Esta herramienta implementa un Password Filter de Windows que intercepta y registra los cambios de contraseñas en el sistema. Utiliza una técnica legítima de Windows para monitorizar las modificaciones de credenciales en tiempo real.
Un Password Filter es un componente oficial de Windows que permite:
- Validar contraseñas contra políticas personalizadas
- Interceptar cambios de contraseñas antes de que se apliquen
- Registrar eventos de modificación de credenciales
- Implementar lógica personalizada durante el proceso de cambio
Esta herramienta utiliza esta capacidad nativa de Windows para propósitos de auditoría y seguridad.
- Sistema Operativo: Windows 10/11, Windows Server 2012+
- Privilegios: Ejecución como Administrador
- Archivos necesarios:
CreateInterceptPassChange.exescecIi.dll(en el mismo directorio)
.\CreateInterceptPassChange.exeEl programa realizará automáticamente:
✅ Verificación de privilegios de administrador
✅ Detección del archivo DLL requerido
✅ Advertencia sobre compatibilidad con Windows 11
Presiona ENTER para continuar. El instalador ejecutará:
Copia del DLL al System32
copy .\scecIi.dll C:\Windows\System32\scecIi.dllModificación del Registro de Windows
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Valor: Notification Packages
Se añade: scecIi
¿Desea reiniciar ahora? (S/N): SEs imprescindible reiniciar para que los cambios surtan efecto.
🔍 Verificación del Funcionamiento Probar el Cambio de Contraseña
# Cambiar contraseña de cualquier usuario
net user Administrador NuevaPassword123O mediante interfaz gráfica Panel de Control > Cuentas de Usuario > Cambiar contraseña
Verificar Captura de Credenciales
# Comprobar el archivo de log local
type C:\LogFile.txtEjemplo de salida esperada:
DOMINIO\usuario : NuevaPassword123
WORKGROUP\Administrador : NuevaPassword123
Archivos Involucrados
Archivo Propósito Ubicación Final
scecIi.dll DLL del Password Filter C:\Windows\System32\
CreateInterceptPassChange.exe Instalador Directorio de ejecución
LogFile.txt Log de credenciales C:\
Entradas de Registro Modificadas
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
└── Notification Packages (REG_MULTI_SZ)
├── scecli (nativo de Windows)
└── scecIi (nuestro filter)
Windows 10: Compatibilidad total
Windows 11: Puede presentar problemas de compatibilidad
Windows Server: Funciona correctamente en versiones 2012+
✅ Solo captura cambios de contraseña, no credenciales existentes
✅ Funciona únicamente durante operaciones de cambio
✅ Requiere reinicio para activarse
✅ Necesita privilegios de administrador
Esta herramienta está diseñada para:
Auditorías de seguridad autorizadas
Pruebas de penetración con consentimiento
Investigación forense legal
Entornos de laboratorio controlados
No utilizar para:
Actividades ilegales
Sin el consentimiento explícito del propietario del sistema
En sistemas de producción sin autorización
Error: "No se encontró el archivo scecIi.dll"
Solución: Asegúrate de que el DLL esté en el mismo directorio que el ejecutable.
Error: "Acceso denegado" Solución: Ejecuta como Administrador.
Las contraseñas no se capturan
Solución:
Verifica que el reinicio se realizó después de la instalación
Comprueba que el DLL está en C:\Windows\System32\
Verifica la entrada de registro en Notification Packages
Windows Defender bloquea la ejecución Solución: Añade excepciones para ambos archivos en la protección en tiempo real.
Eliminar la entrada scecIi de Notification Packages en el registro
Eliminar C:\Windows\System32\scecIi.dll
Eliminar C:\LogFile.txt
Reiniciar el sistema
Para problemas técnicos o preguntas sobre el uso ético de esta herramienta, consulta con el equipo de seguridad correspondiente.
⚠️ ADVERTENCIA: Esta herramienta debe usarse únicamente en entornos controlados y con el consentimiento explícito del propietario del sistema. El uso no autorizado puede violar leyes locales e internacionales.