買專利賣專利找龍圖騰，真高效！ 查專利查商標用IPTOP,全免費！專利年費監控用IP管家,真方便！

龍圖騰網恭喜廈門市美亞柏科信息股份有限公司申請的專利一種基于內存鏡像離線提取DPAPI密鑰的方法和系統獲國家發明授權專利權，本發明授權專利權由國家知識產權局授予，授權公告號為：CN114218128B 。

龍圖騰網通過國家知識產權局官網在2025-04-01發布的發明授權授權公告中獲悉：該發明授權的專利申請號/專利號為：202111521652.6，技術領域涉及：G06F12/02；該發明授權一種基于內存鏡像離線提取DPAPI密鑰的方法和系統是由杜鑫輝;蘇再添;陳俊珊;黃志煒設計研發完成，并于2021-12-13向國家知識產權局提交的專利申請。

本一種基于內存鏡像離線提取DPAPI密鑰的方法和系統在說明書摘要公布了：公開了一種基于內存鏡像離線提取DPAPI密鑰方法和系統，包括加載內存鏡像，從內存鏡像中獲取系統版本信息，提取lsass.exe進程的minidump；在lsasrv.dll內存范圍分別以對應系統版本LogonSessionSign表的標志位的不同偏移進行SearchSignApplyOffset操作獲取LogonSessionList和LogonSessionCount；根據不同的系統版本在對應的動態鏈接庫內存范圍以CachedMasterKey結構獲取各個LogonSession對應的CacheMasterKey；在lsasrv.dll內存范圍分別以對應系統版本DecryptKeySign表的標志位的不同偏移進行SearchSignApplyOffset操作獲取16字節的IV和Key3DES，對Key3DES進行SearchSignApplyOffset操作獲取KeyAES；根據CacheMasterKey、Key3DES、KeyAES和IV解密獲得各個LogonSession對應的MasterKey。本發明具有免密獲取、適用性好、成功率高的特點。

本發明授權一種基于內存鏡像離線提取DPAPI密鑰的方法和系統在權利要求書中公布了：1.一種基于內存鏡像離線提取DPAPI密鑰的方法，其特征在于，包括：S1：加載內存鏡像，從所述內存鏡像中獲取系統版本信息，提取lsass.exe進程的minidump；S2：在lsasrv.dll內存范圍分別以對應系統版本LogonSessionSign表的標志位的不同偏移進行SearchSignApplyOffset操作獲取LogonSessionList和LogonSessionCount，所述SearchSignApplyOffset操作具體為：搜索標志位，獲取一位置SignBase，偏移SignOffset字節，以小端格式讀取4字節無符號長整數記做Offset，結果為SignBase+SignOffset+4+Offset；所述LogonSessionSign表中一個系統版本的標志位對應存在偏移0和偏移1兩個偏移信息；S3：根據不同的系統版本在對應的動態鏈接庫內存范圍以CachedMasterKey結構獲取各個LogonSession對應的CacheMasterKey；S4：在lsasrv.dll內存范圍分別以對應系統版本DecryptKeySign表的標志位的不同偏移進行SearchSignApplyOffset操作獲取16字節的IV和Key3DES，對所述Key3DES進行SearchSignApplyOffset操作獲取KeyAES，所述DecryptKeySign表中一個系統版本的標志位對應存在偏移0、偏移1和偏移2三個偏移信息；S5：根據CacheMasterKey、Key3DES、KeyAES和IV解密獲得各個LogonSession對應的MasterKey；所述步驟S2具體包括：在所述lsasrv.dll內存范圍以對應系統版本LogonSessionSign表的標志位，偏移0作為SignOffset進行SearchSignApplyOffset操作，獲取LogonSessionAddressList，再根據LogonSession結構獲取登錄會話列表的信息LogonSessionList；在lsasrv.dll內存范圍以對應系統版本LogonSessionSign表的標志位，偏移1作為SignOffset進行SearchSignApplyOffset操作，獲取LogonSessionCount；所述步驟S4具體包括：在所述lsasrv.dll內存范圍以所述DecryptKeySign表的標志位中偏移0作為SignOffset進行SearchSignApplyOffset操作得到16字節的IV；在所述lsasrv.dll內存范圍以所述DecryptKeySign表的標志位中偏移1作為SignOffset進行SearchSignApplyOffset操作得到DecryptKey結構中的DecryptHandleAddress，再根據DecryptKey結構讀取得到一個密鑰Key3DES；將SignOffset替換為所述DecryptKeySign表對應的偏移2，重復進行SearchSignApplyOffset操作，得到KeyAES。

如需購買、轉讓、實施、許可或投資類似專利技術，可聯系本專利的申請人或專利權人廈門市美亞柏科信息股份有限公司，其通訊地址為：361000 福建省廈門市思明區軟件園二期觀日路12號102-402單元；或者聯系龍圖騰網官方客服，聯系龍圖騰網可撥打電話0551-65771310或微信搜索“龍圖騰網”。