今天看啥  ›  专栏  ›  FreeBuf

Dumpy:一款针对LSASS数据的动态内存取证工具

FreeBuf  · 公众号  · 互联网安全  · 2024-08-22 19:02

文章预览

关于 Dumpy Dumpy是一款针对LSASS数据的动态内存取证工具,该工具专为红队和蓝队研究人员设计,支持重新使用打开的句柄来动态转储 LSASS。 运行机制 Dumpy可以动态调用 MiniDumpWriteDump 来转储 lsass 内存内容。此过程无需打开 lsass 的新进程句柄,也无需使用DInvoke_rs。 为了在不调用 lsass 上的 OpenProcess 的情况下获得有效的进程句柄,系统中的所有进程句柄都使用 NtQuerySystemInformation、NtDuplicateObject、NtQueryObject 和 QueryFullProcessImageNameW 进行分析。 在将内存转储存储到磁盘或通过 HTTP 发送之前,该工具会使用 NTFS 事务对其进行异或运算。 工具要求 Rust cargo 工具安装 接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地: C:\Users\User\Desktop> git clone https://github.com/Kudaes/Dumpy.git 然后在release模式下编译项目代码并执行即可: C:\Users\User\Desktop\Dumpy\du ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览