【红队利器】Bypass卡巴、核晶、defender等杀软的dump lsass进程工具(附下载)
2022-10-8 22:41:28
Author: 渗透Xiao白帽(查看原文)
阅读量:43
收藏
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。
能过卡巴、defender等杀软的dump lsass进程工具,参考代码链接在下面。
https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dumping-lsass-passwords-without-mimikatz-minidumpwritedump-av-signature-bypass
由minidumpCallback实现,对缓冲区中内存做了些修改后再写入磁盘,同时做了一些小细节修改。
需要注意的是别扔云沙箱,这工具也没有任何网络行为。将lsass进程转储成VM21-6-8.log
将加密的进程文件解密
dumpXor.exe VM21-6-8.log 1.bin
文章来源: http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247493898&idx=1&sn=e1562abc038e6836b51609e3e5a89f36&chksm=ea341650dd439f46b5271547f6e656f948e19772b88caf70fab9e60319d9a766a3fd5255f969#rd
如有侵权请联系:admin#unsafe.sh