能过卡巴、核晶、defender等杀软的dump lsass进程工具
2023-5-22 09:3:17 Author: LemonSec(查看原文) 阅读量:23 收藏
能过卡巴、defender等杀软的dump lsass进程工具,参考代码链接在下面。
https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dumping-lsass-passwords-without-mimikatz-minidumpwritedump-av-signature-bypass
由minidumpCallback实现,对缓冲区中内存做了些修改后再写入磁盘,同时做了一些小细节修改。
需要注意的是别扔云沙箱,这工具也没有任何网络行为。

使用方式

将lsass进程转储成VM21-6-8.log

CallbackDump.exe to

将加密的进程文件解密

dumpXor.exe VM21-6-8.log 1.bin

下载地址

https://github.com/seventeenman/CallBackDump

侵权请私聊公众号删文

 热文推荐  

欢迎关注LemonSec
觉得不错点个“赞”、“在看“

文章来源: http://mp.weixin.qq.com/s?__biz=MzUyMTA0MjQ4NA==&mid=2247545811&idx=2&sn=55fc29f4911700b58d32eb93cf8fd50d&chksm=f9e35c88ce94d59e7fcc88c1e8fba186d1d1b61a34ebc06b645a36602d58ba522df1af4085ba#rd
如有侵权请联系:admin#unsafe.sh