MultiDump 是一个后渗透工具,用于谨慎地转储和提取 LSASS 内存,而不会触发 Defender 警报,并通过 Python 处理程序进行处理。
介绍
MultiDump 支持两种转储模式:本地模式和远程模式。它通过 ProcDump.exe 或 comsvc.dll 提供了对 LSASS 转储的支持。
使用方法
<code>MultiDump.exe [-p <ProcDumpPath>] [-l <LocalDumpPath> | -r <RemoteHandlerAddr>] [--procdump] [-v]</code>
-p
:ProcDump.exe 的路径,默认为临时目录。-l
:加密转储文件的路径,如果未指定,则保存在当前目录。-r
:设置远程处理程序的 IP 地址和端口。--procdump
:将 ProcDump.exe 写入磁盘以转储 LSASS。-v
:启用详细模式。
处理程序使用方法
<code>MultiDumpHandler.py [-r REMOTE] [-l LOCAL] [--sam SAM] [--security SECURITY] [--system SYSTEM] [-k KEY] [--override-ip OVERRIDE_IP]</code>
-r
:指定接收远程转储文件的端口。-l
:指定本地转储文件,需要密钥来解密。--sam
、--security
、--system
:分别指定 SAM、SECURITY 和 SYSTEM 蜂巢的本地保存路径。-k
:指定解密本地文件所需的密钥。--override-ip
:在远程模式下手动指定密钥生成的 IP 地址。
构建和自定义
您可以在 Visual Studio 中打开项目并以发布模式构建 MultiDump。建议在编译之前自定义二进制文件,例如更改静态字符串或使用不同的 RC4 密钥进行加密。您还可以通过取消注释 Common.h
中的 #define SELF_DELETION
来启用自删除功能。
项目地址
https://github.com/Xre0uS/MultiDump
注意事项
- MultiDump 可能在 Windows 10 22 H2(19045)上检测到。
结论
MultiDump 是一个强大的后渗透工具,可帮助您谨慎地提取 LSASS 内存而不触发 Defender 警报,为渗透测试和安全研究提供了便利。
© 版权声明
THE END
暂无评论内容