绕过 defender、360 导出 Lsass.exe 内存工具

文摘   2024-07-29 20:32   广东  

免责声明

锦鲤安全的技术文章仅供参考,此文所提供的信息仅供网络安全人员学习和参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。如有侵权烦请告知,我们会立即删除并致歉。本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!谢谢!

说明

dump lsass.exe 内存工具,简单做了一下静态免杀,静态过 defender,360qvm 会杀,可以自行转 shellcode 用加载器免杀。

可以过 defendr 和 360 核晶 dump lsass 内存。

使用

1. 导出加密的 lsass.exe 内存

以管理员身份执行,自动提权至 system 并导出加密的 Lsass.exe 内存至

C:\lsas_e.dmp

2. 解密 lsas_e.dmp

执行如下命令输出解密的 lsas_d.dmp 文件:

dumplsas.exe delsas <lsas_e.dmp文件路径>

获取方式

内部 XDOG 在线免杀平台的工具板块下载。

小密圈

扫描下方二维码
加入内部交流群


长按-识别-关注

锦鲤安全

一个安全技术学习与工具分享平台

点分享

点收藏

点点赞

点在看


锦鲤安全
当前网络正常