网安简报【2024/5/23】

2024-05-23 微信公众号精选安全技术文章总览洞见网安 2024-05-23 0x1 Hidedump：dumplsass免杀工具渗透测试安全攻防 2024-05-23 23:24:31 文章主要介绍了一种通过hook技术绕过Windows安全机制，获取lsass进程内存转储的方法。作者首先指出，直接对lsass进程进行内存dump会被杀毒软件删除，因此提出了一种先加密再保存到磁盘并离线解密的方案。项目已开源，采用hook WriteAll和duplication技术。调试过程中，通过分析dbgcore.dll中的WriteAll函数，确定了其参数并通过ida查看函数逻辑。利用NtQuerySystemInformation获取所有进程打开的句柄，通过NtDuplicateObject获取远程进程副本，再通过NtQueryObject获取句柄信息。文章还介绍了如何通过修改注册表设置，利用“静默进程退出”机制触发对lsass进程的内存转储。最后，作者讨论了如何通过回调函数对dump进行加密处理，以及如何绕过驱动 ………………………………