工具介绍
ShadowDumper是一款用于转储LSASS内存的强大工具,渗透测试和红队测试中经常用到。它使用多种先进技术来转储内存(目前7种),从而允许访问LSASS内存中的敏感数据。
工具功能
工具使用
要运行 ShadowDumper,请从 powershell 执行已编译的二进制文件。
![一款转储LSASS内存的强大神器 一款转储LSASS内存的强大神器]()
![一款转储LSASS内存的强大神器 一款转储LSASS内存的强大神器]()
下载地址
-
解除挂钩注入(修改后的 Mimikatz 二进制文件) ——利用解除挂钩来注入修改后的 Mimikatz 二进制文件,绕过 EDR 挂钩并逃避检测。 - 解除挂钩注入(使用 MDWD 的直接系统调用) ——使用 MDWD 实现直接系统调用以进行隐身注入,减少留下的痕迹。
- 简单的 MiniDumpWriteDump API – 执行简单的 MiniDumpWriteDump API 方法进行标准 LSASS 内存提取。
- MINIDUMP_CALLBACK_INFORMATION 回调- 使用回调函数进行自定义处理,从而可以更好地控制转储过程。
- 进程分叉技术——分叉 LSASS 进程,创建内存克隆并避免直接访问目标进程。
- 使用 MiniDumpWriteDump 进行直接系统调用– 将直接系统调用与 MiniDumpWriteDump 相结合,通过避免典型的 API 挂钩来增强隐身性。
- 具有直接系统调用的本机转储(离线解析) - 利用直接系统调用创建具有离线解析基本流的本机转储,非常适合低噪音操作。
默认模式
未提供参数:显示具有多个可执行选项的用户友好控制台
命令行模式
参数:-h:显示包含所有可用选项的帮助菜单。
ShadowDumper.exe
- Parameter: 1: To dump lsass memory using unhooking technique to inject modified mimikatz binary.
ShadowDumper.exe
- Parameter: 2:To dump lsass memory using unhooking technique to inject binary using direct syscalls with MDWD.
ShadowDumper.exe
- Parameter: 3: To dump lsass memory using simple MiniDumpWriteDump API.
ShadowDumper.exe
- Parameter: 4: To dump lsass memory using MINIDUMP_CALLBACK_INFORMATION callbacks.
ShadowDumper.exe
- Parameter: 5: To dump lsass memory using process forking technique.
ShadowDumper.exe
- Parameter: 6:To dump lsass memory using direct syscalls with MiniDumpWriteDump.
ShadowDumper.exe
- Parameter: 7: To dump lsass memory using direct syscalls (native dump with needed streams for parsing offline)
视频演示
演示 ShadowDumper 的工作原理。
https://github.com/Offensive-Panda/ShadowDumper
原文始发于微信公众号(Hack分享吧):一款转储LSASS内存的强大神器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论