安全矩阵

 找回密码
 立即注册
搜索
查看: 977|回复: 0

可绕过EDR和PPL保护内存转储工具

[复制链接]

102

主题

102

帖子

330

积分

中级会员

Rank: 3Rank: 3

积分
330
发表于 2023-9-27 17:59:31 | 显示全部楼层 |阅读模式
YOLOP0wn Hack分享吧 2023-09-26 08:30 发表于湖南

工具简介

POSTDump是ReactOS minidump函数(如nanodump)的C#/.NET实现,从而避免调用Windows API MiniDumpWriteDump函数,它使用几种技术绕过EDR Hook和PPI保护来执行内存转储(lsass)。
[color=rgba(0, 0, 0, 0.9)]例如NanoDump,您可以对小型转储进行加密或使用无效签名;支持使用ProcExp驱动程序转储/终止受保护的进程。

工具参数

  1. c:\Temp>PostDump.exe --help

  2. -o, --output        Output filename [default: Machine_datetime.dmp] (fullpath handled)
  3. -e, --encrypt       Encrypt dump in-memory
  4. -s, --signature     Generate invalid Minidump signature
  5. --snap              Use snapshot technic
  6. --fork              Use fork technic [default]
  7. --elevate-handle    Open a handle to LSASS with low privileges and duplicate it to gain higher privileges
  8. --duplicate-elevate Look for existing lsass handle to duplicate and elevate
  9. --asr               Attempt LSASS dump using ASR bypass (win10/11/2019) (no signature/no encrypt)
  10. --driver            Use Process Explorer driver to open lsass handle (bypass PPL) and dump lsass
  11. --kill [processID]  Use Process Explorer driver to kill process and exit
  12. --help              Display this help screen.
  13. --version           Display version information.
复制代码

下载地址



https://github.com/YOLOP0wn/POSTDump


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 07:39 , Processed in 0.012528 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表