能过卡巴、核晶、defender等杀软的dump lsass进程工具

VSole2023-05-23 09:35:17

能过卡巴、defender等杀软的dump lsass进程工具，参考代码链接在下面。

https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dumping-lsass-passwords-without-mimikatz-minidumpwritedump-av-signature-bypass

由minidumpCallback实现，对缓冲区中内存做了些修改后再写入磁盘，同时做了一些小细节修改。

需要注意的是别扔云沙箱，这工具也没有任何网络行为。

使用方式

将lsass进程转储成VM21-6-8.log

CallbackDump.exe to

将加密的进程文件解密

dumpXor.exe VM21-6-8.log 1.bin

下载地址

https://github.com/seventeenman/CallBackDump

lsass

撤稿纠错

本作品采用《CC 协议》，转载必须注明作者和本文链接

LsassUnhooker - 一款可用于绕过EDR挂钩转储lsass进程的工具

2022-07-20 08:00:07

LsassUnhooker用C#编写的小程序可以绕过EDR钩子并转储lsass进程的内容，框架：.NET Framework 4，可以用CobaltStrike?execute-assembly加载内存执行，集成至CS插件。

转储lsass的方法原理和实现学习

2021-09-08 18:00:00

lsass.exe（Local Security Authority Subsystem Service进程空间中，存有着机器的域、本地用户名和密码等重要信息。

绕过卡巴斯基dump进程lsass.exe内存

2022-03-14 22:30:18

起因是前两天看到QAX-Ateam的一篇关于渗透的文章《这是一篇“不一样”的真实渗透测试案例分析文章》：

绕过杀软dump-Lsass内存

2021-12-02 06:54:18

dump lsass 进程是我们永远都逃不过话题，除非微软那天不用它保存凭据了，自然而然就不dump 它了，抓密码是渗透重要的环节，是横向扩展的基础，接下来讲讲见到如何绕过杀软dump lsass内存。

免杀转储lsass进程技巧

2021-12-02 05:58:04

在渗透测试中，最常用的方法是通过dump进程lsass.exe，从中获得明文口令和hash,今天分享两个免杀转储lsass方式，目前亲测可过某60 or 某绒。在原理上都是使用API MiniDumpWriteDump，通过comsvcs.dll的导出函数MiniDump实现dump内存。

基于AD Event日志检测LSASS凭证窃取攻击

2022-11-30 16:01:52

攻击者在获得起始攻击点后，需要获取目标主机上的相关凭证，以便通过用户凭证进行横向移动。

红队工具 | Visual Studio2022微软白名单免杀dump lsass的免杀工具

2022-07-01 06:10:41

可以自行安装Visual Studio2022，然后访问路径，把工具拖出来使用即可，也可以直接在文末获取下载地址转储 LSASS

能过卡巴、核晶、defender等杀软的dump lsass进程工具

2023-05-23 09:35:17

能过卡巴、defender等杀软的dump lsass进程工具，参考代码链接在下面。由minidumpCallback实现，对缓冲区中内存做了些修改后再写入磁盘，同时做了一些小细节修改。需要注意的是别扔云沙箱，这工具也没有任何网络行为。

后渗透

2021-10-09 06:35:54

如果是这种情况，您不能只是转储或解析 LSASS，您需要使用类似mimidrv.sys，PPLDump等使用 Mimikatz 转储操作系统凭据

实战 | 从Wdigest绕过Credential Guard 获取明文密码

2023-01-31 10:26:48

由 LSASS 进程加载的 wdigest.dll 模块有两个有趣的全局变量

VSole

网络安全专家