【红队利器】Bypass卡巴、核晶、defender等杀软的dump lsass进程工具（附下载）

【红队利器】Bypass卡巴、核晶、defender等杀软的dump lsass进程工具（附下载）
2022-10-8 22:41:28 Author: 渗透Xiao白帽(查看原文) 阅读量:43 收藏

声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。

能过卡巴、defender等杀软的dump lsass进程工具，参考代码链接在下面。

https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dumping-lsass-passwords-without-mimikatz-minidumpwritedump-av-signature-bypass

由minidumpCallback实现，对缓冲区中内存做了些修改后再写入磁盘，同时做了一些小细节修改。

需要注意的是别扔云沙箱，这工具也没有任何网络行为。

使用方式

将lsass进程转储成VM21-6-8.log

CallbackDump.exe to

将加密的进程文件解密

dumpXor.exe VM21-6-8.log 1.bin

下载地址

点击下方名片进入公众号

回复关键字【1008】获取下载链接

推荐阅读

文章来源: http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247493898&idx=1&sn=e1562abc038e6836b51609e3e5a89f36&chksm=ea341650dd439f46b5271547f6e656f948e19772b88caf70fab9e60319d9a766a3fd5255f969#rd
如有侵权请联系:admin#unsafe.sh