关于DumpyDumpy是一款针对LSASS数据的动态内存取证工具,该工具专为红队和蓝队研究人员设计,支持重新使用打开的句柄来动态转储 LSASS。运行机制Dumpy可以动态调用 …
前记思路:直接dumplsass原文会被杀软删掉,通过hook WriteAll对dump的内容先加密再保存到磁盘并离线解密项目已开源,该项目采用hook WriteAll+dup…
