一款转储LSASS内存的强大神器

admin 2024年11月20日13:29:14评论23 views字数 1376阅读4分35秒阅读模式
工具介绍

ShadowDumper是一款用于转储LSASS内存的强大工具,渗透测试和红队测试中经常用到。它使用多种先进技术来转储内存(目前7种),从而允许访问LSASS内存中的敏感数据。
工具功能

  • 解除挂钩注入(修改后的 Mimikatz 二进制文件) ——利用解除挂钩来注入修改后的 Mimikatz 二进制文件,绕过 EDR 挂钩并逃避检测。
  • 解除挂钩注入(使用 MDWD 的直接系统调用) ——使用 MDWD 实现直接系统调用以进行隐身注入,减少留下的痕迹。
  • 简单的 MiniDumpWriteDump API – 执行简单的 MiniDumpWriteDump API 方法进行标准 LSASS 内存提取。
  • MINIDUMP_CALLBACK_INFORMATION 回调- 使用回调函数进行自定义处理,从而可以更好地控制转储过程。
  • 进程分叉技术——分叉 LSASS 进程,创建内存克隆并避免直接访问目标进程。
  • 使用 MiniDumpWriteDump 进行直接系统调用– 将直接系统调用与 MiniDumpWriteDump 相结合,通过避免典型的 API 挂钩来增强隐身性。
  • 具有直接系统调用的本机转储(离线解析) - 利用直接系统调用创建具有离线解析基本流的本机转储,非常适合低噪音操作。
工具使用

要运行 ShadowDumper,请从 powershell 执行已编译的二进制文件。

默认模式

未提供参数:显示具有多个可执行选项的用户友好控制台

一款转储LSASS内存的强大神器

命令行模式

参数:-h:显示包含所有可用选项的帮助菜单。

ShadowDumper.exe  - Parameter: 1: To dump lsass memory using unhooking technique to inject modified mimikatz binary.ShadowDumper.exe  - Parameter: 2:To dump lsass memory using unhooking technique to inject binary using direct syscalls with MDWD.ShadowDumper.exe  - Parameter: 3: To dump lsass memory using simple MiniDumpWriteDump API.ShadowDumper.exe  - Parameter: 4: To dump lsass memory using MINIDUMP_CALLBACK_INFORMATION callbacks.ShadowDumper.exe  - Parameter: 5: To dump lsass memory using process forking technique.ShadowDumper.exe  - Parameter: 6:To dump lsass memory using direct syscalls with MiniDumpWriteDump.ShadowDumper.exe  - Parameter: 7: To dump lsass memory using direct syscalls (native dump with needed streams for parsing offline)
一款转储LSASS内存的强大神器

视频演示

演示 ShadowDumper 的工作原理。

下载地址

https://github.com/Offensive-Panda/ShadowDumper

原文始发于微信公众号(Hack分享吧):一款转储LSASS内存的强大神器

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月20日13:29:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一款转储LSASS内存的强大神器https://cn-sec.com/archives/3414413.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息