关于RustiveDumpRustiveDump是一款基于NT系统调用的LSASS内存转储工具,该工具使用Rust开发,旨在帮助广大研究人员仅使用NT 系统调用转储lsass.ex…
关于DumpyDumpy是一款针对LSASS数据的动态内存取证工具,该工具专为红队和蓝队研究人员设计,支持重新使用打开的句柄来动态转储 LSASS。运行机制Dumpy可以动态调用 …
前记思路:直接dumplsass原文会被杀软删掉,通过hook WriteAll对dump的内容先加密再保存到磁盘并离线解密项目已开源,该项目采用hook WriteAll+dup…