一款转储LSASS内存的强大神器
工具介绍
ShadowDumper是一款用于转储LSASS内存的强大工具,渗透测试和红队测试中经常用到。它使用多种先进技术来转储内存(目前7种),从而允许访问LSASS内存中的敏感数据。
工具功能
- 解除挂钩注入(修改后的 Mimikatz 二进制文件) ——利用解除挂钩来注入修改后的 Mimikatz 二进制文件,绕过 EDR 挂钩并逃避检测。
-
解除挂钩注入(使用 MDWD 的直接系统调用) ——使用 MDWD 实现直接系统调用以进行隐身注入,减少留下的痕迹。
-
简单的 MiniDumpWriteDump API – 执行简单的 MiniDumpWriteDump API 方法进行标准 LSASS 内存提取。
-
MINIDUMP_CALLBACK_INFORMATION 回调- 使用回调函数进行自定义处理,从而可以更好地控制转储过程。
-
进程分叉技术——分叉 LSASS 进程,创建内存克隆并避免直接访问目标进程。
-
使用 MiniDumpWriteDump 进行直接系统调用– 将直接系统调用与 MiniDumpWriteDump 相结合,通过避免典型的 API 挂钩来增强隐身性。
-
具有直接系统调用的本机转储(离线解析) - 利用直接系统调用创建具有离线解析基本流的本机转储,非常适合低噪音操作。
工具使用
要运行 ShadowDumper,请从 powershell 执行已编译的二进制文件。
默认模式
未提供参数:显示具有多个可执行选项的用户友好控制台
命令行模式
参数:-h:显示包含所有可用选项的帮助菜单。
ShadowDumper.exe- Parameter: 1: To dump lsass memory using unhooking technique to inject modified mimikatz binary.ShadowDumper.exe- Parameter: 2:To dump lsass memory using unhooking technique to inject binary using direct syscalls with MDWD.ShadowDumper.exe- Parameter: 3: To dump lsass memory using simple MiniDumpWriteDump API.ShadowDumper.exe- Parameter: 4: To dump lsass memory using MINIDUMP_CALLBACK_INFORMATION callbacks.ShadowDumper.exe- Parameter: 5: To dump lsass memory using process forking technique.ShadowDumper.exe- Parameter: 6:To dump lsass memory using direct syscalls with MiniDumpWriteDump.ShadowDumper.exe- Parameter: 7: To dump lsass memory using direct syscalls (native dump with needed streams for parsing offline)
视频演示
演示 ShadowDumper 的工作原理。
下载地址
https://github.com/Offensive-Panda/ShadowDumper
文章来源:Hack分享吧
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
官方 