一个绕过 EDR 的dumplsass免杀工具
01
工具介绍
直接dumplsass原文会被杀软删掉,通过hook WriteAll对dump的内容先加密再保存到磁盘并离线解密.
隐藏转储:一个可能绕过EDR的lsassump工具。
实现:挂钩写入全部+复制
02
工具使用
hidedump.exe [opt] filenameopt==1:save the Encrypted dumpfileopt==2:Decrypt the dumpfile and save the decrypted file as sec.dumpexamplehidedump.exe 1 tmp.binhidedump.exe 2 tmp.bin
03
工具下载
https://github.com/coleak2021/hidedump
文章来源:夜组安全
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END