#tools #pentest
🪆 TrickDump ( lsass dump)
TrickDump генерирует дамп процесса lsass без создания файла Minidump, вместо этого генерируя 3 JSON и 1 ZIP файл с дампами областей памяти. В три шага:
🟥 Получение информации об ОС с помощью RtlGetVersion.
🟥 Получение привилегии SeDebugPrivilege с помощью NtOpenProcessToken и NtAdjustPrivilegeToken, открытие хэндла с помощью NtGetNextProcess и NtQueryInformationProcess, а затем получение информации о модулях с помощью NtQueryInformationProcess и NtReadVirtualMemory.
🟥 Получение привилегии SeDebugPrivilege, открытие хэндла, а затем сбор информации и дампа областей памяти с помощью функций NtQueryVirtualMemory и NtReadVirtualMemory.
Узнать о других подходах и нюансах работы с процессом lsaas можно в следующей статье.
TrickDump генерирует дамп процесса lsass без создания файла Minidump, вместо этого генерируя 3 JSON и 1 ZIP файл с дампами областей памяти. В три шага:
Узнать о других подходах и нюансах работы с процессом lsaas можно в следующей статье.
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - ricardojoserf/TrickDump: Dump lsass using only NTAPI functions creating 3 JSON and 1 ZIP file... and generate the MiniDump…
Dump lsass using only NTAPI functions creating 3 JSON and 1 ZIP file... and generate the MiniDump file later! - ricardojoserf/TrickDump