文章预览
关于 Dumpy Dumpy是一款针对LSASS数据的动态内存取证工具,该工具专为红队和蓝队研究人员设计,支持重新使用打开的句柄来动态转储 LSASS。 运行机制 Dumpy可以动态调用 MiniDumpWriteDump 来转储 lsass 内存内容。此过程无需打开 lsass 的新进程句柄,也无需使用DInvoke_rs。 为了在不调用 lsass 上的 OpenProcess 的情况下获得有效的进程句柄,系统中的所有进程句柄都使用 NtQuerySystemInformation、NtDuplicateObject、NtQueryObject 和 QueryFullProcessImageNameW 进行分析。 在将内存转储存储到磁盘或通过 HTTP 发送之前,该工具会使用 NTFS 事务对其进行异或运算。 工具要求 Rust cargo 工具安装 接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地: C:\Users\User\Desktop> git clone https://github.com/Kudaes/Dumpy.git 然后在release模式下编译项目代码并执行即可: C:\Users\User\Desktop\Dumpy\du
………………………………