项目介绍
NativeDump允许只使用NTAPIs来转储lsass进程,生成一个小型转储文件,其中只包含需要由Mimikatz或Pypykatz等工具解析的流(SystemInfo、ModuleList和Memory64List流)。
- NTOpenProcessToken和NtAdjustPrivilegeToken来获取"SeDebugPrivilege"权限
- RtlGetVersion获取操作系统版本详细信息(主要版本、次要版本和内部版本号),这对于SystemInfo流是必要的
- NtQueryInformationProcess和NtReadVirtualMemory来获取lsasrv.dll地址,这是ModuleList流所必需的唯一模块
- NtOpenProcess 用于获取lsass进程的句柄
- NtQueryVirtualMemory和NtReadVirtualMemory循环遍历内存区域并转储所有可能的内存区域,同时它填充Memory64List流
项目使用
NativeDump.exe [DUMP_FILE]默认文件名是"proc_.dmp":
该工具已针对Windows 10和11设备进行了测试,采用了最常见的安全解决方案(Microsoft Defender for Endpoints,Crowdstrike...)且目前未被检测到,但是如果系统中启用了PPL,则它不起作用。
这种技术的一些好处是:
- 它没有使用众所周知的dbghelp,MinidumpWriteDump函数
- 它只使用Ntdll.dll的函数,所以可以通过重新映射库来绕过API hooking
- 小型转储文件不必写入磁盘,您可以将其字节(编码或加密)传输到远程机器
免责声明
项目仅供进行学习研究,切勿用于任何非法未授权的活动,如个人使用违反安全相关法律,后果与本人无关
下载地址
https://github.com/ricardojoserf/NativeDump
原文始发于微信公众号(七芒星实验室):最新Lsass转储工具-NativeDump
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论