最新Lsass转储工具-NativeDump

文章预览

项目介绍 NativeDump允许只使用NTAPIs来转储lsass进程，生成一个小型转储文件，其中只包含需要由Mimikatz或Pypykatz等工具解析的流(SystemInfo、ModuleList和Memory64List流)。 NTOpenProcessToken和NtAdjustPrivilegeToken来获取"SeDebugPrivilege"权限 RtlGetVersion获取操作系统版本详细信息(主要版本、次要版本和内部版本号)，这对于SystemInfo流是必要的 NtQueryInformationProcess和NtReadVirtualMemory来获取lsasrv.dll地址，这是ModuleList流所必需的唯一模块 NtOpenProcess 用于 获取lsass进程的句柄 NtQueryVirtualMemory和NtReadVirtualMemory循环遍历内存区域并转储所有可能的内存区域，同时它填充Memory64List流 项目使用 NativeDump .exe [DUMP_FILE] 默认文件名是"proc_.dmp": 该工具已针对Windows 10和11设备进行了测试，采用了最常见的安全解决方案(Microsoft Defender for Endpoints，Crowdstrike...)且目前未被检测到，但是如果系统中启用 ………………………………