个函数属于哪个库比如Advapi32.lib,Crypt32.lib然后在CMakeLists.txt或代码中确保正确链接。对于标准Windows API通常在代码开头#pragma comment(lib, 库名.lib)即可。警告视为错误编译中断这类项目有时会将警告等级调得很高/WX任何警告都会导致失败。你可以临时修改CMakeLists.txt去掉/WX编译选项但更好的做法是理解并修复这些警告通常是类型转换、函数弃用提示等。编译成功后在build/Release/或build/bin/目录下就能找到生成的.exe文件了。4. 核心模块使用与操作详解假设Clawbars编译后生成了几个核心工具我们模拟一下在授权测试环境中的基本使用。再次强调所有操作必须在你自己完全控制的、隔离的虚拟机或获得明确授权的环境中进行。4.1 基础信息收集与权限提升在尝试提取凭据之前我们需要合适的环境和权限。获取管理员权限大多数内存操作需要SeDebugPrivilege权限。如果你当前不是管理员需要先进行权限提升。Clawbars本身可能不包含提权模块这需要你通过其他途径如利用已知漏洞、服务配置错误等获得。在测试环境中你可以直接用管理员身份运行命令行。启用SeDebugPrivilege即使以管理员运行某些特权也需要手动启用。可以使用系统自带的whoami /priv查看当前特权如果SeDebugPrivilege是禁用状态需要一个小程序或脚本来启用它。一个简单的方法是使用Python需安装pywin32import win32api import win32security import win32con # 获取当前进程令牌 hToken win32security.OpenProcessToken(win32api.GetCurrentProcess(), win32con.TOKEN_ADJUST_PRIVILEGES | win32con.TOKEN_QUERY) # 获取LUID luid win32security.LookupPrivilegeValue(None, win32security.SE_DEBUG_NAME) # 调整特权 win32security.AdjustTokenPrivileges(hToken, False, [(luid, win32con.SE_PRIVILEGE_ENABLED)])当然更常见的做法是将这个逻辑用C语言实现在工具内部在启动时自动启用所需特权。4.2 LSASS内存提取实战假设我们有一个编译好的claw-lsass.exe。直接内存读取方式# 假设工具用法是claw-lsass.exe -p PID -o hashes.txt # 首先找到LSASS的PID tasklist | findstr lsass.exe # 输出可能类似lsass.exe 1234 Services 0 5,212 K # 然后运行工具需要管理员权限 claw-lsass.exe -p 1234 -o lsass_hashes.txt工具会尝试附加到LSASS进程遍历其内存寻找并解析凭据结构将NTLM哈希、SHA1哈希等输出到文件。这个过程可能会触发一些EDR的进程注入检测。进程转储离线分析方式# 首先创建转储文件。可以使用系统自带工具但注意方法。 # 方法A使用任务管理器GUI。右键lsass进程 - 创建转储文件。但此操作会留下明显的“任务管理器访问LSASS”日志。 # 方法B使用PowerShell更隐蔽但仍有日志 # 不推荐在生产环境未经授权使用此处仅为示例原理 # Get-Process lsass | CreateMiniDump -FilePath C:\temp\lsass.dmp -FullMemory # 方法C使用clawbars可能自带的dump模块或利用comsvcs.dll rundll32.exe C:\windows\system32\comsvcs.dll, MiniDump 1234 C:\temp\lsass.dmp full # 生成dmp文件后使用工具的离线模式分析 claw-lsass.exe -f C:\temp\lsass.dmp -o offline_hashes.txt离线分析的优势在于分析动作可以转移到分析人员的机器上在目标机器上只执行了一次“创建转储”的操作这个操作本身也可能被监控但相对常见一些。4.3 DPAPI与凭据保险箱解密Windows DPAPI数据保护API是保护用户数据如浏览器密码、Wi-Fi配置文件、RDP连接密码的核心。解密需要用户的登录凭据或主密钥。提取DPAPI主密钥主密钥文件通常位于%APPDATA%\Microsoft\Protect\SID下是加密状态的。需要用户的登录密码或哈希来解密。Clawbars的claw-dpapi模块可能整合了这个流程。# 假设用法claw-dpapi.exe --masterkey -p 用户密码或哈希 -o masterkey.txt claw-dpapi.exe --masterkey -p NTLM_Hash -o mk.txt这个步骤非常关键获取了主密钥就等于拿到了打开用户所有DPAPI保护数据的钥匙。解密特定Blob有了主密钥就可以解密具体的DPAPI blob了。你需要先找到这些blob它们可能存在于注册表、文件或内存中。例如Chrome的登录数据就使用DPAPI加密。