Dumpert LSASS内存转储器开源项目

我要开发同款
匿名用户2019年06月19日
33阅读
开发技术C/C++
所属分类安全相关、管理和监控
授权协议未知

作品详情

Dumpert,一个使用直接系统调用和API解除连接的LSASS内存转储器

最近的恶意软件研究表明,使用直接系统调用来逃避安全产品使用的用户模式API挂钩的恶意软件数量有所增加。这些工具演示了直接系统调用和API取消的使用,并将这些技术结合在概念验证代码中,该代码可用于使用CobaltStrike创建LSASS内存转储,同时不触及磁盘并避开AV/EDR监控的用户模式API调用。

代码包含两个版本:

可执行版本和DLL版本,DLL版本可通过如下命令来运行:

rundll32.exeC:\Dumpert\Outflank-Dumpert.dll,Dump

同时还提供了sRDI版本,包含一个CobaltStrike攻击者脚本。此脚本使用shinject将dumpertDLL的sRDIshellcode版本注入当前进程。然后它等待几秒钟让lsassminidump完成并最终从受害者主机下载minidump文件。

编译指引:

ThisprojectiswritteninCandassembly.YoucanuseVisualStudiotocompileitfromsource.

sRDI代码: https://github.com/monoxgas/sRDI

声明:本文仅代表作者观点,不代表本站立场。如果侵犯到您的合法权益,请联系我们删除侵权资源!如果遇到资源链接失效,请您通过评论或工单的方式通知管理员。未经允许,不得转载,本站所有资源文章禁止商业使用运营!
下载安装【程序员客栈】APP
实时对接需求、及时收发消息、丰富的开放项目需求、随时随地查看项目状态

评论