Windows下的LSASS内存提取和转存绕过技巧

MultiDump 是一个后渗透工具，用于谨慎地转储和提取 LSASS 内存，而不会触发 Defender 警报，并通过 Python 处理程序进行处理。

介绍

MultiDump 支持两种转储模式：本地模式和远程模式。它通过 ProcDump.exe 或 comsvc.dll 提供了对 LSASS 转储的支持。

使用方法

<code>MultiDump.exe [-p <ProcDumpPath>] [-l <LocalDumpPath> | -r <RemoteHandlerAddr>] [--procdump] [-v]</code>

• -p：ProcDump.exe 的路径，默认为临时目录。
• -l：加密转储文件的路径，如果未指定，则保存在当前目录。
• -r：设置远程处理程序的 IP 地址和端口。
• --procdump：将 ProcDump.exe 写入磁盘以转储 LSASS。
• -v：启用详细模式。

处理程序使用方法

<code>MultiDumpHandler.py [-r REMOTE] [-l LOCAL] [--sam SAM] [--security SECURITY] [--system SYSTEM] [-k KEY] [--override-ip OVERRIDE_IP]</code>

• -r：指定接收远程转储文件的端口。
• -l：指定本地转储文件，需要密钥来解密。
• --sam、--security、--system：分别指定 SAM、SECURITY 和 SYSTEM 蜂巢的本地保存路径。
• -k：指定解密本地文件所需的密钥。
• --override-ip：在远程模式下手动指定密钥生成的 IP 地址。

构建和自定义

您可以在 Visual Studio 中打开项目并以发布模式构建 MultiDump。建议在编译之前自定义二进制文件，例如更改静态字符串或使用不同的 RC4 密钥进行加密。您还可以通过取消注释 Common.h 中的 #define SELF_DELETION 来启用自删除功能。

项目地址

https://github.com/Xre0uS/MultiDump

注意事项

• MultiDump 可能在 Windows 10 22 H2（19045）上检测到。

结论

MultiDump 是一个强大的后渗透工具，可帮助您谨慎地提取 LSASS 内存而不触发 Defender 警报，为渗透测试和安全研究提供了便利。