# 假设用法claw-dpapi.exe --decrypt -m mk.txt -b BASE64_ENCODED_BLOB -o plain.txt # 你需要先从Chrome的Login Data文件中提取出加密的blob字段 claw-dpapi.exe --decrypt -m mk.txt -b AQAAANCMnd8BFdERjHoAwE... -o decrypted_password.txt实操心得环境一致性是关键DPAPI解密严重依赖系统状态。在虚拟机快照中提取的主密钥通常只能在同一快照恢复的系统中解密同一用户的数据。将主密钥拿到其他机器上解密除非知道用户密码否则几乎不可能。注意杀软监控直接读取%APPDATA%\Microsoft\Protect\下的文件是非常敏感的操作极易被拦截。高级用法可能会尝试从内存中提取已解密的DPAPI会话密钥这需要更复杂的技术。5. 防御视角检测与缓解策略了解了攻击工具的原理蓝队和系统管理员才能进行有效防御。针对Clawbars这类工具的活动防御策略需要层层递进。5.1 行为监控与检测规则基于Clawbars可能采用的技术可以部署以下检测策略进程访问监控规则监控非系统、非管理工具进程对lsass.exe的OpenProcess调用特别是请求PROCESS_VM_READ权限的。实施可以通过Sysmon系统监视器配置。一条关键的Sysmon规则是Event ID 10ProcessAccess可以设置过滤器当TargetImage以lsass.exe结尾且GrantedAccess包含0x1410PROCESS_VM_READ | PROCESS_QUERY_INFORMATION的常见组合时告警并排除已知合法的进程如C:\Windows\System32\下的工具。LSASS进程转储监控规则监控对lsass.exe进程的转储操作。实施Sysmon Event ID 1ProcessCreate可以监控rundll32.exe调用comsvcs.dll的参数。寻找命令行中包含MiniDump和lsass或LSASS PID的组合。同时Windows安全日志Event ID 4688新进程创建也可以用于分析。直接系统调用Syscall检测挑战这是检测难点因为syscall本身是合法的。思路可以监控从用户态到内核态的异常跳转。一些高级EDR采用内核驱动Kernel Driver或ETW事件跟踪来监控非常规的syscall调用链。例如一个没有通过ntdll.dll标准路径而是通过手工组装栈帧直接执行syscall指令的线程是高度可疑的。内存中恶意代码执行检测规则检测反射式DLL注入或PE内存加载。这类操作通常涉及在进程内部分配可读、可写、可执行RWX的内存页然后向其中写入代码并执行。实施监控进程内存中新增的、具有RWX属性的内存区域VirtualAlloc with PAGE_EXECUTE_READWRITE。可以使用ETW的Microsoft-Windows-Threat-Intelligence提供者来捕获这些事件。5.2 系统加固与缓解措施除了检测主动加固能从根本上提高攻击门槛。启用Credential Guard凭据防护这是针对内存中凭据提取的最强防御手段之一适用于Windows 10/11 Enterprise/Education。它利用基于虚拟化的安全VBS将LSASS进程隔离在一个安全的、 Hyper-V保护的容器中使得用户态的工具完全无法访问其内存。启用后传统的Mimikatz、Clawbars等工具将无法读取到哈希和明文密码。启用方法通过组策略gpedit.msc或注册表启用。需要硬件支持SLAT, VT-x/AMD-V并在BIOS中开启虚拟化。影响启用后某些旧的认证方式如NTLM可能受影响需要测试业务兼容性。限制调试权限通过组策略限制拥有SeDebugPrivilege特权的账户和组。将本地管理员组从“调试程序”用户权限分配中移除。但这可能会影响合法的调试和运维工作。保护DPAPI主密钥使用BitLocker或设备加密来加密整个系统盘可以防止攻击者在物理接触或获得磁盘映像后直接读取DPAPI主密钥文件。对于企业环境可以考虑配置DPAPI的域备份密钥但这需要仔细规划。应用控制与白名单使用Windows Defender应用程序控制WDAC或第三方白名单解决方案只允许授权的应用程序运行。这可以阻止未知的、未经签名的工具如Clawbars的编译版本执行。最小权限原则为用户和应用程序分配完成任务所需的最小权限。避免日常使用高权限账户登录尤其是域管理员账户。这能限制横向移动和权限提升成功后造成的破坏范围。5.3 事件调查与取证线索当检测到可疑活动时需要快速进行调查。以下是与Clawbars类活动相关的取证要点进程创建链仔细检查可疑进程的父进程。它是从命令行启动的还是由其他进程如PowerShell、WMI、计划任务创建的完整的进程树能揭示攻击入口点。命令行参数记录下进程执行的完整命令行。参数中可能包含目标PID、输出文件路径等关键信息。文件系统活动检查可疑进程是否在临时目录%TEMP%,C:\Windows\Temp或异常位置创建了文件如.dmp, .txt, .bin文件。即使工具本身不落地它输出的结果文件可能会落地。网络连接虽然Clawbars主要本地操作但提取的凭据可能被外传。检查可疑进程是否在活动后建立了出站网络连接。内存取证在条件允许的情况下对受影响主机进行内存镜像采集。使用Volatility等内存取证工具可以搜索内存中残留的Clawbars工具字符串、注入的代码片段或解密的凭据数据。防御是一个持续的过程需要将检测、防护和响应结合起来。了解像Clawbars这样的工具不是为了滥用而是为了构建更坚固的防线。通过模拟攻击者的技术我们可以提前发现防御体系的盲点从而在真正的攻击到来之前将其弥补。